Как стать автором
Обновить

Комментарии 92

the bat на терминальном сервере плохо. Аутлук, работающий с эксчейнжем, много лучше. (из-за нагрузки на диски).

В остальном, неплохо.
Плохо. Но, когда я пришел в компанию, The Bat уже был клиентом по умолчанию у всех, а переучивать 250+ человек — это застрелиться можно. Пришлось выкручиваться…

Тем более, нагрузку на диски по мере сил сняли с помощью IMAP + вынесение баз бата на отдельное файловое хранилище с быстрыми и большими винтами. Где-то так.
НЛО прилетело и опубликовало эту надпись здесь
А если задуматсья. Приходится прятаться от государтсва.
Стыдно жить в таком государстве.

Статья понравилась, все просто и легко. На Сервер-роутер навесить шифрование да и все.

Уважаемый автор написал бы поподробней про брелки и световую сигнализацию.
Про брелки и световую сигнализацию сложнее будет подробной — мы заказали готовое решение у тех, кто нам ставил системы контроля доступа. Поэтому я не особо в курсе, что именно там ставили.

На самом деле механизм там был до отвращение простой. Висит себе этакий black box, у секретарей — радиобрелки. Сигнал пришел — включилось питание на лампочки. Сигнал пришел еще раз — питание с лампочек отключилось :)

Лампочки, помню, взяли обычные пожарные. Не конкретно эту модель.

Оно еще умело звуком пищать — но пришлось отключить. Потому как во-первых палево, а во-вторых там такой уровень сигнала был, что при включении можно было заикой остаться :)
Я думал нажимаешь брелок — запускается скрипт. Вот так я думал. Можно ГПРС-модем заюзать. звонишь на него и запуск нужного скрипта.
Не забудьте заюзать АОН, а кто-нибудь ошибётся номером…
золотые слова
Вообще-то воровство («…все ПО, за очень редкими исключениями, было по тем или иным причинам нелицензионным…») в любом государстве противозаконно, нет?
при 250+ юзерах может, лучше веб-морду локальную поднять?
Эксч лучше с точки зрения на диски? Вас обманули.
Эксчейнж гадит на _СВОИ_ диски, а thebat на диски терминального сервера.

Кстати, после того, как MS включила в эксчейнжах режим пожирания памяти, объём нагрузки на диски уменьшился.
Ну вот и смотрите. Эту статью на заметку, затем отслеживание аккаунта, комментариев и т.д. Через год — проболтаетесь где работаете и всем хана.
Ну, во-первых я там давно уже не работаю, во-вторых, все давно переделали по другому :)
:)
Ну по любому — занес статью в избранное — идея интересная. А там была предусмотрена синхронизация, например автоматическое добавление нового сотрудника в фальшивый сервер?
У нас сотрудники не особо часто менялись, так что необходимости не было.
Поэтому добавляли при заведении пользователя вручную :)
Меня единственное что смущает, что нужно на фальшивке постоянно поддерживать видимость рабочего сервера, хотя бы даты у файлов документов должны меняться.
Можно сделать эпизодический бекап «безопасных» папок с настоящих серверов. Да и стандартная отмазка — «вся работа происходит в онлайн базе».
А дамп онлайн базы не потребуют?
Ну, пусть требуют :)
База в другом городе + на такой случай ее копия тоже была. Она повторяла оригинальную базу, за исключением некоторых разделов.
да ну… ни разу не видел реальной проверки чтобы вдумчиво проверяли даты файлов на месте.

