Младший системный администратор Linux в Zeptolab, Москва

Задание:

Больно легкое задание.

Так вроде подхожу, а вот с англ. бида-пичаль, деловую переписку вести смогун а уровне «ok\fine\УМВР\fuck off»

host наше всё

цИмя же, или прямая А

Хорошее тестовое задание, интересное.

Можно поиграть с доменным именем, но в этом варианте сотрудник может прописать 8.8.8.8 вместо dns и попасть на оригинальный сайт.

Можно еще посмотреть текущий ip адрес этого сайта и зароутить его на машину-заглушку, но тут всегда есть внешняя контрольная точка которая может все поломать.

Остается только прокси-сервер, всем хороший вариант, но что делать если ваш сайт хочет https? Обучать пользователей плохому=соглашаться с не валидными сертификатами? или поднимать свою инфраструктуру PKI?

В общем, да, поговорить про то что в жизни счастья нет с этого тестового задания можно, и хорошо можно, но вот, как мне кажется, для junior sysadmin это таки перебор, не?

deny_info https://linux.org.ru

- в squid и никаких проблем.

Да проще же всё, дружище! Как, по-твоему, расейские провайдеры исполняют указания о блокировке неугодных сайтов?

- все запросы по 53 TCP/UDP заворачиваются рутером на локальный DNS. Привет любителям писать 8.8.8.8 - вы и вправду думаете, что вы с гугловым DNSом общаетесь? :) ;

- все запросы на 3128-3140, 8080 (ну и еще что-нибудь до кучи) - на локальную проксю.

- обычные запросы - через прозрачную проксю. Ну и СОРМ, конечно же. :)

Че делать с https?

Так может делать только ростком, выплачивая сотни лямов менеджерам и кричя,что купить DPI у хуавея денег нет.

Да ничего с ним не делать.

На внутреннем хосте, который отрисовывает страшную страничку «сюда вам доступ запрещен» просто не слушать 443-й порт.

Соответственно, браузер юзерам отрисует тайм-аут и всё.

Хм. Вообще сделал бы средствами веб-сервера как-нибудь так:

# Lighttpd...

    $HTTP["remoteip"] == "192.168.0.0/16" {
        server.document-root = var.basedir + "local.supersait.ru"
    }   

Это если supersait.ru вам принадлежит. Тогда можно кучей способов это сделать.

В условии задачи не сказано, что вы можете им управлять.

Соответственно, речь идет о том, чтобы заблокировать доступ к внешнему сайту, представив локальным юзерам сайт-заглушку.

Тогда да, на прикладном уровне задачу не решить.

Интересно, 2-ой задачей не будет: как получить доступ к внешнему сайту?

Squid уже умеет в MitM а серт в доверенные мы добавим. Мы же админим эти компы)

На каждый левый сайт добавлять серт будете?

VPN

Нет. Добавляется один серт, которым сквид подписывает сгенеренные для каждого сайта

Понятно, что можно использовать VPN или proxy, чтобы зайти на сайт. Но не лучше ли называть всё своими именами? Если это локальный ресурс для пользователей компании, то использовать другое имя?

Ну если не VPN, то другая логическая подсеть, которой разрешено всё.

А если сайт https-only и с http просто редиректит на https?

:)

Это самый хороший расклад, я же считаю что надо закрыть vk.com доступа к которому нет и подменить его на мотивирующую страницу.

Кстати, не факт что админите :)

И разве cert может выписывать сертификаты без подверждения владения доменом? А если нет владения доменом то усе пропаложе, да? Остается поднимать только свой центр сертификации и прочую PKI инфраструктуру, что было озвучено еще в первом комментарии ;)

если резать все https запросы же то усе пропало!

А если не резать, то хоть tor можно поднимать :)

Кстати, не факт что админите :)

Пляски с DNS и перенаправлением на шлюзе всех DNS-запростов выше описаны)

А по сертификатам: достаточно и самоподписанного. Это ж его добавляем в доверенные корневые центры сертификации. И им squid подписывает динамически генерируемые для доменов.

Еще раз:

DNS-запрос перенаправили на локальный DNS-сервер. Который на «нехороший» сайт дал IP локального сервера.

У локального сервера в HTTP-сервере нет разделения на виртуалхосты. Тупо *:80. С каким бы именем сайта в http-запросе к нему ни обратились, он всегда отдаст один и тот же контент. Если запрос https, то этот сервер на него просто не ответит и браузер отрисует пользователю тайм-аут или режект.

При чем тут редирект с http на https на оригинальном сайте?!?!?!?

Обмануть систему можно, принудительно подсунув в доверенные левый корневой сертификат каждому пользователю на предприятии. Соответственно, на основе этого левого сертификата генерировать «страшные странички» и по https тоже.

Но тут ряд проблем:

1. Если уволившийся админ утащит с собой этот корневой сертификат, любимой конторе в будущем он сможет организовать много «приятных» событий типа фишинговых сайтиков банков, которые не отобьются контролем левых сертификатов в браузерах.

