Fórum Root.cz
Hlavní témata => Server => Téma založeno: Borek . 05. 09. 2014, 23:31:48
-
Ahoj,
jsem Win admin (40 serverů, 150 stanic) ve firmě, kde je na prvním místě bezpečnost dat. Prosím žádný flame war - zabezpečit i proděravět lze každý systém. Zajímalo by mě, jak lze na Linuxu vyřešit následující věci. Do Linuxu nevidím a opravdu mě prostě zajímají možná řešení. Jedním z našich bezpečnostních opatření je téměř úplná eliminace hesel. Uživatel má mít pokud možno jen jedno heslo. Konkrétně jeden PIN k čipové kartě, na které jsou nahrané certifikáty typicky k (minimálně) dvěma účtům (jeden na běžnou práci, druhý pro práci s tajnými daty - přihlašování na terminálový server přes vzdálenou plochu).
Následují moje dotazy - jak lze tyto záležitosti řešit na Linuxu? Možná jsou na Linuxu pro daný účel vhodné jiné postupy, v tom případě prosím upřesněte.
1. Jak lze řešit to, abych měl na čipové kartě certifikáty dvou účtů, na jeden se přihlašuju lokálně na PC, na druhý na terminálový server.
2. Aplikace, ať už desktopové nebo webové, nevyžadují po uživateli žádné přihlášení, ale převezmou si identitu uživatele přihlášeného do Windows. Čili např. v IIS nastavené Windows ověřování.
3. Webové aplikace běží pod doménovým uživatelem, který má přístup k potřebným souborům a databázím. Proto není v connection stringu žádné heslo do SQL databáze (Trusted Connection). Nehrozí proto únik hesla z nějakých kopií skriptů.
Předem díky za informace, jak lze toto řešit linuxovýma technologiema. Pro šťouraly dodávám, že jedna z úrovní zabezpečení je to, že uživatelé samozřejmě nemají adminská práva na PC. Ale hlavně mají povolené (Software Restriction Policy) spouštění pouze schválených EXE souborů (z Program Files, případně podle hashe souboru). Čili neexistuje, že by si uživatel spustil nějaký program z internetu, flasky, vir z mailu...
-
Všechno z toho, co píšeš, s GNU/Linuxem a dalším svobodným softwarem jde. Ale pokud bych měl jít víc do hloubky, tak by to bylo spíš na placenou konzultaci :-)
1) Čipové karty fungují a používají se, víc klíčů mít můžeš.
Tady mám trochu připomínku k návrhu/zadání: jaký je přesně smysl toho terminálového serveru? Má to být bezpečnější prostředí než ten desktop? Odkud se k terminálu přihlašuješ? Z toho desktopu?
2) SSH agenti, GPG agenti spouštění po přihlášení, X.509 certifikáty + single sign on… otevřené technologie tu jsou, stačí je použít.
3) Doporučuji nějaký javovský aplikační server (Glassfish, WildFly…) – a tam je běžná věc, že o spojení k DB se stará aplikační server a aplikace žádná hesla nezná, jen si řekne, k jaké DB se chce připojit, třeba jdbc/moje_databáze. Pokud by to byl Apache+PHP, tak tam je obvyklejší, že aplikace heslo zná a připojuje se sama, ale taky by to šlo realizovat, třeba přes modul do webového serveru, který bys stejně asi použil, kdybys chtěl connection pooling. Mimochodem: to heslo až tak hodnotná informace není – stejně do DB nepůjde připojit zvenku a když bude děravá aplikace, tak si útočník vytahá data přes ní, nemusí se připojovat bokem.
Proveditelné to je. Ale v diskusi na Rootu to nevyřešíme :-) Pokud to myslíš vážně a plánuješ migraci nebo vývoj nového systému na svobodných technologiích, tak držím palce – tohle jsou zajímavé věci a stavět to, bude i zábava. Jen doufám, že to nemá být jen další nudná diskuse/flame na víkend. (a přiznám se, že když se to tu protáhne na víc jak dvě stránky, tak už se to nedá moc číst a vzdávám to, zdejší systém není zrovna nejpřehlednější)
zabezpečit i proděravět lze každý systém
Pokud od toho systému nemáš zdrojáky, tak mallware, který tam zabudoval výrobce sotva odhalíš. Stavět na takových chatrných základech systém zaměřený na bezpečnost je s prominutím pitomost.