забежали, всех отогнали от оборудования, затребовали пароли, присел их спец к консоли, проглядел что где стоит (увидели 1с и тд) и сразу команда «опечатывайте»…

а потом, когда маски-шоу закончилось, поздно сетовать что не то взяли…

Был как то даже анекдотичный случай, когда после облавы в пятницу вечером, в понедельник пришли снова, но «спец» с улыбочкой сказал «что же вы нас обманули»… и тем не менее в следующую проверку было все точно также… быстро
Это если облава по поводу ПО.
А если аля «выемка документов» — то там ничего не будут в консоли смотреть. Выключат электричество, вломятся, отключат и опечатают. Но 5kVa UPS спасает отцов русской демократии…
даже если не работаете, это не помешает именно вам предъявить обвинение по 146 статье, по которой можно сесть на 6 лет.
более того, вероятность, что при проблемах начальство переведет стрелки на человека, который уже уволился, гораздо выше, чем то что оно подставит тех, кто там еще работает.
За что его судить будут? За настройку сервера?
Нелицензионное ПО ставил не он (по крайней мере ТС об этом не говорит прямо), доказать, что с того времени никто ничего не менял вряд ли кто-то сможет, а иначе — не пойман не вор.
Как говорят, был бы человек — а статья найдется…
«Больных нет. Есть не обследованные»
почти 10 лет назад тоже была подобная ситуация. Даже хотели разместить сервера в неиспользуемой шахте лифта ;) Да с радиобрелками на отключение.

Достали проверяющие. Но сделали иначе.

Фирма была в 2х рядом стоящих зданиях, в цокольных этажах.
Проблема была решена банально.
Реальные сервера разместили в снятой квартире в соседнем здании. А кабели и так там висели в огромном количестве на уровне между 1м и 2м этажом и шли к разным квартирам (тогда кака раз начинался локалочный бум), так что демакскирущих факторов практически не было.

Разумеется о квартире знало очень мало людей, и разумеется там была прочная дверь, сигнализация, видеонаблюдение и тд…
Ну, мы так тоже изначально делали :) Только у нас квартира была кварталах в 5-6 и до нее проложили оптику. Только когда проверка нагрянула, пришлось тупо выключать сервера, а проверяющие активно интересовались — где все оборудование и почему все отключилось. А в компании падали на мороз — «мы не знаем… нас удаленно обслуживают, админы вообще не появляются..»

В итоге как-то замяли. А потом от квартиры отказались, сервера вернули в офис. И пришлось придумывать эту систему :)
Это что ж за софт был что квартиру снимать с видеонаблюдением было дешевле чем 1 раз купить. Или фирма была настолько бедная?
бандиты (судя по описанию бизнес-процесса) из принципа не покупают
Я так понимаю ситуации, при которой пришлось бы использовать такую систему не произошло. Моё мнение — система построенная на том, что пользователи должны имитировать некую деятельность, и при этом резервный сервер работает исключительно редко — обречена на провал, если копнуть глубже. Да и пользователи не статичны, приходят новые, им забывают что-то рассказать и всё такое. Как правило когда боятся таких проверок — то дальше взятки проверяющие не идут, а если случай заказной или образцово-показательный, то такая система точно не поможет, потому как существует множество способов получить всю информацию о системе, даже не подходя к компьютерам (милиция знает).
Мораль сей басни такова: Не воруй и не будешь бояться. Не работай на воров и не будешь стрелочником.
«Не воруй и не будешь бояться» ???

вы забываете про заказные наезды… Или у вас нет конкуретнов, недовольных или жадных чиновников, или еще когото, кому хочется «войти в долю» именно с вашим бизнесом?
ну бояться можно и случайного кирпича на голову.
специально для вас уточняю: «Приобретайте легальное программное обеспечение у авторизованного дилера и вам не придётся бояться ответственности за нарушение авторских прав и принимать соответствующие меры предосторожности.»
За 5 лет работы ни одной проверки именно на ПО не было. Но, тем не менее, постепенно стали переводить на лицензию. Со скрипом, ибо убедить идти на такие расходы было непросто.

Защита в основном делалась, конечно, не от этого.
Вернитесь на землю.

Вероятно у вас не причисляли к нелегальному софту все в подряд установленное на Win системах.

