на чём бы таком эксклюзивном шлюзы настроить? (чтоб никто не разобрался)

[magus]

хочу обеспечить себе гарантированное место на работе, чтоб нового админа было найти весьма тяжело...
в связи с чем хочу сделать шлюзы на каком-нить эксклюзиве... думал про солярис, но мож ещё что поинтереснее посоветуете?

[Uncle_Theodore]

Придется, видно, свое написать...
И заминировать системный блок.

[Liksys]

Солярис, прчем какой-нить ядреный

[sergeyvp]

хочу обеспечить себе гарантированное место на работе, чтоб нового админа было найти весьма тяжело...
в связи с чем хочу сделать шлюзы на каком-нить эксклюзиве... думал про солярис, но мож ещё что поинтереснее посоветуете?

Прийдёт новый админ снесёт ваш эксклюзив и сделает шлюзы на своём эксклюзиве

[uptime]

Прийдёт новый админ снесёт ваш эксклюзив и сделает шлюзы на своём эксклюзиве

OpenBSD
По крайней мере, отзываться о вас будет уважительно..

[Liksys]

Мну на одном из серверов отчудил следующим образом:
1) Поставил Федору-7
2) Все разделы кроме /boot шифрованные
3) Перепрошил BIOS на LinuxBIOS (кстати хорошая штука оказалась), немного молифицировав (сложности не представляет) его
4) Поставил на BIOS пароль неговоря уже о руте
5) Поковыряв исходники LinuxBIOS сделал привязку к винтам, то есть если винты заменили, при загрузки будет кукиш
Хочешь-не хочешь, а сервер только выбрасывать при модификации без участия мну

ЗЫ: большая часть этих фишек довольно нетривиально, но у меня тогда было время извращаться

[minoru-kun]

Plan9?

[Liksys]

Plan9?

Не пугай

[unflag]

Plan9?

Путин одобрит.
Можно попробовать полуось. Сообщество у неё какое-никаке есть, софта тоже немножко имеется, вот и присобачь в качестве шлюза=) Хотя имхо шлюз - это не такая уж большая сложность, я бы снёс и не поморщился, если бы ось не знал)

[allez]

Ой, magus, не тем путем идете.
Не стоит прикрывать эксклюзивностью пробелы в некомпетентности. В конечном итоге вы все равно будете уволены, а название вашей организации появится на сайте Microsoft в статье о том, как много эта самая организация сберегла денег, отказавшись от вашего "Ыксклюзива" в пользу Windows. Не делайте ставку на незаменимость, ибо сказано есть: "незаменимых людей у нас нет".

[Uncle_Theodore]

Подобные вопросы возникают от неуверенности в себе и поисков ложной стабильности вместо построения динамичной карьеры.
Хотите поговорить об этом?

[allez]

Uncle_Theodore, предлагаю годиков этак на пяточек-десяточек эту тему заморозить, а там, надеюсь, и говорить незачем будет. Если, конечно, новые искатели эксклюзивов не подрастут.

[Uncle_Theodore]

Да проще тему во Флейм перенести и там оторваться...

[off]
Мне тут опять пришлось связаться с вновьприбывшими русскими иммигрантами, только теперь не на форумах, а вживую. Меня просто убивает их образ мыслей. Аксиома нумер один: Все вокруг идиоты, один я д'Артаньян. Аксиома нумер два: Все хотят меня бедного обмануть. Вывод -- я должен их обмануть первым! Аксиома нумер три: Надо урвать! Срочно, сейчас! Пока есть еще что урвать! А то другие набегут -- и мне не достанется...

Неужели и я когда-то таким был?
[off]

Автору -- не валяйте дурака. Поставьте то, что имеет смысл поставить для удобной работы. Старайтесь хорошо работать и, даже если Вас уволят, то Вы сможете найти работу не хуже.

[magus]

да увольнять в принципе не собираюца, яхорошо работаю просто есть идея выпросить з.п. побольше, в таком случае шеф может провести так сказать маркетинг, где найти нового специалиста скажем по солярис или план 9 и скока он будет стоить.... а шлюзы переделывать кому-то левому гимор, ибо там ещё и почта крутится и трафик считает и ещё всякий хлам.... народу много, если хоть на день всё это вырубить, платежи в банк не пройдут, и вообще вони будет... короче сплошные убытки
ЗЫ: пока что я придумал исполняемые скрипты писать на С и компилить.. а сурсы хранить на своём ноуте кроме того подобный "переход" будет хорошей тренировкой для мозгов кроме того неизвестную систему сложнее бахнуть... ну я так по крайней мере думаю...

[allez]

Не собираются увольнять - это хорошо. Вы давно работаете на текущем месте?

P. S. Что вы имеете в виду, говоря, что "неизвестную систему сложнее бахнуть"?

P. P. S.

пока что я придумал исполняемые скрипты писать на С и компилить..

Initng заново изобретаете?

[drBatty]

ЗЫ: пока что я придумал исполняемые скрипты писать на С и компилить..

Простите за совет, но не стОит. Во всяком случае вам необходимо месяц-другой почитать умные книжки, что бы узнать что такое скрипты и что такое С.