-
1. Jak lze řešit to, abych měl na čipové kartě certifikáty dvou účtů, na jeden se přihlašuju lokálně na PC, na druhý na terminálový server.
Jak je tohle spojené s Linuxem? Buďto to umí ta karta nebo neumí, ne? Pokud je operační systém ten, kdo vybírá, který certifikát se použije, tak tam rovnou může být jen jeden.
2. Aplikace, ať už desktopové nebo webové, nevyžadují po uživateli žádné přihlášení, ale převezmou si identitu uživatele přihlášeného do Windows. Čili např. v IIS nastavené Windows ověřování.
Kerberos nebo nějaký SSO modul PAM.
3. Webové aplikace běží pod doménovým uživatelem, který má přístup k potřebným souborům a databázím. Proto není v connection stringu žádné heslo do SQL databáze (Trusted Connection). Nehrozí proto únik hesla z nějakých kopií skriptů.
Pokud je ta databáze na stejném počítači, tak nejjednodušší je se k ní připojovat přes socket, ke kterému má přístup jenom uživatel, pod kterým běží ta aplikace. Jinak Kerberos či PAM SSO.
Mimochodem to heslo je stejně k ničemu, pokud ta databáze nepřijímá požadavky odkudkoliv ze světa.
-
Tady mám trochu připomínku k návrhu/zadání: jaký je přesně smysl toho terminálového serveru? Má to být bezpečnější prostředí než ten desktop? Odkud se k terminálu přihlašuješ? Z toho desktopu?
Na TS se uživatelé přihlašují ze stanic nebo z domova (v tom případě přes TS Gateway balící RDP do SSL).
1. Je to bezpečnější prostředí, například proto, že z těch terminálových serverů není přístup na internet. File share s tajnými daty není přístupný ze stanic ale pouze z TS, čili i kdyby si uživatel nějak dokázal na stanici spustit vir/trojan, ten se k datům nedostane. Programátoři vyvíjejí klíčovou aplikaci také pouze na TS, ze stanic nemají přístupné tajné SQL databáze.
2. Psychologická bariéra - protože mají uživatelé tajná data pouze na jiném síťovém disku přístupném pouze z TS, mají jasné odlišení, co je tajné. Pro úplnost dodávám, že se chráníme proti útokům zvenčí nebo od neoprávněných pracovníků. Těm několika oprávněným pracovníkům musíme věřit (vždycky můžou třeba vyfotit obrazovku). Pro zajímavost: k tajným datům se nedostane ani majitel ani výkonný ředitel firmy.
Pokud by to byl Apache+PHP, tak tam je obvyklejší, že aplikace heslo zná a připojuje se sama, ale taky by to šlo realizovat, třeba přes modul do webového serveru, který bys stejně asi použil, kdybys chtěl connection pooling.
LAMP nedělá by default connection pooling? Já fakt nevím, ptám se. A pokud bych chtěl použít nějaký takový modul zajišťující SSO, jak velký to vyžaduje úpravy aplikace?
Mimochodem: to heslo až tak hodnotná informace není – stejně do DB nepůjde připojit zvenku a když bude děravá aplikace, tak si útočník vytahá data přes ní, nemusí se připojovat bokem.
Obecně souhlas. Akorát my se snažíme bránit i proti neprověřeným pracovníkům (brigádníci), protože si myslím, že obecně únik dat hrozí spíš od vnitřních lidí, než že by někdo prolomil firewall a někam se naboural (zvlášť když se používají čipové karty). Ale jak jsem psal, nejdůležitější databázové servery nejsou přístupné ze stanic.
Proveditelné to je. Ale v diskusi na Rootu to nevyřešíme :-) Pokud to myslíš vážně a plánuješ migraci nebo vývoj nového systému na svobodných technologiích, tak držím palce – tohle jsou zajímavé věci a stavět to, bude i zábava.