Вероятно не требовали запустить Windows на линух-сервере (без Х-ов) с целью посмотреть установленное ПО, угрожая забрать сервер на разбирательство, если не покажем…

Не требовали внаглую деньги, за то чтобы не забирать системники с вышеописанными «нарушениями»

не приходили еще и еще через каждые 3-4 месяца, пытаясь делать вышеописанное снова.

И это из обычной жизни, обычного офиса.
А еще были и заказные «проверки»… но то другая песня.

Хорошо что меня уже более 5 лет ничего не связывает с тем офисом.
успокойтесь, а то вы так нервничаете, они наверное вам снятся до сих пор? :)
Вы теоретик, как я посмотрю :(
OpenOffice без бумажки с печатью от правообладателя, разрешающей использование его вашей организацией — это уже нарушение. Не воровать — это не выход в этой стране.
>OpenOffice без бумажки с печатью от правообладателя, разрешающей использование его вашей организацией — это уже нарушение.

Нарушение чего?
Правил, по которым такая бумажка должна быть, даже на открытое и бесплатное ПО. Т. е. то, что программа бесплатна надо еще доказать проверяющим органам. Распечатка текста лицензии, и её перевод на русский (даже заверенный нотариусом) в нашем правовом поле не имеет силы. Но все это еще пол беды… Короче при желании из каждого легко можно сделать верблюда, соблюдение законов от этого не защитит, отсюда вопрос: а зачем тогда их соблюдать? (риторический)
Не могли бы вы указать какие такие именно правила? Конкретно.
Я не юрист, погуглите.
«Я просто так набалаболил.» Никаких таких законов и правил нет.
Точно не помню — но там по бухгалтерским документам все должно быть оформленно на фирму. Проверяющим по барабану — что там написанно в лицензионном соглашении на Linux etc.
-Вы используете? Откуда это у вас? не на балансе? СПИЗДИЛИ!

Есть множество фирм предоставляющих дистрибутивы Linux (той же убунту) со всем комплектом документов.
Неграмотность проверяющих и существование законов, которые ставят вне закона free open source продукты — это далеко не одно и то же.
Ну и «Точно не помню» — это ведь не ссылка на закон, правда?
Не помню точно откуда, но я знаю, что небо голубое а трава — зеленая. Из опыта.
Я не юрист, но занимаюсь закупками ПО и кое-какие вещи знаю. И опыт общения с проверяющими у меня есть. Я не собираюсь становиться специалистом права, я технолог, и если интересны конкретные положения и статьи (а так-же примеры из реальной жизни) — Гугл за 5 мин вам все найдет.
Мне, собственно, не интересно кто вы и чем занимаетесь, а Google не найдёт, потому как их нет. Цитируя вас: «OpenOffice без бумажки с печатью от правообладателя, разрешающей использование его вашей организацией — это уже нарушение.» — это просто враньё. OpenOffice распространяется под LGPL. LGPL в российских реалиях — оферта. Ограничений на передачу прав по оферте нет. Значит никаких печатей и какого-то специального лицензионного договора и не нужно. Приняли оферту? Замечательно! Всяческий бред про нотариально заверенный перевод вообще выкиньте из головы — законодательство РФ во-первых не требует составления договоров на русском языке, а во вторых нотариус заверяет именно перевод, а не факт заключения этого договора.
По условиям IV части ГК РФ лицензионный договор может заключаться только в письменной форме, а несоблюдение письменной формы делает его недействительным. Обратное вы будете доказывать не мне а сотрудникам милиции.
«Бред» и «вранье» пусть остаются на вашей совести, вы меня утомили.
Вы не спешите так, вот ссылка на ГК РФ — это уже предметный разговор, чего я и пытался от вас добиться, раз вы так настаиваете на своем мнении. Только, увы и ах, это опять промах. ГК РФ ст. 434: «Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.»
Я в последний раз порекомендую поупражняться в юридической грамотности в диалоге с сотрудниками милиции, которые все трактуют именно таким образом, какой их устраивает, либо обратиться к опыту людей, прямо столкнувшихся с подобной ситуацией на практике.
За сим позвольте откланяться, разговор не представляется мне приятным и продуктивным.
Дело не в упражнениях в юридической грамотности. И вы в некотором роде правы — правомерность применения в РФ любых copyleft лицензий без какой-либо бумажной возни не избавит вас от разговоров с проверяющими органами. Если на то пошло, то проблем можно отхватить даже если покупать продукты с традицонными лицензиями и имея все документы на руках. Однако, вы рапространяете ложную информацию и плодите тех кто, точно так же, из таких же постов «не помню точно откуда» не будут даже и сомневаться в правомерности подобных действий проверяющих органов. Ну, мол, нарушает же какие-то там «правила».
Докопаться можно к чему угодно, но доказать ничего не смогут. С таким же успехом можно обвинять в том что самостоятельно написанное ПО своровано — или на свои программы тоже будете оформлять лицензии?
Сейчас менты уже в курсе, что есть линукс и ОО, и при проверке смотрят злобно, но ничего не предъявляют.
Если вас достали с проверками — наймите юриста и жалуйтесь в кучу инстанций, чтоб им тоже не сладко спалось.
Интересны ТТХ серверов, на которых это дело крутилось и ТТХ резервного
Завтра точно напишу, сейчас уж и не вспомню.
Навскидку — на базе HP DL360G3 чтоли.
В обоих серверах по 16Gb памяти и 2x4CPU — в одном 2 в другом, если правильно помню 2.4Ghz
Винты — SAS 15k 72 gb x2 в зеркале под систему и 4x 146gb под данные в 5 рейде.