а сурсы хранить на своём ноуте кроме того подобный "переход" будет хорошей тренировкой для мозгов кроме того неизвестную систему сложнее бахнуть... ну я так по крайней мере думаю...

Ага. Специалисты из microsoft тоже так думают, никому "сурсы" не дают. И ОС у них самые защищённые... Как и у вас будут.

[Liksys]

пока что я придумал исполняемые скрипты писать на С и компилить

Идея хороша, НО...
Как чел, занимающийся инф.безопасностью, скажу тебе вот что
1) Если ты откроешь любой бинарник хексредактором, то увидишь все свои текстовые данные во вполне читабельном виде
2) Для предотвращения вот такой вот открытости можно использовать шифрование, при котором данные хранятся в зашифрованном виде, расшифровываются непосредственно перед исполнением и зашифровываются затем снова (или тупо затираются). Это конечно выход, но из этого проистекает следующий пункт...
3) Можно снять дамп памяти и применить дизассемблер и вскрыть все твои зашифрованные данные.
4) Для защиты от дизассемблера можно применить обфускацию, но хорошие обфускатыро стоят денег и довольно сильно влияют на производительность кода, кроме того, есть вероятность внесения ошибки в бинарный файл. Можно сделать условные переходы по многоуровневым указателям у еще кучу всего такого, но...
5) Однако всякие штуки типа IDA довольно неплохо обходят подобную защиту, причем иногда в автоматическом режиме.
6) Можно конечно работать на нулевом кольце в Линуксе, но это тоже не выход, есть методы обхода и такого шаманства

Вывод следующий: любая защита обходится, если не программными методами, то терморектальным криптоанализом точно

[magus]

2drBatty: ну что так серьёзно? я не новую супер-пупер-мега-ОС хочу изобрести. просто есть идея, ищу решение, общаюсь... а книжки вы сами читайте, ещё можете прозак попить и валерьяночку перед сном. а то что-то у вас с нервами и чувством юмора не то. и делать вид что не понимаете что означает фраза "пишу исполняемые скрипты на С" не стоит.... но но всякий случай поясню, что это означает вот что: СКРИПТЫ НАПИСАННЫЕ НА BASH ИЛИ SH ИЛИ ЕЩЁ ЧТО ПЕРЕПИСЫВАЮ НА ЯЗЫКЕ ПРОГРАММИРОВАНИЯ C И КОМПИЛЮ, ЧТОБО ОНИ РАБОТАЛИ АНАЛОГИЧНО, НО НЕЛЬЗЯ БЫЛО ПОСМОТРЕТЬ ИСХОДНИКИ. Тока суть вопроса не в том...
Короч, давайте не будем страдать фигнёй и обсудим пригодность малоизвестных ОС для использования в качестве шлюза... Умничать тут ни к чему.... Я не к вам на работу устраиваюсь...

2Liksys: Спасибо за интересные ответы! Думаю нет необходимости так углубляться, хотя попробовать стоит, хотя бы в качестве тренировки.

[Goodvin]

NetBSD, причем запустить его на каком-нить тостере или еще на чём покруче.

[diesel]

гм. представь себе ситуацию, настроил ты шлюз под системой которую ты плохо знаешь, что это значить: настраивал по руководству найденному в интернете, какое-то время она поработала нормально, раз работала нормально - шлюз никто не трогал, ты знаешь что он у тебя под это системой, но поскольку много другой рутинной текучки - на углубление знаний об это системе времени нет. Все работает, все всех устраивает. Вдруг что-то начинает ломаться. Побежать спросить сложно - система редкая, согласных ответить мало, способных ответить единицы, и они могут промолчать, самому разобраться сразу сложно, шеф нервничает. не хорошо получается. Усложняем ситуацию ... ты в это время заболел/в отпуске, дать четких указаний по телефону сложно, другие специалисты если посмотрят - объяснят всю ненормальность твоего поведения... и так далее.

[Тушисвет]

кроме того неизвестную систему сложнее бахнуть... ну я так по крайней мере думаю...

Загрузка с любого дистрибутива и в процессе установки - полный снос разделов на винте Вот и вся любовь

[magus]

кроме того неизвестную систему сложнее бахнуть... ну я так по крайней мере думаю...

Загрузка с любого дистрибутива и в процессе установки - полный снос разделов на винте Вот и вся любовь

ну я имел в виду удалённо т.е. взломать.....

[magus]

Вот тока что открыл журнад сисадмин увидел статью: Сетевой шлюз UNTANGLE www.untangle.com Ща почитаю поподробнее

[VPF]

Вот тока что открыл журнад сисадмин увидел статью: Сетевой шлюз UNTANGLE www.untangle.com Ща почитаю поподробнее

Я уже посмотрел.
Интересно... но там часть сервисов платная и цены приличные
вот цены

[drBatty]

2drBatty: ну что так серьёзно? <...>
Короч, давайте не будем страдать фигнёй и обсудим пригодность малоизвестных ОС для использования в качестве шлюза... Умничать тут ни к чему.... Я не к вам на работу устраиваюсь...

