jak zabezpieczyc sie przed luserami?

bardzo obszerny art opisujacy ogolnie problematyke zabezpieczenia stacji przed userami i probujacy przedstawic kilka mechanizmow dla windows/linux/osx ktore moge byc pomocne.
na pewno ciekawe dla poczatqjacych adminow, ktorzy nie za bardzo maja pojecie co z tym fantem zrobic. imho braqje przykladu rozwiazania korporacyjnego opartego o usugi terminalowe – rdp/cytrix. jesli chodzi o zabezpieczenia to jasna sprawa nawet tak obszerny art nie jest w stanie pokryc 1% mozliwosci i scenariuszy konfigurcji [ja znam oczywiscie windy ale pod linuxem jest zapewne podobnie].
jedno jest pewne – user z kontem admina lokalnego oznacza, ze siecia zarzadza samobojca albo dyletant.

future OS

na stronie os news mozna przeczytac krotki art o OSie przyszlosci. autor rozmazyl sie o systemie, ktorego nie trzeba sie uczyc – ktory uczy sie nas. my sobie pracujemy, podchodzimy na drugi dzien, i wszystko scustomizowane pod nasze zachcianki.
o nastrojach co prawda nic nie bylo, ale pewnie powinien jeszcze wyczuwac nastroj i ustawiac odpowiedni wyglad desktopu.
potem krotka niby-obawa o zbutowany komputer HAL, i ze w zeczywistosci sa sposoby… itp, itd….
osobiscie niechcialbym takiego systemu. na dzien dzisiejszy programy, ktore sie nas ucza to spyware. poznaja nasze zachcianki, przegladaja nasze programy, sprawdzaja nam bledy w dokumentach, czytaja nasze blogi, ogladaja nasze zdjecia…….
…cenzuruja, poprawiaja, zmienianiaja, wysylaja… nawet niech wysylaja. to i tak za duzo. wole kiedy maszyna pozostaje narzedziem. kiedy wiem co sie dzieje i dla czego – dla tego nie lubie wizardow, autokonfiguratorow i opcji 'use default’ ktore nie wiadomo co ustawiaja. sa to oczywiscie obawy osoby, ktora z komputerem pracuje czas dlugi, kiedy system byl zupelnie niefunkcjonalnym smieciem, ktory nie robil nic, poza swoim podstawowym zastosowaniem. byc moze jest to kwestia przestawienia sie na inne myslenie. chociaz po pierwsze na dzien dzisiejszy algorytmy genetyczne i neuronowe caly czas nie sa tak rozwiniete, dzialania 'automatow co sie domyslaja’ mozna przetestowac obserwujac antysamopowy filtr bayesa. niby ma sie uczyc, niby nawet mozna tuningowac, i co z tego? i tak przegladam katalog ze spamem i stosunkowo czesto znajduje tam mail, ktory nie powinien tam trafic.
nie chcialbym, zeby komputer decydowal za mnie co mi jest potrzebe a co nie – to ograniczajace i niebezpieczne. idea jako idea moze jest fajna ale… czy wykonalna? jak bardzo komputer musialby byc zintegrowany z wlascicielem, zeby go prawidlowo wyczuc? statystyki mowia, ze ok 6o% malzenstw sie rozwodzi. komputery musialyby byc wiec idealniej sparowane niz wybranek/wybranka, bo 4o% akuratnosc to chyba troche malo… wrecz zintegrowane. a wiec powracajac – moze zamiast myslec o dostosowujacym sie OSie, wykorzystac ludzki mozg jako OS i hardware, z przystawkami-wszczepkami rozwijajacymi mozliwosci. i to jest imho bardziej prawidlowy kierunek…

ReactOS – 1o lecie i nowa wersja

reactOS to rodzaj opensourcowego windowsa. nigdy nie probowalem… ale chcialbym miec czas zeby sie pobawic. projekt obchodzi 1olecie, na ktore wydal nowa wersje – o.3.o.

pomysl ciekawy.. chociaz nie wiem czy projekt WINE nie jest lepsza idea… pozostaje tez kwestia dosc ubogiej bazy kompatybilnosci – nie ma na niej prawie nic… nawet .net frameworka…

jak zhaczyc exchange’a

…albi i nie tylko exchange’a. sprawa tyczy sie aplikacji na clustrze. najpierw anegdota:
wszystko skonfigurowane i dziala jak malina. jeszcze drobne i …. i oczywiscie jak juz niby mozna sie wybierac do domu okazuje sie, ze cos nie dziala. nagle wywala mi przy odpalaniu skryptow, ze nie ma dostepu MAPI. zainstalowalem outlooka [moze nie ma biblitek na serverze]. w takim razie odpalam skonfigurowanego outlooka na lapie… nie moge sie polaczyc! grzebie w pamieci co zmienialem, ale qrde przeciez wszysto dzialalo! odpalam przegladarke, ostatnia deska ratunq – OWA. wpisuje https://server/exchange… i dostaje komunikat