Migraci neplánujem, jednak k tomu nemáme žádný důvod a druhak by to bylo finančně nerealizovatelné, protože máme MS technologie prolezlé celým IT jako rakovinu :) Desítky aplikací v .NET, SQL servery včetně uložených procedur atd., složitá makra v Excelu a Wordu, část frontendů v Accessu...
Jen doufám, že to nemá být jen další nudná diskuse/flame na víkend.
Nemá to být ani flamewar, ani nechci placenou konzultaci. Prostě mě to jen zajímá, protože sice hodně vidím do MS technologií, ale do Linuxu skoro vůbec a ze známých mi nikdo odpovědět nedokázal. Jinak máme jeden Linux server s Baculou, který nám všechny ty Widle servery zálohuje :)
Pokud od toho systému nemáš zdrojáky, tak mallware, který tam zabudoval výrobce sotva odhalíš. Stavět na takových chatrných základech systém zaměřený na bezpečnost je s prominutím pitomost.
O bezpečnosti open source vs. closed source jsem se tu bavit nechtěl, tak jen odkážu na jeden výborný starší článek: http://www.pepak.net/bezpecnost/open-source-a-backdoory/ V diskuzi se k němu vyjadřoval i sám Klíma. Každý si určitě vzpomene na dva významné open source projekty zpochybněné během několika posledních měsíců. Jinak zabezpečení našich dat zahrnuje stovky dílčích opatření. Věřím tomu, že zabezpečit podobně Linux je jednodušší než u Windows.
Jak je tohle spojené s Linuxem? Buďto to umí ta karta nebo neumí, ne? Pokud je operační systém ten, kdo vybírá, který certifikát se použije, tak tam rovnou může být jen jeden.
Asi fakt nijak, máš pravdu.
Kerberos nebo nějaký SSO modul PAM.
A existují na linuxu programy tohle využívající; kolik jich je? Je to běžná věc? My to máme rozchozené u všech programů, ať už vlastních desktopových/webových, open source/komerčních webových nebo třeba komerčního účetnictví Pohoda.
Pokud je ta databáze na stejném počítači, tak nejjednodušší je se k ní připojovat přes socket, ke kterému má přístup jenom uživatel, pod kterým běží ta aplikace.
Jak se na Apachi udělá, aby web běžel pod konkrétním uživatelem? Jinak databáze máme na jiných strojích než weby.
Mimochodem to heslo je stejně k ničemu, pokud ta databáze nepřijímá požadavky odkudkoliv ze světa.
Viz odpověď výš.
A víte o konkrétních situacích/firmách, kde se body 2 a 3 využívají? Jestli jste někdo z Prahy a měli byste čas, tak bych klidně zašel pokecat na pivo. Jsem Win admin, ale nejsem zaslepený obhájce Windoze nenávidějící Linux :) Jen s ním nemám zkušenosti a neznám nikoho, kdo by do Linuxu viděl natolik, aby mi dokázal fundovaně odpovědět na dotazy. Já firmu na Win před 10 lety zdědil od předchozího admina. Pravda, od tý doby se počet serverů a aplikací zhruba zdesetinásobil, ale řídím se heslem, že je lepší nemixovat technologie, pokud to nemá zcela jasný přínos. Bacula měla přínos naprosto jasný, ušetřili jsme několik set tisíc Kč za komerční zálohovací soft a přitom jde vlastně o zcela oddělenou věc.
Naopak můžu poreferovat, jak se zabezpečují Windows servery a stanice, protože to je posledních několik let moje specializace (nejsem v práci jediný admin). Ani nemám případně problém s odhalením identity firmy, pokud by to někoho zajímalo.
