пересобрать ядро с отключением поддержки. Или выгрузить нужный модуль - так проще

Если будет сильно надо - всё равно вынесут. Поможет только полный обыск на входе/выходе =).

бездисковые рабочие станции, загрузка по сети + удаление из ядра соотв. модулей для поддержки usb mass storage / card reader'ов и прочих вайфаев. ну и интернеты всем отключить, чтобы не дай б-х куда не залили код.

Спасибо за ответ, то что нужно!

Как можно было бы обеспечить сохранение всех файлов только на удаленном сервере т.е. чтобы рабочие файлы не хранились на локальной машине? Монтировать nfs раздел в домашнюю директорию как-то не аккуратно?!

И принтеры и мобилки с камерами отобрать и ... и еще у всех паспорта забрать

Я задумывался об этом, но цена на бездисковые рабочие станции приближается к цене ноутбука, не проще ли тогда на основе ноутбука сделать «бездисковую станцию»?

Все разработчики работают на ноутбуках

И домой их не берут?

Верно. Это ноутбуки компании

> не проще ли тогда на основе ноутбука сделать «бездисковую станцию»?

я о чем и говорю. использовать то что есть. физически вытащить винты, вайфай карты, bluethooth модули из ноутов вполне можно.

Кажется что mironov_ivan прав:
Программистам необходимо взаимодействие друг с другом, с сервером, хранящим их файлы. Предположим, что для этого мы используем ethernet.

В таком случае, ничто не мешает программисту прийти со своим ноутбуком и patchcord'ом и передать все необходимое но свой ноутбук.

Паранойей заниматься не хочется

> В таком случае, ничто не мешает программисту прийти со своим ноутбуком и patchcord'ом и передать все необходимое но свой ноутбук.

MAC фильтр на свичах + DHCP по MAC. домик монтировать через NFS только после авторизации. все домики естессно хранятся на сервере.

> Паранойей заниматься не хочется

ну тогда нужно сделать так, чтбы сотрудники сами не были заинтересованы в воровстве кода.

и как вы их остановите, если они захотят отправить архив домой(почта, джаббер) поработать :)
кто захочет, тот всегда найдет 1000 и 1 способ это сделать

отключить всем интернеты, очевидно же.

Opensource и Freesoftware рулит! Народ, зачем вы помогаете грязным проприетарщикам!!??

а питаться ты чем будешь? воздухом чтоле? надо же и как-то денежку зарабатывать, особенно когда на шее жена/дети.

Я так понимаю разработчики линукс и его дистрибутивов видимо святым духом питаются?

Компания занимается разработкой ПО исключительно для своих нужд и я не вижу здесь ничего плохого. Возможно в будущем, некоторые блоки кода лягут в основу некоторых opensource библиотек, которых сейчас лично мне не хватает

>Я так понимаю разработчики линукс и его дистрибутивов видимо святым духом питаются?

Не у всех есть возможность заниматься тем, чем они хотят.

Если для своих нужд, значит не коммерческое применение, а значит прятать нечего.

В таком случае, на своем принесенном ноутбуке сменить MAC на MAC-адрес другого сотрудника и все. MAC фильтр не поможет

Что меня забавляет, человек придет с вполне нормальным вопросом в надежде получить ответ. Но найдется тот, кто будет разубеждать его в том, что все что он хочет - не правильно! Так вопрос к такому товарищу - какое Вам дело?

Основная причина в том, что даже ответ вида «все что он хочет - не правильно» является решением его вопроса. Может быть неявным решением, но посылом для нахождения альтернативных путей решения.

Было бы желание, вынесут. как бы не закрывал доступ.

К сожалению, я на русском языке в открытом доступе не видел полноценных материалов на эту тему. Если вам действительно это нужно, то я бы на вашем месте обратился в соответствующие структуры, потому что полноценное обеспечение ИБ это комплексная задача и её не решить получая советы в треде на ЛОРе, при всём моём к ЛОРу уважении.

пообещайте отрубить руки, и потом показательно кому то отрубите.

> В таком случае, на своем принесенном ноутбуке сменить MAC на MAC-адрес другого сотрудника и все. MAC фильтр не поможет

зато поможет привязка MAC адреса к порту свича + обязательная авторизация перед монтированием домика по NFS.

Наверное я вас не понимаю. Ситуация:
Есть 2 ноутбука компании, программист приносит 3-й. Получаем mac-адрес 2-го, подключаем сетевой кабель к 3-му.

В итоге:
* 2-й ноутбук отключен.
* 3-й ноутбук(принесенный с собой) имеет mac-адрес 2-го и подлючен по его сетевому кабелю(т.е. подключен к тому же порту).
* Осуществляем передачу от 1-го к 3-му.

а еще сотрудник может пойти в туалет с ноутом, там поменять винт на принесенный из дома, а старый винт унести с собой. Загрузить ядро свое и выйти в инет через gprs/3g.

