Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 28
Простите, этим говном можно пользоваться только через rdesktop? Буэ.
Унесите и закопайте.
Я на половину серверов вообще хожу по ssh методом ansible -i srv_list site.yml -f 50, так что ваше rdp тут как собаке пятая нога.
Унесите и закопайте.
Я на половину серверов вообще хожу по ssh методом ansible -i srv_list site.yml -f 50, так что ваше rdp тут как собаке пятая нога.
Аналогичный продукт для ssh/vnc рекламировался на stackoverflow где-то в 2010-2011. Смотрел, было довольно уныло и весьма энтерпрайзно.
Авто статьи несколько неправ.
Прелесть WAB как раз в том, что он прекрасно умеет авторизовывать пользователя не только в винде, но и в юниксах/линуксах, ssh и телнет ему также прекрасно знакомы. Текстовые сессии он пишет в текстовый файл, rdp-сессии хранит видосами.
Если что, я эту систему эксплуатировал и перся с нее нечеловечески (я и разрабов лично знаю, много раз был у них в конторе, да и они ко мне в гости приезжали неоднократно).
Сейчас вот без нее сижу (поменял место работы и страну проживания), тоскую, т.к. удобнее ничего для управления олухами из подрядных организаций и развешивания им звездюлей (по факту просмотра сессий) я не встречал.
Купил бы и сюда, но те поставщики, которых я тут видел, какие-то обморочные, увы (кстати, охотно пообщаюсь в личке с желающими продать мне такую штуку, ну а также внедрить и принять на саппорт)
Прелесть WAB как раз в том, что он прекрасно умеет авторизовывать пользователя не только в винде, но и в юниксах/линуксах, ssh и телнет ему также прекрасно знакомы. Текстовые сессии он пишет в текстовый файл, rdp-сессии хранит видосами.
Если что, я эту систему эксплуатировал и перся с нее нечеловечески (я и разрабов лично знаю, много раз был у них в конторе, да и они ко мне в гости приезжали неоднократно).
Сейчас вот без нее сижу (поменял место работы и страну проживания), тоскую, т.к. удобнее ничего для управления олухами из подрядных организаций и развешивания им звездюлей (по факту просмотра сессий) я не встречал.
Купил бы и сюда, но те поставщики, которых я тут видел, какие-то обморочные, увы (кстати, охотно пообщаюсь в личке с желающими продать мне такую штуку, ну а также внедрить и принять на саппорт)
Поясните мне, как оно может писать ssh-сессию? Например, у меня типовой метод подключения к серверу через «вложенный ssh»:
Host *.serv
SendEnv EDITOR
ForwardAgent yes
ProxyCommand ssh -W $(echo %h | cut -d. -f1):%p -C proxy.serv
И что тут будет писаться? Шифрованный stdin/out? А это мы ещё не затрагивали вопросы -L/-R/-D
Host *.serv
SendEnv EDITOR
ForwardAgent yes
ProxyCommand ssh -W $(echo %h | cut -d. -f1):%p -C proxy.serv
И что тут будет писаться? Шифрованный stdin/out? А это мы ещё не затрагивали вопросы -L/-R/-D
Вы на экране что-то видите во время ssh-сессии? Вот это что-то оно писать и будет.
В каком из ssh'ей? Кроме того, когда я выполняю команду по ssh без создания терминала, её вывод оказывается только у моего ssh'а.
Короче, эта вся конструкция выглядит как попытка огородить неогораживаемое. Либо превратить мощный инструмент (ssh) в огрызок по образцу виндового telnet'а, отключив все функции socks-proxy, прокидывания портов и интерфейсов, ssh-агентов и stdin/out pipe'инга.
Короче, эта вся конструкция выглядит как попытка огородить неогораживаемое. Либо превратить мощный инструмент (ssh) в огрызок по образцу виндового telnet'а, отключив все функции socks-proxy, прокидывания портов и интерфейсов, ssh-агентов и stdin/out pipe'инга.
Как Вам будет угодно. Как я понимаю, использование этой системы — вопрос сугубо добровольный.