-
SSO do webové aplikace bych neřešil v aplikaci, ale ve web serveru před ní. Například https://httpd.apache.org/docs/2.2/ssl/ssl_howto.html#accesscontrol
čili i kdyby si uživatel nějak dokázal na stanici spustit vir/trojan, ten se k datům nedostane
Může je na TS vyklikat a vyscreenshotovat, ne? Ale uznávám, že je to pro útočníka větší pruda, než pustit cp. Zajímavé řešení by bylo zkusit server naučit na běžný pattern práce s těmi daty a pak vyhlásit alarm, pokud se to odchýlí. To samozřejmě záleží na povaze dat a práci s nimi, špatně se radí, když nevíme nic o oblasti/povaze. Je velký průser, když útočník ukradne jeden screenshot (např. s klíčem), nebo je to desettisícstránková dokumentace plánu vojenské obrany ČR, kterou musí ukrást celou, aby dávala smysl?
Jak se na Apachi udělá, aby web běžel pod konkrétním uživatelem?
Web ti vždycky servíruje Apache, ale pokud tam máš třeba PHP, tak já to dělám tak, že spustím php fastcgi pod jiným uživatelem a Apache se k němu připojuje přes soket. Pokud je to cgi, tak to spouštím přes sudo wrapper.
Naopak můžu poreferovat, jak se zabezpečují Windows servery a stanice, protože to je posledních několik let moje specializace (nejsem v práci jediný admin). Ani nemám případně problém s odhalením identity firmy, pokud by to někoho zajímalo.
Mně přijde nejlepší strategie tajná data na serveru vůbec nemít, tedy například u komunikačního serveru uživatelům vnutit end-to-end, při sharování dat je šifrovat na klientovi, zákazníkům poskytovat spíš řešení, které si spustí u sebe a data mají na vlastním serveru a tak. Lépe se pak spí, než když se člověk hrozí, kde všude může mít díry. Samozřejmě to opět nemusí jít u tvé aplikace. Samozřejmě, že by mě zajímala :)
-
Na TS se uživatelé přihlašují ze stanic nebo z domova (v tom případě přes TS Gateway balící RDP do SSL).
1. Je to bezpečnější prostředí, například proto, že z těch terminálových serverů není přístup na internet. File share s tajnými daty není přístupný ze stanic ale pouze z TS, čili i kdyby si uživatel nějak dokázal na stanici spustit vir/trojan, ten se k datům nedostane. Programátoři vyvíjejí klíčovou aplikaci také pouze na TS, ze stanic nemají přístupné tajné SQL databáze.
Není to dobré řešení. Jde obecně o to, že z vnějšího prostředí do vnitřního se dostaneš, zatímco z vnitřního do vnějšího ne. Je to jako když testuji nějaký nedůvěryhodný software: taky si ho pustím ve virtuálu nebo na jiném HW, kam se vzdáleně připojuji z (důvěryhodného) desktopu – místo abych to dělal obráceně: měl desktop plný bordelu (třeba Windows) a z něj se připojoval na „bezpečný“ virtuál, ze kterého zadávám bankovní příkazy nebo kde (de)šifruji e-maily.
Může to pouze částečně pomoci proti náhodným necíleným útokům a script-kiddies. Jinak je to ale spíš kontraproduktivní.
2. Psychologická bariéra - protože mají uživatelé tajná data pouze na jiném síťovém disku přístupném pouze z TS, mají jasné odlišení, co je tajné. Pro úplnost dodávám, že se chráníme proti útokům zvenčí nebo od neoprávněných pracovníků. Těm několika oprávněným pracovníkům musíme věřit (vždycky můžou třeba vyfotit obrazovku). Pro zajímavost: k tajným datům se nedostane ani majitel ani výkonný ředitel firmy.
Jako psychologická bariéra budiž – ale lépe by to fungovalo obráceně: připojovat se z důvěryhodného prostředí do nedůvěryhodného (např. do virtuálu, ve kterém mohou chodit na web)
BTW: máte jen tyhle dvě úrovně tajné/netajné? Nebo používáte nějakou podrobnější klasifikaci? Máte označkované jednotlivé soubory, podle toho, do jaké kategorie spadají? Máte pro to nějakou podporu v OS a aplikacích?
Ještě zmíním Bell–LaPadula model (https://en.wikipedia.org/wiki/Bell%E2%80%93LaPadula_model). Ten ve zkratce stojí na principech:
- Subjekt na určité úrovni zabezpečení nesmí číst objekty na vyšší úrovni.