Да что вы! И в мыслях не было. Я просто думаю, что стоит сделать шлюз на той системе, которую вы лучше всего знаете. И програмки вместо скриптов идея стоящая. Конечно Liksys правильно подметил, что при желании это всё вскрывается, однако нового сисадмина вы серьёзно озадачите Тут ещё такой момент есть: а вдруг вы сами решите уйти(к примеру на повышение )? Вам надо будет быстро ввести новенького в курс дела, а как? Если исходники к "скриптам" давно утеряны?

[VPF]

Вот тока что открыл журнад сисадмин увидел статью: Сетевой шлюз UNTANGLE www.untangle.com Ща почитаю поподробнее

Так оно оказывается под Windows...

То-то я смотрю на скриншоты и удивляюсь их аляпости...

PS. Ещё раз посмотрел... Вроде бы для скачивания предлагается ISO около 450 Мб.
Значит всё же это не отдельный модуль под Windows. Столку сбил демонстрационный клип, в котором видна панель инструментов Windows снизу. Видимо они запускали в виртуальном режиме под Windows.

Весит много, а то бы потестировал...

[magus]

я на работе поставил скачивать, теперь права только в понедельник посмотрю... кста действительно системы с веб-управлением интересный вариант. Уходишь по хорошему с работы - отдаёшь панель управления новому админу, уходишь по плохому - не отдаёшь (предварительно запоров её)

[nrg]

Мну на одном из серверов отчудил следующим образом:
1) Поставил Федору-7
2) Все разделы кроме /boot шифрованные
3) Перепрошил BIOS на LinuxBIOS (кстати хорошая штука оказалась), немного молифицировав (сложности не представляет) его
4) Поставил на BIOS пароль неговоря уже о руте
5) Поковыряв исходники LinuxBIOS сделал привязку к винтам, то есть если винты заменили, при загрузки будет кукиш
Хочешь-не хочешь, а сервер только выбрасывать при модификации без участия мну

ЗЫ: большая часть этих фишек довольно нетривиально, но у меня тогда было время извращаться

Гениально бестолковое решение, уж простите.
На системе, у которой платформа только стоит окло 100 тысяч такое делать гм......
ОпенБосом шить 226ую платформу от IBM ? А какой из меющихся там трёх биосов шить ? А гарантию от ИБМ (SUN, HP и проч.) тоже терять ?
А как хардовый Рейд5 , (который с хорошей избыточностью изначально) прореагирует на привязку биоса к одному из винтов, которые заведомо должны \ могут сдохнуть ?

Пароль на биос на сервере ? Долговременный сбой электропитания и вытаскивание админа в энн часов ночи средины отпуска для приезда и ввода пароля на биос на безмониторный сервер , стоящий где-то в углу датацентра .....

А что скажет высоконагруженный файловый сервер на зашифровку его и без этого нагруженных массивов ? Я, конечно, не против шифрования, если вы мне подарите ещё хотя бы один Ксеончик, благо один слот свободен

Закончим с разгромом, продолжим с противодействием.
Перешиваем старый биос на ширпотребной машинку, который в 100% случаев есть на оффсайте, через что шьем? Идём в соседнюю контору \ к другу и берём программатор, либо вытаскиваем микросхему (они сейчас очень часто делаются съемными), шьем на другой матери и возвращаем. Грузимся.
Нет линуксбиоса, нет пароля, нет привязки к винтам.

Где ключи для расшифровки массивов? Я так понимаю, что где-то на системе, ибо обратного (на флеше \ на диске \ в голове) сказано не было, так что вытаскиваем ключи и всё

А к окончании всего, вспоминаем небольшой факт, говорящий о том, что каждый второй человек на Земле считает себя уникальным
А также парадигму - "Что всё, что создал человек, можно взломать".
И то, что при наличии средств и времени всегда можно найти специалиста, который это отломает \ починит \ перенастроит, благо не перевелись ешё спецы в Руси-матушке

[Denjs]

Мну на одном из серверов отчудил следующим образом:
...
5) Поковыряв исходники LinuxBIOS сделал привязку к винтам, то есть если винты заменили, при загрузки будет кукиш
...

этта... мну конечно в осадке... но...
я чЁ понять не могу... а если гвоздь по харду поцарапает... - харл вылетит.. как жить?

[Denjs]

аффтору - подымай на мак-оси )))
вот что бы мак ось жила как сервер - этого я нифига не слышал ^^

а вообще - топик "неправильныйвгенах".
мацкрософтом попахивает.
сделайте хорошо - никто вас и не выгонит.. а если начальство , простите, йопанудойе - так и с привязкой геморроя найдете... и все равно уволят.
потратьте время которое вы бя потратили на привязку "к нестандарту" на изучение LPI-1 - благо на сайте IBM по русски 90% (если не все 100%) лежат все учебники. сдайте LPI-1 и живите в свое удовольствие, изучая LPI-2.
уволят? ну да хеR бы с ней с такой работой - работу найдете быстрее чем ваш старый начальник нового админа.