gaa>В общем, моё предложение: прописать автору статьи препарат "апстенка" в дозировке по 2 кирпича 3 раза в день после еды

+5!!! Правильный диагноз. Но лечение слишком консервативно! ;)))

> где нужно что-то поменять, чтобы обойти Software Restriction Policy, заданную на контроллере домена?

http://blogs.technet.com/markrussinovich/archive/2005/12/12/circumventing-gro...

(это на тему "другие методы инъекции DLL")

Ага, ага... и доверительными отношениями 10-ти виндовых серверов друг с другом... Со всеми группами и ресурсами.
Санычь, будет дальше на думку пробивать, в дурку попадешь. :)

И о чем это говорит? Пытаемся перевести разговор в другую плоскость? Може ради интереса обсудим список всех уязвимостей в линаксе с 2005 года?

Бери выше. Десятки тысяч серверов по всему миру. Виндовс, конечно имеет свои недостатки, но AD нравится даже мне.

Зачем переводить в другую плоскость?
Групповые политики в винде - говно. Пользоваться этим не возможно. Поэтому, ни у кого не возникает потребности это говно в линуксе реализовывать.
ЗЫ. Ты ведь не организовываешь себе спальное место в холодильнике.

> Може ради интереса обсудим список всех уязвимостей в линуксе с 2005 года?

В принципе я не против обсудить список неисправленных уязвимостей, и особенно неисправимых из-за кривого дизайна.

Саныч, знаешь такую компанию Жиллетт, что недавно схавана проктором с гембалом? Вот у них тыща виндовых серверов по всему миру. Когда от них приходит сообщение, что пользователя с таким емылом нет, мы уже даже не нервничаем, а просто посылаем письмо еще и еще... Бывает что и доходит. А одно письмо в их дебрях почти неделю путишествовало. Да там у них чудес столько, что в одном посте и не перечислить.

Может предложишь аналог того как управлять правами на тысячах машин под линаксом? Когда параметров управления ~500.

лыдап тебе не поможет?

Издеваешься?

Смысл?

> параметров управления ~500

Такого не бывает.

В Windows Vista добавлено около 800 новых параметров политик. Эти параметры принадлежат к различным категориям.

В состав новых областей групповых политик входят политики проводных и беспроводных сетей, брандмауэра Windows и IPsec, управления печатью, оболочки рабочего стола, удаленного помощника и планшетных ПК.

> В состав новых областей групповых политик входят политики проводных и беспроводных сетей, брандмауэра Windows и IPsec,

решено в iptables

> управления печатью,

решено в cups

> оболочки рабочего стола,

решено в kiosk

> удаленного помощника

нах?

> и планшетных ПК.

тоже решено. достаточно добавить или убрать пользователя из группы plugdev

Как в iptables управлять ключами IPsec?

> Как в iptables управлять ключами IPsec?

пардон, наквотил лишнего.

2 gaa

В AD есть еще один момнет - централизованное управление всем этим хозяйством на уровне компютеров и/или пользователей. А если на наследованиях политик в AU менять разрешения, то и на уровне групп пользователей.

> По ссылке не ходил. Неужели там наконец-то рассказано, что делает команда rm -rf /

Она давно уже ничего не делает.

# rm -rf / rm: невозможно удалить корневой каталог `/'

> А вот интересно, насколько сложно в SELinux эмулировать возможности групповых политик в винде?

В венде вообще невозможно использовать политики SELinux из-за отсутствия в этой убогой системе мандатного контроля доступа вообще и на уровне ядра как в Linux в частности.

>линаксом

К логопеду, быдло!

>линакс

К логопеду, быдло!

> решено в iptables > решено в cups > решено в kiosk

А теперь то же самое - централизованно, единой политикой?

> В AD есть еще один момнет - централизованное управление всем этим хозяйством на уровне компютеров и/или пользователей. А если на наследованиях политик в AU менять разрешения, то и на уровне групп пользователей.

Всё, что я выше написал, работает как для отдельных компов, так и для пользователей.

Централизованно - это из какого-то гуя? Этого нет. Кстати, мс вроде сам от настроечных гуёв отказывается, всё более смещаясь к консоли.

Централизованно - это из единой базы данных, которая называется Active Directory. Независимо от того, через что это делается - через гуй оснасток MMC, через командную строку, из скриптов WMI, из PowerShell или из приложений через API ActiveDirectory (http://msdn2.microsoft.com/en-us/library/aa772146.aspx)

> Централизованно - это из единой базы данных, которая называется Active Directory.