- Subjekt na určité úrovni zabezpečení nesmí zapisovat do objektů na nižší úrovni.
LAMP nedělá by default connection pooling? Já fakt nevím, ptám se.
Nedělá. Na druhou stranu to není až tolik potřeba, protože připojení k databázím jako MySQL nebo PostgreSQL je velice rychlé na rozdíl třeba od Oraclu (už je to pár let, tak třeba se to zlepšilo, ale co si pamatuji, byla to fakt hrůza).
Connection poolingu tedy dosáhneš buď použitím té Javy a aplikačního serveru, nebo nějakého modulu do Apache nebo třeba pomocí proxy. Případně platformy jako Python nebo Ruby budou mít taky svoje řešení, ale obvykle to nebývá výchozí stav (není to až tak potřeba, viz výše).
A pokud bych chtěl použít nějaký takový modul zajišťující SSO, jak velký to vyžaduje úpravy aplikace?
Pokud jde o weby, může ti HTTP server dodat tu informaci (kdo je uživatel, jaké má role a další atributy) přes HTTP hlavičky nebo proměnné prostředí. Tady už záleží na konkrétní aplikaci, jestli tyto informace dokáže zpracovat a věřit jim, místo aby si uživatele ověřovala sama. V Javě bývá dobrým zvykem, že aplikace přihlašování neřeší a tuhle informaci jí dodává aplikační server, takže je to jen otázka konfigurace.
Migraci neplánujem, jednak k tomu nemáme žádný důvod a druhak by to bylo finančně nerealizovatelné, protože máme MS technologie prolezlé celým IT jako rakovinu :) Desítky aplikací v .NET, SQL servery včetně uložených procedur atd., složitá makra v Excelu a Wordu, část frontendů v Accessu...
Zmigrovat všechny aplikace není jen tak. Proto mi ta otázka přišla trochu zvláštní – nečekal bych, že byste najednou všechno odstavili a přepsali znova na otevřených technologiích.
Začal bych ale na těch desktopech – udělal z nich důvěryhodné prostředí a ty legacy aplikace přesunul na ty terminálové server, které tak jako tak už máte. Jen bych to oddělil: práci s tajnými daty v jednom terminálu a sjíždění porna a warezu v jiném :-)
Jinak máme jeden Linux server s Baculou, který nám všechny ty Widle servery zálohuje :)
Podobným způsobem můžeš postupně nahrazovat další a další aplikace. Časem ti zbude jeden terminálový server s Widlema a pár aplikacemi, které už nikdo nepoužívá, a zjistíš, že můžeš vypnout i ten.
O bezpečnosti open source vs. closed source…
Nechci se opakovat, v diskusích se tohle téma objevuje často, tak jsem to radši napsal do blogu: Proč je svobodný software z principu důvěryhodnější (https://blog.frantovo.cz/c/314/Pro%C4%8D%20je%20svobodn%C3%BD%20software%20z%C2%A0principu%20d%C5%AFv%C4%9Bryhodn%C4%9Bj%C5%A1%C3%AD)
A existují na linuxu programy tohle využívající; kolik jich je? Je to běžná věc? My to máme rozchozené u všech programů, ať už vlastních desktopových/webových, open source/komerčních webových nebo třeba komerčního účetnictví Pohoda.
To záleží na konkrétním programu a na tom, jak komunikuje, kam se připojuje. Jako transportní protokol můžeš použít SSH a pak ověření probíhá přes klíče a SSH agenta, takže se stačí přihlásit jednou, případně to nastavit tak, abys pokaždé zadával heslo/PIN ke klíči. Stejně tak když data budou proudit přes SSL/TLS – klíč bude na kartě a uživatel zadá jen PIN (ať už jednou nebo pokaždé). Totéž GPG pro šifrování/podepisování. Taky se koukni na ten Kerberos.
Jak se na Apachi udělá, aby web běžel pod konkrétním uživatelem? Jinak databáze máme na jiných strojích než weby.