В принципе места под пользователей еще много довольно. Основной упор — дисковые операции был, мы так и не выбили денег на нормальное внешнее хранилище.

«Резервный» — какой-то древний супермикро, 2х2 проц и 8гб памяти. Валялся без дела, ибо был древен и зело глючен.
Паяльник в жопе админа укажет направление на то_место_где_никто_не_догадается.
Ну, предположим, паяльник творит чудеса с любой криптографической системой.
Если до этого дошло дело — тут уже ничего не поможет.
Админ имеет возможность исключить себя из этой цепочки, отправив паяльник в жопу генеральному.

Мы так шифровали сервера, где пароль сам генеральный вводил лично. Какой он — нам не было известно.
Что-то мне подсказывает, что если дело дошло до засовывания различных предметов с широким диапазоном температур в анальные отверстия — то админу все равно засунут. Так, чисто для профилактики — а вдруг соврал, насчет генерального-то?
Выходит, что если генеральный не признается, где ключи от сейфа, то паяльник сунут и уборщице, которая с сейфа пыль стирает.
Дюже опасная работа у админа
У директора тоже, но у директора есть «бонус за риск». А у админа в качестве бонуса — готовый уголовный срок за нелицензионное ПО
Есть два способа защитить информацию: криптография и стенография. Вариант первого способа: сервер, который интересует спецслужбы с шифрованием разделов в самом офисе. В данном случае есть сервер, есть зашифрованная информация, значит есть повод для термо-ректального криптоанализа. А вот метод автора статьи больше смахивает на «стенографию», если можно так выразится. Сила тут не в шифровании, а в незнании спецслужбами топологии сети и в неочевидности объекта интереса. А так как спецслужбы не знают о настоящем сервере, они проверят полностью легитимную липу и повода для паяльника не возникнет. Как-то так.
Ну да, «все дураки, одна я умная стою тут в белом пальто красивая».

Чаще всего проверка возникает не на ровном месте. Есть бухгалтерские документы в бумажном виде, договора, акты сверки с другими компаниями и так далее. Чаще всего начинают с них. Поддерживать двойную бухгалтерию да так, чтобы нельзя было понять, что на сервере — болванка, имхо, невозможно.