Очивидно же надо ставить камеры визде.. особено в туалеты

Вообще - да. Но, говоря о конкретном случае, код представляет ценность по-сути только для самой компании. Причины по которым программист захочет его вынести:
- Хочу поработать дома
- Хочу иметь свою копию, «а вдруг пригодится»

Я так же не рассматриваю возможность программиста к повышению локальных привилегий до рута со всеми вытекающими. Я прекрасно понимаю, что все это достаточно легко.

На данный момент меня интересуют методы усложнения «работ по выносу информации».

>Что меня забавляет, человек придет с вполне нормальным вопросом в надежде получить ответ. Но найдется тот, кто будет разубеждать его в том, что все что он хочет - не правильно!

Ну вообще-то исходный вопрос техническими мерами нерешаем.

это как сказать. вот сделать, как в староглиняные времена: рабочий терминал в железной комнате, вход только голым, по пропускам, на входе человек с автоматом. чем не решение? а вообще, да: задача адекватного решения не имеет.

Вот усложнение это уже другой вопрос и тут достаточно простых мер, таких как отключение устройств и хранение файлов на удаленном сервере. С другой стороны, что плохого если работник возьмет работу домой? Предприятие все рано не оплачивает ему часы работы проведенные дома в не рабочее время? Очевидная экономия.

> * Осуществляем передачу от 1-го к 3-му.

а если тупо убрать с ноута компании все что может быть использовао для передачи файлов? nc/ftp/scp/whatever? или оно нужно для работы? хотя, никто не помешает написать простого демона на том же перле..

* 3-й ноутбук(принесенный с собой) имеет mac-адрес 2-го и подлючен по его сетевому кабелю(т.е. подключен к тому же порту).

запретить свичу обмен данными между lan портами? только на wan.

> а еще сотрудник может пойти в туалет с ноутом, там поменять винт на принесенный из дома, а старый винт унести с собой. Загрузить ядро свое и выйти в инет через gprs/3g.

дык ноуты бездисковые же. а домики (т.е. все данные) цепляются по NFS. и загрузка (т.е. /) по NFS.

> задача адекватного решения не имеет

имеет, но с кучей жестких ограничений для сотрудников. основное из которых - отсутствие интернетов.

Спасибо за предложения, буду думать.

Никаких home по nfs. Запускать всё существенное на сервере. Хотя-бы даже обычным X11 с DM «оттуда» — при желании унести в виде скриншотов удастся, но проблем может оказаться больше, чем доход с выноса. В принципе, может получится обнаруживать факт массового «листания», но специфический софт понадобится. Удалённый доступ в том же режиме только через vpn, а устройства ограничивать — не обязательно. Доступ в сеть и т.п. — с Xserver-а на соседнем vc того же «ноутбука».

Ещё можно потребовать vpn-а в любом случае, с ключём на брелке, отбираемом при выходе и инициализируемого при входе в здание офицером безопасности после проверки «легальности» установленного на ноуте софта. Или чуть проще: по приходу в офис, офицер вынимает из ноута батарейку, грузится с сети или кошерного CD, и вводит «пароль» для доступа к системе — но тогда удалёнки не получится.

Работа в режиме X-терминала - единственное решение, которое я вижу.

За стеклом.

Что меня забавляет, человек придет с вполне нормальным вопросом в надежде получить ответ. Но найдется тот, кто будет разубеждать его в том, что все что он хочет - не правильно!

Ну вообще-то исходный вопрос техническими мерами нерешаем.

Решаем, но не всеми. Если человек спрашивает о таких вещах на L.o.r.'е, значит он ещё не достиг нужной квалификации в нужной области.

Теперь о технической решаемости.

1. Сотрудники работают на тонких бездисковых клиентах стоящих на рабочих местах, а не ноутбуках.
2. Системный блок бездисковоо клиента спрятан в запертый ящик, из ящика торчат только 5 проводов: питание, сеть, монитор, мышь, клавиатура.
3. Терминалы непрерывно включены, проверяется наличие связи с ними (чтобы нельзя было откусить кабель, обжать конец и подключиться чем-то неправильным).
4. Интернеты отключены.
5. ???
6. PROFIT

Как бы вы в данном случае пёрли код? Не исключаю даже, что вы найдёте в моём предложении изъян, потому что я сам далеко не специалист в области.

>это как сказать. вот сделать, как в староглиняные времена: рабочий терминал в железной комнате, вход только голым, по пропускам, на входе человек с автоматом. чем не решение? а вообще, да: задача адекватного решения не имеет.

А лучше вообще посадить всех программистов в шарашку, под охрану и никаких им интернетов. Тогда точно задача решабельна станет.

>Как бы вы в данном случае пёрли код? Не исключаю даже, что вы найдёте в моём предложении изъян, потому что я сам далеко не специалист в области.

http://dihalt.ru/poslednij-geroj-truda-chast-1fh.html#comments --- для тех, кто с детской наивностью считает себя самым умным.