Все проблемы с пользователями решает LDAP. Тут с базой лучше чем без базы. А совать туда права доступа на файл или настройки iptables неразумно просто исходя из того, как потом используются эти данные.

Ты это прочитал на умном форуме? У тебя используется LDAP в распределенной региональной сети? Работал ли ты с AD на уровне распределенной региональной сети?

> Ты это прочитал на умном форуме? У тебя используется LDAP в распределенной региональной сети? Работал ли ты с AD на уровне распределенной региональной сети?

Сначала представьтесь, а потом я отвечу на все Ваши вопросы.

Есть у тебя сеть из кучи компов, тебе надо задавать правила iptables. Ну например ты установил везде новую прогу и теперь надо открыть ей порт. Как ты это будешь делать? конечно ты можешь это сделать пробежав ssh+cкрипты по всем машинам, но они должны быть для этого включены (а если не включены то изменения не применятся). учтя это ты усложняешь свой скрипт "разнесения настроек", который пробежиться по всем включеным, а те что не ответили будет долбить каждые 10 минут пока твоя самописная политика не разойдется на все компы. Помимо этого тебе надо будет вручную обновить настройки образа которые ты будешь разливать на любые вновь прибывшые компы, кроме того тебе эти правила желательно где-то централизовано хранить что б оно само (по крону) уехало в удаленный офис где ты к кадому компу напрямую достучаться не сможешь ибо там NAT. Теперь прибавь сюда требование разделять политики по группам компьютеров (одним одно,другим другое), плюс еще желательно иметь "Общие" политики, которые бы применялись ко всем компьютерам - иными словами тебе надо выстраивать иерархию ПК и к каждому уровню привязывать политику. Конечно потрахавшись недельки-две, отладив все скрипты, выловив толпу багов, в итоге ты будешь иметь инструмент который позволяет централизованно распространять настройки iptables, но проблема в том что таких задач десятки и под каждую придётся тебе писать свою пачку скриптов. А если ты уйдешь из этой компании? Следующий админ (какой бы толковый он не был) будет полгода разгребать твоё наследство, попутно дописывая своё (ибо нет предела совершенству).

> Ну например ты установил везде новую прогу

Попутно AD чере Group Policy еще и саму эту прогу установит кому надо.

>> Ты это прочитал на умном форуме? У тебя используется LDAP в распределенной региональной сети? Работал ли ты с AD на уровне распределенной региональной сети?

>Сначала представьтесь, а потом я отвечу на все Ваши вопросы.
>gaa (*) (17.10.2007 20:56:40)


Фуууу .... так жЁстко слить на самом интересном месте :)
Хотя чего тебе оставалось то :)

2anonymous (*) (17.10.2007 18:42:15)

хреновая шутка, кстати - щас веть ктонить попробует и кирдык...

>линаксом

К логопеду, быдло!

Слова iptables-save и iptables-resore знакомы? Выкладываем соответствующие файлы на шару и получаем при следующем запуске выключенных машин применение новой конфигурации. Фалов можно написать несколько, откуда получим разделение "одним одно, другим - другое".

Про NAT - а если между компами убрать сеть, так вообще неимоверно сложно будет ими централизованно управлять :) Так что это не довод в пользу AD.

Прошу озвучить оставшиеся десятки задач.

Сходил по ссылке. Создалось впечатление, что автор мудак.

По кр. мере, не на таком уровне надо доступ контролировать.

>Сходил по ссылке. Создалось впечатление, что автор мудак.

ага, а я заметил что человек запостивший новость не ответил ни на один вопрос в ветке...

Статья для начинающих

Как достали журналюги!!! Ну нет такой системы X-Windows, есть X-Window System!!!

Да и сама статья говно:

Написанна для: "Это руководство написано для администраторов Linux, чьи навыки и опыт находятся на уровне от _среднего_ до _высокого_. Вы должны быть хорошо знакомы с процессом загрузки Linux, уверенно управляться с командной строкой и обладать практическими знаниями языка программирования C."

И в то же время объяснение как для даунов (да еще и не правильно): "выполнение так называемого скрипта init, записанного иногда в /etc/rc. (или в некой вариации этого пути) или в /etc/init.d (в случае Ubuntu Linux). Все эти скрипты используют для реального выполнения /bin/sh, так что вы не можете просто удалить эту оболочку из системы, в противном случае ваша машина не сможет загрузиться."

Спасиба подрачил!!!

линакс - эт не к логопеду, это вам шоб диарея не мучала. ))

http://www.piluli.kharkov.ua/drugs/drug/1204/ з.ы. порадовало заглавие

>линупсе

К логопеду, быдло!