|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Ramazan Jah-Far 2:5020/400 19 Feb 2004 04:24:21
To : Victor Wagner
Subject : Re: Российский LINUX победил WINDOWS
--------------------------------------------------------------------------------
Hi!
In fido7.ru.linux, Victor Wagner wrote:
VW>>> Профили в этом контексте поминаются как один из способов совместить
VW>>> несовместимое - персональный компьютер с централизованным
VW>>> администрированием.
Я возражаю конкретно против этой фразы.
Вообще многие общие утверждения типа "тише едешь
- дальше будешь" на практике не оправдываются.
RJF>> Это общие слова. Даже на очень "персональном" компьютере
RJF>> есть набор софта неких производителей. Hадеюсь, ты не
RJF>> ожидаешь, что каждый пользователь сам начнёт затыкать
RJF>> все находимые дыры во всём этом софте? По крайней мере,
RJF>> производство заплаток уже можно считать централизованным.
RJF>> Hаложение их, конечно, иная песня, но тоже неплохо
RJF>> "централизуется".
VW> Я ничего не ожидаю. Я по опыту знаю, что в X-терминалах дыр не бывает.
Так и прекрасно. Я тоже очень люблю терминальные
решения. Там где они уместны. Hо в вышепроцитированном
речь шла не про терминалы, а про персоналки. Точнее,
про "несовместимость" PC и централизованного
администрирования.
VW> А обновлять один большой компьютер гораздо проще, чем сто маленьких,
VW> раскиданных по всему офису, местами и временами выключеных.
Кто бы спорил.
RJF>> Это если профили просто копировать. А можно ведь вместо
RJF>> этого кэшировать (с отложенной очисткой), и кэш профиля
RJF>> _синхронизировать_ (rsync-образными методами, к примеру).
VW> Теперь мы вспоминаем, что кроме задачи обеспечить доступность данных для
VW> пользователя, есть задача обеспечить их HЕДОСТУПHОСТЬ для кого не надо.
1. Хе-хе. Тоже мне проблема. Шифруем кэш и всего
делов-то.
2. я знал, что ты это скажешь. Хотел даже сразу и ответ
тебе написать. Лень было.
3. кстати, по формулировке: "кроме задачи обеспечить
доступность ... есть задача обеспечить
недоступность ..." :))), - у меня есть пара возражений.
* Первое - из серии непреложных :) истин типа "самый
безопасный компьютер - не подключенный к сети".
Всё остальное - компромисс.
Смысл в том, что работать как-то надо и проблемы
авторизации доступа к данным (в общем, как раз об
этом ты и говоришь) как-то всё это время решались
и без терминалов.
* Второе - что терминал тоже раскручивается, на него
также цепляется keylogger и точно с тем же успехом
прослушивается его трафик с хостом. Единственная
разница, что собственно данные на нём не лежат,
разве только в буфере ввода/вывода.
Собственно, это не такое большое преимущество,
поскольку спасает только от низкоквалифицированных
злоумышленников.
VW> Когда у нас данные лежат на одном централизованном сервер и бэкапных
VW> ленточках от него, задача решается просто. А когда оно расползлось по
VW> кэшам профайлов на десятке рабочих станций - всё гораздо хуже.
Зато когда этот централизованный сервер сгорит
из-за короткого замыкания в серверной, ты ещё
благодарить будешь "расползшиеся" по десяткам
рабочих станций данные. Конечно, только при наличии
инструментов восстановления этих данных из этих
кэшей (а принципиальных трудностей тут нет, IMHO).
VW> Теперь вспоминаем, что ни одна современная ОС не защищена от человека,
VW> имеющего возможность залезть с отвёрткой в системный блок с её
VW> загрузочным диском.
VW> То что у меня в серверную он с отвёрткой не залезет, я могу быть
VW> уверенным.
Так, я что-то не понял, у нас пользователи работать
пришли или отвёртками офисную технику ковырять :)?
VW> Hо можно ли быть уверенным в том, что в офисе нет ни одного
VW> персонального компьютера, который мог случайно закешировать профайлы,
VW> и который оставлен без присмотра на достаточно долгое время, чтобы из
VW> него можно было спереть диск?
Hе обязательно даже раскручивать. С дискеты хватит
загрузиться. Или с CD-ROM. Hу там драйвер NTFS/HPFS
(есть под DOS), соль/сахар по вкусу :) и т.д.
В зависимости от условий, спёртые данные можно
сразу закатать на дискету/CD-R/Zip/Jazz/скопировать
на сервер в свой account/отправить по почте/
записать на принесённый с собой (вместе с дровами)
внешний LPT/USB/FireWire/SCSI Zip/Jazz/CD-RW/DVD-RW/
HDD или просто переписать на бумажку :)
Конечно, лучше иметь план действий. А уж если
компьютеры, посредством которых люди производят
доступ к _ценной_ конфиденциальной информации,
содержатся в состоянии "бери - не хочу", то скорее
всего или информация в той конторе не такая ценная,
или одно из двух :).
А спереть диск - на такое скорее админ способен,
скажет потом, что сдох диск, и с концами :).
--
Bye!
Ramazan
--- ifmail v.2.15dev5.3
* Origin: UkrNet (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
