Комментарии 28
Простите, этим говном можно пользоваться только через rdesktop? Буэ.
Унесите и закопайте.
Я на половину серверов вообще хожу по ssh методом ansible -i srv_list site.yml -f 50, так что ваше rdp тут как собаке пятая нога.
Унесите и закопайте.
Я на половину серверов вообще хожу по ssh методом ansible -i srv_list site.yml -f 50, так что ваше rdp тут как собаке пятая нога.
+2
Аналогичный продукт для ssh/vnc рекламировался на stackoverflow где-то в 2010-2011. Смотрел, было довольно уныло и весьма энтерпрайзно.
0
Авто статьи несколько неправ.
Прелесть WAB как раз в том, что он прекрасно умеет авторизовывать пользователя не только в винде, но и в юниксах/линуксах, ssh и телнет ему также прекрасно знакомы. Текстовые сессии он пишет в текстовый файл, rdp-сессии хранит видосами.
Если что, я эту систему эксплуатировал и перся с нее нечеловечески (я и разрабов лично знаю, много раз был у них в конторе, да и они ко мне в гости приезжали неоднократно).
Сейчас вот без нее сижу (поменял место работы и страну проживания), тоскую, т.к. удобнее ничего для управления олухами из подрядных организаций и развешивания им звездюлей (по факту просмотра сессий) я не встречал.
Купил бы и сюда, но те поставщики, которых я тут видел, какие-то обморочные, увы (кстати, охотно пообщаюсь в личке с желающими продать мне такую штуку, ну а также внедрить и принять на саппорт)
Прелесть WAB как раз в том, что он прекрасно умеет авторизовывать пользователя не только в винде, но и в юниксах/линуксах, ssh и телнет ему также прекрасно знакомы. Текстовые сессии он пишет в текстовый файл, rdp-сессии хранит видосами.
Если что, я эту систему эксплуатировал и перся с нее нечеловечески (я и разрабов лично знаю, много раз был у них в конторе, да и они ко мне в гости приезжали неоднократно).
Сейчас вот без нее сижу (поменял место работы и страну проживания), тоскую, т.к. удобнее ничего для управления олухами из подрядных организаций и развешивания им звездюлей (по факту просмотра сессий) я не встречал.
Купил бы и сюда, но те поставщики, которых я тут видел, какие-то обморочные, увы (кстати, охотно пообщаюсь в личке с желающими продать мне такую штуку, ну а также внедрить и принять на саппорт)
0
Поясните мне, как оно может писать ssh-сессию? Например, у меня типовой метод подключения к серверу через «вложенный ssh»:
Host *.serv
SendEnv EDITOR
ForwardAgent yes
ProxyCommand ssh -W $(echo %h | cut -d. -f1):%p -C proxy.serv
И что тут будет писаться? Шифрованный stdin/out? А это мы ещё не затрагивали вопросы -L/-R/-D
Host *.serv
SendEnv EDITOR
ForwardAgent yes
ProxyCommand ssh -W $(echo %h | cut -d. -f1):%p -C proxy.serv
И что тут будет писаться? Шифрованный stdin/out? А это мы ещё не затрагивали вопросы -L/-R/-D
+1
Вы на экране что-то видите во время ssh-сессии? Вот это что-то оно писать и будет.
0
В каком из ssh'ей? Кроме того, когда я выполняю команду по ssh без создания терминала, её вывод оказывается только у моего ssh'а.
Короче, эта вся конструкция выглядит как попытка огородить неогораживаемое. Либо превратить мощный инструмент (ssh) в огрызок по образцу виндового telnet'а, отключив все функции socks-proxy, прокидывания портов и интерфейсов, ssh-агентов и stdin/out pipe'инга.
Короче, эта вся конструкция выглядит как попытка огородить неогораживаемое. Либо превратить мощный инструмент (ssh) в огрызок по образцу виндового telnet'а, отключив все функции socks-proxy, прокидывания портов и интерфейсов, ssh-агентов и stdin/out pipe'инга.
+1
Как Вам будет угодно. Как я понимаю, использование этой системы — вопрос сугубо добровольный.
