LINUX.ORG.RU
ФорумAdmin

Немного флуда о тонких клиентах, смарт-картах и администрировании вообще

 , , ,


0

2

Здравствуйте. В общем, подумал я о том, что, вместо того, чтобы обслуживать каждую машину по-отдельности, можно всё «серьёзное» оборудование сбить в один мощный сервер, а отдельным пользователям раздать какие-то дешёвки, на вроде Raspberry Pi, для создания тонких клиентов. Идея неплохая, можно сказать, проверенная годами, меньше возни по-поводу каждой отдельной машины, абсолютная взаимозаменяемость клиентских машин и т.д.. Один раз настроил, одну машину обслуживаешь – кайф (пять минут на установить PXE-загрузку на мелкашах + несколько доп. пунктов даже не считаются). Но есть одна маленькая проблема – проблема разграничения доступа. Во-первых, кто-либо мажет, например, запустить майнер или заразить систему вирусом; во-вторых, раз всем так просто пересесть за другой компьютер и войти в свой аккаунт, то почему кто-то другой не может сесть за случайный компьютер и взломать акк директора, например (мы же все знаем, насколько надёжными являются пароли четыре единицы пользователей); а в-третьих, как позволить пользователям устанавливать желаемые пакеты? Ну, с первым проще всего (по крайней мере, в теории): создать для каждого пользователя cgroup с ограничениями по ресурсам и запускать сеансы и прочие процессы из под этих cgroup. Со вторым сложнее, моя идея – добавить на мелкаши по адаптеру для смарт-карт, и настроить систему следующим образом: когда вставляется карта доступа происходит запрос на подписание рандомного токена; проводится проверка на то, чьим ключом был подписан токен; если подписатель опознан, запрашивается пароль (да, дополнительно) (и да, логина не нужно); после авторизации будет проводится регулярные запросы на подписание новых и новых токенов; если токен не был подписан или был подписан другой парой ключей, немедленно производится выход из сеанса пользователя и снижение квоты вычислительных ресурсов cgroup пользователя до нуля. И третье: вместо того, чтобы всем делать общий $PATH, всем сделать по отдельной папке ~/.local/bin и туда хардлинкить всё, что пользователь захочет «установить» себе (разумеется, во имя безопасности, папку создадим под root и без права записи пользователем. Если он захочет установить что-то, он использует API и подключится к сервису (программы разработаем отдельно, возможно замаскируем под apt какой-нибудь или другой известный менеджер пакетов)).

Как вы считаете, имеет ли такая идея право на жизнь? Что вы вообще думаете об этом?

Ответ на: комментарий от ShkiperDesna

Организация фишинговых неорганизованных организантов не может прочитать столько текста без разбивки на абзацы, переводы строк и прочие 1310 и 0D0A (извините за строчнопереводный оффтопик)

Brillenschlange ()
Ответ на: комментарий от ShkiperDesna

Под «Spoofing» вы имеете ввиду вид фишинга или какую-то организацию?

Скорее, организм.))

@Spoofing

ashot ★★★★ ()

Идея не рабочая совсем. рпи имеет свой загрузчик, вам требуется нормальный uefi. Действительно, покупают для реализации таких вещей небольшие пк, но цены там выше, чем на обычные башни, просто деньги не экономят, а место и внешний вид важен. На 100 пк вам надо 2 админов эникейщиков. На схему 100 нет пк + севрвера для реальной работы надо 5 нинзей, которые забыли уже сколько они пудов соли сжевали, пока адмнили. А у вас ещё и на линуксе. Где это активно используется. Ваша идея чуть более чем всегда используется в телекоме, в банках. Там как правило данные слишком дороги. Любой способ ограничить доступ пользователя к данным одобряется. Но это дорого, сложно в настройке и обслуживании. оффтопик Открою вам страшную тайну. Сегодня бюрократия в том числе и у комерсантов достигла таких высот, что компы не чиняться никак. Только замена шумящих вентиляторов и замена батарей в ups, всё. Все остальные поломки – пк списывается, заменяется на другой.

anonymous ()

Один раз настроил, одну машину обслуживаешь – кайф

Сервер прилег — ничего не работает, вообще. Кайф.

Nervous ★★★★★ ()

мы же все знаем, насколько надёжными являются пароли четыре единицы пользователей

Полиси на сложность пароля, постоянный аудит, автобан после 3 попыток с разбаном в офисе по предъявлению паспорта.

slowpony ★★★ ()

Идея прекрасна, реализация так себе.
Предлагаю начать с того, чтобы убрать к херам все знаки препинания.
Это поможет превратить поток сознания в единый непрерывный массив букв сознания.

Brillenschlange ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.