Слаб и жалок человек.

http://dihalt.ru/poslednij-geroj-truda-chast-1fh.html#comments --- для тех, кто с детской наивностью считает себя самым умным.

Взломали-то не систему, а человека. С таким же успехом можно рассмотреть вариант написания и запуска программистом эксплойта на сервере, захвата управления и отправки исходников по интернетам. Кроме того, в случае использования тонких бездисковых терминалов такой фокус не пройдёт. Кто ж ему даст подмонтировать флешку?

Возвращаясь к вопросу того, что слабое звено в безопасности человек:

Даже в самом защищённом городе найдется калитка, через которую пройдет осёл груженный золотом. (Филипп Македонский)

Ну и напоследок, безопасность это управление рисками. Можно настроить всё правильно, нанять грамотных админов, но в такой клетке программисты кроме как за большие деньги работать не захотят, не комфортно.

>Взломали-то не систему, а человека. С таким же успехом можно рассмотреть вариант написания и запуска программистом эксплойта на сервере, захвата управления и отправки исходников по интернетам. Кроме того, в случае использования тонких бездисковых терминалов такой фокус не пройдёт. Кто ж ему даст подмонтировать флешку?

Ну там точно так же ограничили человека, что не помешало взломать систему.

Вообще лучшая идея от воровства исходников --- это свои программисты, с идеальными условиями труда и зарплатой несколько выше средней, чтобы уход в другое место был событием крайне нежелательным. Любое техническое ограничение обойдут чисто из принципа, а кто считает, что предусмотрел все технические возможности --- дурак по определению.

Иногда и этого мало.

Ну там точно так же ограничили человека, что не помешало взломать систему.

Повторяю, взломали не систему, а человека. Человек своим ключом открыл шкаф и установил левое оборудование. Если бы действовал по параноидальной инструкции (если бы ему до этого кто-то написал параноидальную инструкцию), то он взял бы мышку из рук пролетария, положил её в мусорное ведро, достал новую из опечатанной коробки и установил её.

Вообще лучшая идея от воровства исходников --- это свои программисты, с идеальными условиями труда и зарплатой несколько выше средней, чтобы уход в другое место был событием крайне нежелательным. Любое техническое ограничение обойдут чисто из принципа, а кто считает, что предусмотрел все технические возможности --- дурак по определению.

К сожалению и этого может быть мало. Даже высокая зарплата не защищает от внезапных приступов сумасшествия и расшаривания исходников всему миру. Так что ваша «лучшая идея» не выдерживает критики. Технические меры тоже нужны.

Любое техническое ограничение обойдут чисто из принципа, а кто считает, что предусмотрел все технические возможности --- дурак по определению.

Это, я так понимаю, вы перефразируете мою фразу «безопасность это управление рисками»?

>Работа в режиме X-терминала - единственное решение

Вопрос в том, насколько оно достаточно. Мне кажется, что специально подогнаный X-сервер вполне может восстанавливать (с целью локального сохранения и последующего выноса) данные из команд отрисовки. Самый тривиальный случай — запустить Xnest и распознавать текст на снимках экрана. Геморроя достаточно, но не факт, что всегда везде и всем; какая-то информация может стоить выделки. Тогда могут понадобиться дополнительные меры.

это свои программисты, с идеальными условиями труда и зарплатой несколько выше средней

Тогда profit не будет. Понимаешь, основная идея сегодняшних «хозяев» нажиться на людях, к примеру программистах, используя их как скот

>Повторяю, взломали не систему, а человека. Человек своим ключом открыл шкаф и установил левое оборудование. Если бы действовал по параноидальной инструкции (если бы ему до этого кто-то написал параноидальную инструкцию), то он взял бы мышку из рук пролетария, положил её в мусорное ведро, достал новую из опечатанной коробки и установил её.

После чего была бы вторая часть марлезонского балета с другой удачной идеей. Например, рабочий откусил бы имеющуюся мышу кусачками, и подцепил бы на провод более продвинутый вариант нафаршированной с клеммами под него.

Это, я так понимаю, вы перефразируете мою фразу «безопасность это управление рисками»?

Ну вот автор темы своими руками пытается создать себе на мягкое место ненужные риски, надеясь, что укрепит безопасность.

http://infowatch.livejournal.com/tag/Инь+Фу+Во

Отака!

После чего была бы вторая часть марлезонского балета с другой удачной идеей. Например, рабочий откусил бы имеющуюся мышу кусачками, и подцепил бы на провод более продвинутый вариант нафаршированной с клеммами под него.

Вот это уже серьёзное предложение. Такая атака действительно может пройти. Защититься от неё можно подключив мышку к PS/2. Паранойя во все поля.

Ну вот автор темы своими руками пытается создать себе на мягкое место ненужные риски, надеясь, что укрепит безопасность.

http://infowatch.livejournal.com/tag/Инь+Фу+Во

Подписываюсь под каждым вашим словом, и отдельно под притчами Инь Фу Во.