Apache bude jen servírovat statické soubory, pod čím běží ty skripty/aplikace, záleží na konkrétní technologii. Třeba PHP pustíš v jiném procesu pod jiným uživatelem (třeba www-aplikace1) a s Apachem to spojíš přes FastCGI. Podobně to funguje pro další platformy (Java, Python atd.).
Jestli jste někdo z Prahy a měli byste čas, tak bych klidně zašel pokecat na pivo. Jsem Win admin, ale nejsem zaslepený obhájce Windoze nenávidějící Linux :)
Přijď na sraz OpenAltu (dříve LinuxAlt, možná znáš konferenci). Je to každý třetí pátek v měsíci, v Praze i v Brně současně a zprávičky vycházejí tady a na Ábíčku.
-
Kerberos nebo nějaký SSO modul PAM.
A existují na linuxu programy tohle využívající; kolik jich je? Je to běžná věc? My to máme rozchozené u všech programů, ať už vlastních desktopových/webových, open source/komerčních webových nebo třeba komerčního účetnictví Pohoda.
klicova slova GSSAPI, Spnego, pripade stare a derave NTLM... obecne zalezi, co a jak aplikace pouzije (v jave na to existuje JAAS, pripadne Spnego modul do aplikacnich serveru), na webu to tedy problem neni
-
jen bych si dovolil poznamku ze to windowsi domenove SSO je uvnitr taky kerberos, takze pokud tvoje aplikace tohle umi na windows, a maji nativni linuxovou verzi, tak bych cekal ze to budou umet i v linuxu.
-
Může je na TS vyklikat a vyscreenshotovat, ne? Ale uznávám, že je to pro útočníka větší pruda, než pustit cp. Zajímavé řešení by bylo zkusit server naučit na běžný pattern práce s těmi daty a pak vyhlásit alarm, pokud se to odchýlí. To samozřejmě záleží na povaze dat a práci s nimi, špatně se radí, když nevíme nic o oblasti/povaze. Je velký průser, když útočník ukradne jeden screenshot (např. s klíčem), nebo je to desettisícstránková dokumentace plánu vojenské obrany ČR, kterou musí ukrást celou, aby dávala smysl?
Pro odcizení kritických dat stačí udělat screenshot několika obrazovek, čili třeba i foťákem vyfotit obrazovku. Těm několika oprávněným lidem musíme věřit i proto, že musí mít možnost tisku (pouze na tiskárnách v běžně nepřístupné místnosti). Chráníme se proti ostatním.
Mně přijde nejlepší strategie tajná data na serveru vůbec nemít, tedy například u komunikačního serveru uživatelům vnutit end-to-end, při sharování dat je šifrovat na klientovi, zákazníkům poskytovat spíš řešení, které si spustí u sebe a data mají na vlastním serveru a tak. Lépe se pak spí, než když se člověk hrozí, kde všude může mít díry. Samozřejmě to opět nemusí jít u tvé aplikace.
Požadavek byl, aby mohli zaměstnanci s daty pracovat i z domova pohodlným způsobem, aniž by je systém nepříjemností ponoukal obcházet bezpečnostní opatření. Jako nejlepší řešení bylo vyhodnoceno mít data na serveru a zamezit (potřebě) jejich kopírování kamkoliv jinam. A vzdálená plocha je podle mě řádově bezpečnější než jakákoliv VPN. SW na transparentní šifrování souborů na klientu jsem zkoušel několik, ale nenašel jsem žádný spolehlivý. Čili jsou kompletně šifrované alespoň file servery, databázové servery a pochopitelně i doménové řadiče.
Samozřejmě, že by mě zajímala :)
Furt platí výzva na pivo - střední, severní Čechy :)
Není to dobré řešení. Jde obecně o to, že z vnějšího prostředí do vnitřního se dostaneš
To byl požadavek, viz výše. Jediná možnost průniku ze stanice je asi "vyklikat si" na té vzdálené ploše potřebné.
zatímco z vnitřního do vnějšího ne.
Čili nemůže například případný trojan odesílat data ven...
BTW: máte jen tyhle dvě úrovně tajné/netajné? Nebo používáte nějakou podrobnější klasifikaci?