Другой вопрос, что у них в клиентах Airbus, Societe Generale, Peugeot и многие другие крупные игроки, но я не сомневаюсь, что у них задачи могут быть и проще и неинтереснее.
Другой вопрос, что у них в клиентах Airbus, Societe Generale, Peugeot и многие другие крупные игроки, но я не сомневаюсь, что у них задачи могут быть и проще и неинтереснее.
И я всё равно не понимаю, как оно собирается обрабатывать проходящий по stdin/out шифрованный трафик.
Возможно, создатели этих систем просто не знали масштабы и возможности ssh-протокола?
Возможно, создатели этих систем просто не знали масштабы и возможности ssh-протокола?
Создатели этой системы ssh знают весьма недурно (в отличие от меня, кстати, я ssh воспринимаю, как шифрованный телнет, увы мне, увы — не моя специфика).
Как я понимаю, их система проксирует ваше общение с управляемым девайсом и по факту с ним общается не ваш компьютер, а эта железка, вы же видите только то, что может видеть она.
Вы, кстати, вполне можете с ними связаться, английский у них вполне неплох.
Как я понимаю, их система проксирует ваше общение с управляемым девайсом и по факту с ним общается не ваш компьютер, а эта железка, вы же видите только то, что может видеть она.
Вы, кстати, вполне можете с ними связаться, английский у них вполне неплох.
Именно потому я и не понимаю, что они могут фильтровать и писать. Я только что написал пример «вложенного ssh», который оставит промежуточную систему с двумя потоками: stdin/stdout, которые по своей информативности не отличаются от tcpdump proto ssh.
И уровень вложенности может быть практически любой.
И уровень вложенности может быть практически любой.
Еще раз: пишется текстовый лог сессии. Того, что админ видит у себя в консоли. Если Вам этого недостаточно — значит, это не Ваша система, похоже.
Очевидно не моя, я просто указываю на её ущербность. Вся идея ssh в том, что никто не может видеть трафик между целевым хостом и пользователем. А тут приходят дерзкие люди говорят, что могут. Очевидно, что при правильном использовании ssh не могут и не должны.
Они, очевидно, MiTM'ят все, может и прокси поддерживают.
Блин, я ж как раз и говорю, что я сквозь MitM'а пропущу шифрованный трафик, не показав ему ничего, кроме урла, куда я (на самом деле) иду.
man ssh_config, раздел ProxyCommand.
man ssh_config, раздел ProxyCommand.
Wallix совершенно спокойно пишет ssh-сессию с пробросом авторизации и «тунелем», т.к. вы изначально коннектитесь именно к серверу Wallix по ssh и уже через него ходите на другие сервера. Т.е. сервер Wallix выступает «конечной точкой», а не вклинивается mitm'ом в ваши сессии.
С Balabit, подозреваю, будет сложнее… И, как показали комментарии, стоит написать отдельную вторую часть, на этот раз по протоколу ssh. Как появится немного времени — обязательно займусь.
С Balabit, подозреваю, будет сложнее… И, как показали комментарии, стоит написать отдельную вторую часть, на этот раз по протоколу ssh. Как появится немного времени — обязательно займусь.
Про ssh ни слова… Продукты могут быть полезными гораздо уже.
В шапке статьи специально было указано
Возможность контроля ssh также присутствует в этих продуктах, однако в статье этот функционал НЕ рассматривается, т.к. имеет свои особенности и тонкости, которые не хотелось бы скидывать в одну кучу.
Шапка скорректирована, дабы не вводить никого в заблуждение.
сравнение будет только в разрезе протокола rdp и функционала в целом
Возможность контроля ssh также присутствует в этих продуктах, однако в статье этот функционал НЕ рассматривается, т.к. имеет свои особенности и тонкости, которые не хотелось бы скидывать в одну кучу.
Шапка скорректирована, дабы не вводить никого в заблуждение.
Остается лишь один вопрос — кто будет настраивать Wallix или balabit? Топ-менеджеры?
А сами админы всегда могут оставить себе лазейку.
А сами админы всегда могут оставить себе лазейку.