Другой вопрос, что у них в клиентах Airbus, Societe Generale, Peugeot и многие другие крупные игроки, но я не сомневаюсь, что у них задачи могут быть и проще и неинтереснее.
Другой вопрос, что у них в клиентах Airbus, Societe Generale, Peugeot и многие другие крупные игроки, но я не сомневаюсь, что у них задачи могут быть и проще и неинтереснее.
0
И я всё равно не понимаю, как оно собирается обрабатывать проходящий по stdin/out шифрованный трафик.
Возможно, создатели этих систем просто не знали масштабы и возможности ssh-протокола?
Возможно, создатели этих систем просто не знали масштабы и возможности ssh-протокола?
0
Создатели этой системы ssh знают весьма недурно (в отличие от меня, кстати, я ssh воспринимаю, как шифрованный телнет, увы мне, увы — не моя специфика).
Как я понимаю, их система проксирует ваше общение с управляемым девайсом и по факту с ним общается не ваш компьютер, а эта железка, вы же видите только то, что может видеть она.
Вы, кстати, вполне можете с ними связаться, английский у них вполне неплох.
Как я понимаю, их система проксирует ваше общение с управляемым девайсом и по факту с ним общается не ваш компьютер, а эта железка, вы же видите только то, что может видеть она.
Вы, кстати, вполне можете с ними связаться, английский у них вполне неплох.
0
Именно потому я и не понимаю, что они могут фильтровать и писать. Я только что написал пример «вложенного ssh», который оставит промежуточную систему с двумя потоками: stdin/stdout, которые по своей информативности не отличаются от tcpdump proto ssh.
И уровень вложенности может быть практически любой.
И уровень вложенности может быть практически любой.
0
Еще раз: пишется текстовый лог сессии. Того, что админ видит у себя в консоли. Если Вам этого недостаточно — значит, это не Ваша система, похоже.
0
Очевидно не моя, я просто указываю на её ущербность. Вся идея ssh в том, что никто не может видеть трафик между целевым хостом и пользователем. А тут приходят дерзкие люди говорят, что могут. Очевидно, что при правильном использовании ssh не могут и не должны.
+1
Они, очевидно, MiTM'ят все, может и прокси поддерживают.
0
Блин, я ж как раз и говорю, что я сквозь MitM'а пропущу шифрованный трафик, не показав ему ничего, кроме урла, куда я (на самом деле) иду.
man ssh_config, раздел ProxyCommand.
man ssh_config, раздел ProxyCommand.
+1
Wallix совершенно спокойно пишет ssh-сессию с пробросом авторизации и «тунелем», т.к. вы изначально коннектитесь именно к серверу Wallix по ssh и уже через него ходите на другие сервера. Т.е. сервер Wallix выступает «конечной точкой», а не вклинивается mitm'ом в ваши сессии.
С Balabit, подозреваю, будет сложнее… И, как показали комментарии, стоит написать отдельную вторую часть, на этот раз по протоколу ssh. Как появится немного времени — обязательно займусь.
С Balabit, подозреваю, будет сложнее… И, как показали комментарии, стоит написать отдельную вторую часть, на этот раз по протоколу ssh. Как появится немного времени — обязательно займусь.
0
Про ssh ни слова… Продукты могут быть полезными гораздо уже.
+1
В шапке статьи специально было указано
Возможность контроля ssh также присутствует в этих продуктах, однако в статье этот функционал НЕ рассматривается, т.к. имеет свои особенности и тонкости, которые не хотелось бы скидывать в одну кучу.
Шапка скорректирована, дабы не вводить никого в заблуждение.
сравнение будет только в разрезе протокола rdp и функционала в целом
Возможность контроля ssh также присутствует в этих продуктах, однако в статье этот функционал НЕ рассматривается, т.к. имеет свои особенности и тонкости, которые не хотелось бы скидывать в одну кучу.
Шапка скорректирована, дабы не вводить никого в заблуждение.
0
Остается лишь один вопрос — кто будет настраивать Wallix или balabit? Топ-менеджеры?
А сами админы всегда могут оставить себе лазейку.
А сами админы всегда могут оставить себе лазейку.