2. Банальная задачка «заблокировать https сайт» превращается в кучу плясок с бубном. Не только прописать зону, но и прописать виртуальный хост на локальном веб-сервере, да еще и сгенерировать ему сертификаты.

3. Беготня с тем, чтобы каждому юзеру на предприятии таки вписать этот самый корневой сертификат на всех браузерах.

Как было отмечено изначально, придется возиться с инфраструктурой PKI, а это уже работа не junior sysadmin, ага?

Я же объяснил: по-моему, с этим вообще возиться не надо.

Ну нарисует браузер таймаут вместо «страшной странички». Ну и что? Зато не надо много-много лишних телодвижений и нет потенциальной дыры в безопасности компании.

Ну нарисует браузер таймаут вместо «страшной странички». Ну и что?

Юзеры оборвут тебе телефон и прочие средства связи с жалобами на то, что Интернет не работает. А так ничего.

Ты сам себе усложняешь задачу. Джуниор вряд ли знает про PKI и вряд ли вспомнит про https :)

Пусть обрывают. По каждому такому звонку - докладная руководству.

Так, мол, и так. Милый гражданин такой-то мало того, что в рабочее время пытается сидеть в запрещенных корпоративными правилами вконтактичке/быдлоглазничках, так еще и IT-отдел напрягает. И аудиозапись с астера приложить.

После пары-тройки строгих выговоров с занесением в трудовую, все станут тихими, белыми и пушистыми. И вопросы глупые задавать перестанут.

Вы только что не прошли первое интервью в стартап, поздравляю!

Спасибо. Переживу.

Сделать fake'овое DNS-имя для этого сайта :)
А вообще задание явно на SQUID, а сделать это проще/интереснее - подменой HTTP-заголовков с помощью Privoxy.
Ну и да, не могу не отметить, что российский бизнес - самый инфантильный, самый паразитический и самый морально разлагающий бизнес на свете. На 1 человека, который организует бизнес по производству йогуртов найдётся 2000 человек, производящих НЁХ (неведомую ё*ную х*йню). Стыдно и горько за нашу страну, в которой что-то полезное могут производить только крупные госпредприятия, не развалившиеся с распадом Союза.

https кто-то отменил? Для решения вопроса этого вопроса надо либо строить PKI либо я не понимимаю :)

Да проще же всё, дружище!

А если пользователь заранее посмотрел ip сайта и записал его себе в hosts?

По каждому такому звонку - докладная руководству

Ты же первый и получишь под зад мешалкой. Наивный.

Даже в венде вполне можно сделать policy так, чтобы юзерский комп смотрел DNS и не смотрел локальные hosts.

Да и, как бы, очень мудрым должен быть юзер, чтобы знать, где hosts менять. И права у него должны быть на это.

С чего бы это? Насколько я понимаю, в данном случае это - политика партии и правительства.

Даже в венде вполне можно сделать policy так

Неизвестно, что за железки у пользователей.

очень мудрым должен быть юзер

Юзер тебе ничего не должен. Твоя задача подменить сайт, несмотря на действия пользователей.

Представь, что в организации 100500 машин и на 50% завёлся троянчик, который рандомно раз в час заменяет запросы к сайтам на запрос к сайту в задаче. Тебе, как младшему, поручают простую задачу: завернуть обращения к сайту на локальный сайт, чтобы: 1.у пользователей не вылазили голые нигры, 2.собрать информацию о том, какие машины заражены. А ты берёшь и https отрубаешь вообще - зашибись, специалист.

Самоподподписанный сертификат, не? Можно и по браузерам распихать сертификат фейкового CA, но зачем - на это итак никто не обратит внимания.

- Опыт автоматизации задач администрирования. Для понимания того, насколько будущие задачи будут по тебе - мы предлагаем тестовое задание

Специфический стиль журнала Хакер. Как говорят либерасты, в ЭТОЙ стране принято к незнакомым людям обращаться на Вы.

Фейковый CA нужно как-то обновлять. Так же нужны revoke списки, что называет PKI, ага?

Да ладно, поставить срок протухания сертификата лет 20-ть - и не парится. По-моему проблема всецело надуманная. И что там ревокать, и зачем? Пустой crl создаётся одной командой.

Прозрачный прокси, замена домена, nginx прокси на оригинальный сайт.

А тема все живет и процветает, несмотря на то что вакансия закрыта... мной :)

Потом у тебя стащат корневой сертификат, ибо использование флешки тебе кажется сложным, и сделав фейковый сайт вашего интернет банка где в компании зарплатный проект отобьют все бапки?

:)

https как бы призван защищать от прозрачных прокси ;)

Мы тебе завидуем!

Ой, да не стоит :)

Я бы использовал для подключения локальных пользователей компании в инет маршрутизатор. На маршрутизаторе использовал бы policy-based routing. Там настроил http-redirect по url "http://www.supersait.ru" для требуемых src ip.