Úrovní zabezpečení a pravidel nakládání s nimi máme několik.
Máte označkované jednotlivé soubory, podle toho, do jaké kategorie spadají?
Nejedná se jen o soubory ale i o SQL databáze. Nemáme je označkované, jsou na vyhrazených file/SQL serverech a je pravidly dáno, o které se jedná a jak s nimi nakládat. Uživatelé jsou dvakrát ročně proškolováni.
Máte pro to nějakou podporu v OS a aplikacích?
Ne, oprávnění uživatelé musí mít možnost tajné soubory třeba i tisknout (pouze na tiskárnách v zabezpečených místnostech), čili jim musíme věřit. Rights Management SW mi přišel kontraproduktivní. Jinak k nejtajnějším datům se dostane zhruba tak 7 lidí ze 100 (a jak jsem psal, není mezi nimi ani majitel ani výkonný ředitel firmy).
klicova slova GSSAPI, Spnego, pripade stare a derave NTLM... obecne zalezi, co a jak aplikace pouzije (v jave na to existuje JAAS, pripadne Spnego modul do aplikacnich serveru), na webu to tedy problem neni
Ale reálně ... je to u programů na Linuxu běžný (aniž bych musel něco složitě upravovat) nebo spíš výjimečný?
OpenAlt
Díky, určitě se na to mrknu.
Každopádně chlapi díky za informace, mám teď materiál ke studiu. Jak jsem psal, nemám okolo sebe zkušenější Linuxáky a žiju tak trochu v zajetí MS, ač bych se rád dozvěděl o možnostech otevřených technologií.
-
Prostě mě to jen zajímá, protože sice hodně vidím do MS technologií, ale do Linuxu skoro vůbec a ze známých mi nikdo odpovědět nedokázal.
Moc pěkný téma a pěkně položený otázky, díky za ně.
Kolegové už celkem všechno dobře odpověděli, já bych k tomu přidal jenom to, že z těch otázek je ta tvoje MS-orientace hodně poznat. Na unixoidních systémech je totiž vesměs všechno, na co se ptáš, udělaný nějakým modulárním způsobem, takže otázka, jestli něco jde nebo nejde udělat není otázka, jestli to systém umí, ale jestli jde existující pluginy poskládat tak, aby ten celek měl ty vlastnosti, které od něj požaduješ, popř. jestli jde takový plugin napsat a jak moc náročné to je. Tímhle se unixy na serverech od MS produktů dost odlišují.
Např. celý to AAA je o tom, že:
1. aplikaci/systému něco předhodím
2. aplikace nějak ověří, že to, co jsem předhodil, správně identifikuje nějakou osobu
3. nějak ověří, že identifikovaná osoba má mít přístup k danému prostředku
4. někam zapíše, že k prostředku přistupovala
Ty jednotlivý kroky můžeš dělat spoustou různých způsobů nebo klidně i jejich kombinací, podle toho, co od celku očekáváš. Pokud chceš SSO, můžeš použít Kerberos tickety. Pokud chceš ověřovat proti AD, můžeš použít sambu 4 nebo nss-pam-ldap + rfc2307. Můžeš pomocí PAM modulu generovat při prvním příhlášení HOME uživatele. Pokud chceš, můžeš si klidně napsat PAM modul, který šáhne přes usb na Arduino na kterým musíš namačkat správnou kombinaci klingonských kláves. Fantazii se meze nekladou ;)
Konkrétní příklad: jednou jsem si říkal, že by bylo fajn mít nějaké ne-tragicky-kritické filesystémy šifrované a nemuset zadávat heslo. Beztak už mi běží ssh-agent s klíči, tak proč ho na to nevyužít? Takže to chtělo zamyslet se nad tím, co vlastně chci: generovat heslo pomocí ssh-agenta a klíče. A řešení se našlo: https://gist.github.com/mprymek/10415576
Na unixech to prostě není moc o tom, jestli někde existuje nějaké zaškrtávátko, kterým se ta která funkce zapíná, spíš to chce střízlivě a věcně analyzovat problém a podle toho pak zvolit vhodné řešení :)