0
Вы, видимо, как-то невнимательно читали…
В остальных случаях не факт, что имеет какой-либо смысл внедрять такую систему, т.к., разумеется, топ-менеджеры ничего настраивать не будут, а «сами админы всегда могут оставить себе лазейку».
Компаниям, численность системных администраторов в которых превышает ~7-10 человек;Предполагается, что настраивать будут руководители тех самых 10 человек, которые не заинтересованы в лазейке для них же (своих подчиненных)
Компаниям, it-поддержку в которой осуществляет сторонняя организация (аутсорс);Как правило в таких ситуациях всегда есть админ на стороне Заказчика (принимающий работы), который вполне в состоянии настроить все так, как нужно ЕМУ.
Компаниям со специфичным ПО, которым требуется пускать на целевые сервера специалистов вендора\дистрибьютора;Настроить систему вполне могут «местные» админы, т.к. они, как и в п.1, заинтересованы в отсутствии лазейки для специалистов вендора\дистрибьютора.
Компаниям, которых мучают регуляторы и требуют от них соответствия различным стандартам (не сталкивалась, но не исключаю).В этом случае, вероятно, подобная система будет чистой формальностью. Однако еще раз подчеркну, что не имела подобного опыта внедрения.
В остальных случаях не факт, что имеет какой-либо смысл внедрять такую систему, т.к., разумеется, топ-менеджеры ничего настраивать не будут, а «сами админы всегда могут оставить себе лазейку».
+1
Предполагается, что настраивать будут руководители тех самых 10 человек, которые не заинтересованы в лазейке для них же (своих подчиненных)
А руководителя ИТ отдела кто будет контролировать? Параноить — так по полной.
Мне видится только один вариант более-менее вменяемый — настройка софта в формате аутсорса со стороны вендоров этого софта. Все остальные варианты уязвимы. А вообще в среде именно профессионалов не принято «гадить» компании, уходя с рабочего места. Даже если расстались далеко не друзьями. Я бы не стал, например.
Опять-таки, не каждый админ согласится работать через такую замечательную тулзу. Даже если энтерпрайз во все поля. По той причине, что это просто неудобно.
0
Если честно, не вижу никакого смысла ставить заочные диагнозы и гадать на кофейной гуще о степени паранойи топов или руководства IT-отдела абстрактной компании N. Все люди разные и ситуация тоже на удивление бывают разными. А вести диалог в стиле «а если» (а если руководителя руководителя руководителя тоже надо контролировать?) — имхо, довольно пустая трата времени :)
В одном соглашусь — не гадить там, где работаешь(-л). Но я не даром привела список компаний, где такой продукт имел бы смысл — он не поможет тем, у кого паранойя и развившейся нервный тик от словосочетания «системный администратор».
В одном соглашусь — не гадить там, где работаешь(-л). Но я не даром привела список компаний, где такой продукт имел бы смысл — он не поможет тем, у кого паранойя и развившейся нервный тик от словосочетания «системный администратор».
0
вообще-то удобно именно через эту штуку. Поверьте, я с этой системой работал, как эксплуатант.
Во-первых, сразу в одном месте все управляемые устройства. Во-вторых — иногда на устройство надо входить под разными учетками. Держать в голове несколько пар «логин/пароль» для десятков устройств мне лениво. Эта штука делает все сама. Надо просто выбрать.
Во-первых, сразу в одном месте все управляемые устройства. Во-вторых — иногда на устройство надо входить под разными учетками. Держать в голове несколько пар «логин/пароль» для десятков устройств мне лениво. Эта штука делает все сама. Надо просто выбрать.
0
Валликсы, кстати, охотно настраивают свои системы.
Тарифы у них конские, что есть, то есть.
Тарифы у них конские, что есть, то есть.
0
Очередные игрушки для менеджеров. IMHO полезным функционалом программы можно было вобще не наделять. Просто научить их выводить красивые отчеты. Системный администратор как правило прекрасно знает свое хозяйство и всегда может оставить себе неконтролируемый доступ.
0
CyberArk PASS? В частности модуль Privileged Session Manager. Если брать функционал PSM only без управления учетками, еще и под деньгам нормально получается.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Wallix vs balabit. Сравнение ПО по контролю админов [rdp]