Вы, видимо, как-то невнимательно читали…
В остальных случаях не факт, что имеет какой-либо смысл внедрять такую систему, т.к., разумеется, топ-менеджеры ничего настраивать не будут, а «сами админы всегда могут оставить себе лазейку».
Компаниям, численность системных администраторов в которых превышает ~7-10 человек;Предполагается, что настраивать будут руководители тех самых 10 человек, которые не заинтересованы в лазейке для них же (своих подчиненных)
Компаниям, it-поддержку в которой осуществляет сторонняя организация (аутсорс);Как правило в таких ситуациях всегда есть админ на стороне Заказчика (принимающий работы), который вполне в состоянии настроить все так, как нужно ЕМУ.
Компаниям со специфичным ПО, которым требуется пускать на целевые сервера специалистов вендора\дистрибьютора;Настроить систему вполне могут «местные» админы, т.к. они, как и в п.1, заинтересованы в отсутствии лазейки для специалистов вендора\дистрибьютора.
Компаниям, которых мучают регуляторы и требуют от них соответствия различным стандартам (не сталкивалась, но не исключаю).В этом случае, вероятно, подобная система будет чистой формальностью. Однако еще раз подчеркну, что не имела подобного опыта внедрения.
В остальных случаях не факт, что имеет какой-либо смысл внедрять такую систему, т.к., разумеется, топ-менеджеры ничего настраивать не будут, а «сами админы всегда могут оставить себе лазейку».
Предполагается, что настраивать будут руководители тех самых 10 человек, которые не заинтересованы в лазейке для них же (своих подчиненных)
А руководителя ИТ отдела кто будет контролировать? Параноить — так по полной.
Мне видится только один вариант более-менее вменяемый — настройка софта в формате аутсорса со стороны вендоров этого софта. Все остальные варианты уязвимы. А вообще в среде именно профессионалов не принято «гадить» компании, уходя с рабочего места. Даже если расстались далеко не друзьями. Я бы не стал, например.
Опять-таки, не каждый админ согласится работать через такую замечательную тулзу. Даже если энтерпрайз во все поля. По той причине, что это просто неудобно.
Если честно, не вижу никакого смысла ставить заочные диагнозы и гадать на кофейной гуще о степени паранойи топов или руководства IT-отдела абстрактной компании N. Все люди разные и ситуация тоже на удивление бывают разными. А вести диалог в стиле «а если» (а если руководителя руководителя руководителя тоже надо контролировать?) — имхо, довольно пустая трата времени :)
В одном соглашусь — не гадить там, где работаешь(-л). Но я не даром привела список компаний, где такой продукт имел бы смысл — он не поможет тем, у кого паранойя и развившейся нервный тик от словосочетания «системный администратор».
В одном соглашусь — не гадить там, где работаешь(-л). Но я не даром привела список компаний, где такой продукт имел бы смысл — он не поможет тем, у кого паранойя и развившейся нервный тик от словосочетания «системный администратор».
вообще-то удобно именно через эту штуку. Поверьте, я с этой системой работал, как эксплуатант.
Во-первых, сразу в одном месте все управляемые устройства. Во-вторых — иногда на устройство надо входить под разными учетками. Держать в голове несколько пар «логин/пароль» для десятков устройств мне лениво. Эта штука делает все сама. Надо просто выбрать.
Во-первых, сразу в одном месте все управляемые устройства. Во-вторых — иногда на устройство надо входить под разными учетками. Держать в голове несколько пар «логин/пароль» для десятков устройств мне лениво. Эта штука делает все сама. Надо просто выбрать.
Валликсы, кстати, охотно настраивают свои системы.
Тарифы у них конские, что есть, то есть.
Тарифы у них конские, что есть, то есть.
Очередные игрушки для менеджеров. IMHO полезным функционалом программы можно было вобще не наделять. Просто научить их выводить красивые отчеты. Системный администратор как правило прекрасно знает свое хозяйство и всегда может оставить себе неконтролируемый доступ.
CyberArk PASS? В частности модуль Privileged Session Manager. Если брать функционал PSM only без управления учетками, еще и под деньгам нормально получается.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Wallix vs balabit. Сравнение ПО по контролю админов [rdp]