4o4


Apache ver. jakis numer, on Ubuntu

najpierw do mnie nie dotarlo, ale przecieram oczy… APACHE??! sprawdzam rejestracje w DNS – ok, loguje sie lokalnie na serwer – w logach czysto, wszystko niby dziala, ale jak lacze sie do kompa to 1oo% ze nie do tego do ktorego powinienem.
okazalo sie, ze w sieci stal linux z takim samym IP – klasyczny spooffing. powstaje jednak kilka pytan:
– nie wiem czy to specyfika tego srodowiska, ale czemu w eventlogu nie bylo informacji o konflikcie IP? jesli jest to klasyczne zachowanie, ze ip zasobu klastrowego nie zglasza konfliktu IP, to przygotowanie systemu przechwytujacego hasla jest trywialne – wystarczy postawic swojego wlasnego exchange’a, dac mu addr ip prawdziwego, i czekac az ludzie sami wpisza hasla… pozostaje jeszcze pytanie, do ktorego serwera sie polacza… bede musial to jeszcze przemyslec i przetestowac.

*******UPDATED********
postawilem sobie virtualke, podstawielem ten sam IP i wszystko jasne:
konfliktu mi nie pokazal, bo logowalem sie na pasywny wezel clustra. na aktywnym oczywiscie informacja jest. pozostaje wiec tylko arppoisoning (:

rpc over https

w konfiguracji FE-BE, przy konfiguracji RPC proxy trzeba recznie zmodyfikowac rejestr [co prawda po sp1 dla ex2oo3 powinno sie robic samo, ale jakos chyba sie nie robi]. art mozna znalezc tutaj … i wielu innych miejscach. nigdzie tylko nie ma powiedziane czy nazwa serwera to FE czy BE. po usilnych poszukiwaniach po grupach znalazlem, ze powinien to byc adres serwera BE. konifugracje robi sie na FE.
zapamietac.

ssl – jak stracic 3h zycia

konfiguracja exchange frontend z NLB. dla host, dwa IISy. musi byc oczywiscie HTTPS. konfigurowalem juz cos takiego kilka razy – nie spodziewalem sie problemow. tutaj konfiguracja jednak byla nieco odmienna – poniewaz w domenie nie ma RootCA. certyfikat ma byc qpiony w przyszlosci, wiec w celach tymczasowej konfiguracji postawilem virtualke z w2k3, na niej rootca, i na tym wyrzezbilem certyfikat…

…no i zaczely sie schody, poniewaz przy probie polaczenia via https dostawalem od przegladarki bardzo dziwny komunikat. w przypadq O komunikat przynajmniej odroznial sie od zwyklego 'host unavaliable’ sugerujac jakis problem z certem, natomiast IE uparcie twierdzilo, ze hosta nie ma – sprawdz DNS. co za glupota.
sprawdzam konifguracje… wszystko hula. cert jest jak nalezy, port ok… pomyslalem, ze moze z jakiegos powodu zly rootca… robilem rozne rzeczy, w sumie kilka h, az w koncu znalazlem przyczyne – jak zwykle najciemniej pod latarnia. zaimportowany certyfikat z jakiegos powodu importowal sie bez klucza prywatnego.

zaimportowalem userowi [tu o dziwo dzialalo!], wyexportowalem z opcja 'with private key’, nastepnie import dla maszyny… i hula!

smartstart – dell sie wyglupia

do serwerow dostarczane sa plytki do szybkiego deploymentu serverow – zeby nie trzeba bylo sie meczyc z szukaniem driverow etc. w hp nazywa sie to smartstart, dla della jakos podobnie. cala instalacja oparta jest na jakims okrojonym linuxie w obu przypadkach. odpala sie xserver z aplikacja pokazujaca kolejne kroki konfiguracji, jesli wybierze sie windowsa, to generowany jest pliczek unattend i nie trzeba sie meczyc – wpisuje sie raz, a potem przychodzi sie na zainstalowany z driverami system. wygodne.

ciekawostka jest to, ze dla delli poweredge dostarczona jest plyta, ktora uruchamia sie automatycznie z ixami w 8o hz bez mozliwosci konfiguracji. nie wiem co to za kretynizm, ale wszystkie konsole rackowe sa LCD juz od dawna. trzeba bylo sie niezle nameczyc zeby znalezc monitor CRT i poprzelaczac w ciasnej serowni wszystkie kabeli… ale fuckup.

… a ja znow narzekam…

jak wywalic smietnik z certyfikatow

tak przy okazji to na moim lapie, nie wiem skad i kiedy, pojawily sie dziwne krzaczki w moich certyfikatach. poza lista standardowych store’ow, pojawily sie krzaczki.. prostokaciki – takie jak pojawiaja sie, gdy brakuje czcionki dla danego znaq. z certmgr’a nie da sie usunac storow – tylko same certyfikaty.
wszystkie store’y usera sa w HKCUsoftwaremicrosoftSystemCertificates i z tamtad mozna je spokojnie usunac. dodanie niechcacy certyfikatu i zaufanie mu, moze byc dosc grozne w konsekwencjach…