Это все равно, что в школе многие заводили два дневника, один для родителей с хорошими но ненастоящими оценками, а второй — для учителей, с настоящими оценками, но ненастоящими подписями родителей. К слову, классический m-i-m. Так вот, эти дневники вскрывались первым визитом родителей в школу, где в классном журнале был реальный дебет-кредит.
Никто и не спорит, что «статья найдется для всех». Да, если кто-то захочет реально создать неудобства некой компании, он сможет, при наличии возможности, проанализировать финансовую и рыночную активность компании, причем, для этого совсем не обязательно делать выемки оборудования и документов. Но от стихийных проверок это реально может спасти. Вернее, от самих проверок это не спасет, но последствия таковых облегчит.

Кстати, этот вариант защиты может быть полезен не от бухгалтерских проверок, его в первую очередь можно использовать против всяких незаконных захватов оборудования и документации: придут по заказу рейдеров некие представители УВД, арестуют и увезут все компьютеры и документы, но компания может продолжать работу, так как реально вся необходимая для работы документация осталась на удаленном сервере.
Да, вы правы. Четыре ночи, спал уже )).
geber — сдадут тебя именно пользователи, которых как бы не инструктировали, но когда на них начнет давить человек, который профессионал в этих вопросах — они сольются. То, что ты к этому имеешь прямое участие и это легко доказуемо — плохо. Все, что нужно — брейнштормить дальше и сделать схему зависимой от как можно меньше людей (еще раз напоминаю — свидетелей в суде никто не отменял, это покрепче любой высшей математики и уличной магии сис-админства). Либо, вариант 2 — все-таки купить лицензионный софт, почему бы и нет, главное, удовлетворить потребность нескольких основных компаний типа Microsoft, Adobe, 1С :)
Тоже верно.
Софт постепенно покупали.
Да и в основном — не в софте дело было :)
А вот директора нигде не могут в блоге написать как они проворачивают свои махинации. Бедняги, трудно наверное молчать им.
Шутка юмора. Сам админю.
Создаётся ощущение, что информационная безопасность, это искусство прятать тёмные делишки, или предохранятся от кровавой гэбни.

Уже приедается.
Если приедается, то подписывайтесь на «Пора сваливать» :-}
Я люблю ИБ.
Мне кажется это надо не в рубрику «Информационная безопасность», а в рубрику «Информационные фокусы». :)
Ну сами подумайте… Вот были сервера, берем волшебную палочку — нет серверов. :) Рвем бумажку, а вот она в рукаве целая… :)
Когда у Коперфильда железнодорожный вагон исчезает, он же это не называет «Безопасность на железнодооржном транспорте»… :)
Фокусы все это. :)
Угу, причём не всегда ведь это беспредел ментов.
Сами ведь нарываются, нарушая правила игры.

Вот у нас в стране всегда так.
Если чиновник на встречке, то всё, шумгамсиниеведёрки.
А в обычной пробке, почти каждый ведёт себя не менее нагло, но это ведь «совсем другое дело».

Дуракам закон не писан.
Это решение не очень хорошее, т.к. требует участие пользователя для включения переадресации, думаю что не каждый сисадмин сможет вспомнить свой пароль для входа в момент, когда вылетает дверь, а его возьмут на прицел какого-нить дробовика.
Ну, я в теме же отписывал — планировалось сделать это автоматически — просто скрестив с уже существующей системой сигнализации.
Отрубят электричество и будут собирать пищащие упсы…
Пищалки из упсов вырывать нужно для конспирации :)
Не-не-не… мне очень интересно было бы посмотреть как они будут вытаскивать и уносить 5kva упс с дополнительными батареями :)) Там каждый блок, помнится, 4 грузчика несло.
Вы не поняли — будут идти на звук упсов и искать спрятанные сервера :)
мораль — не держите сервера прямо в офисе, для этого есть специально оборудованные помещения.
Некоторые люди просто обрабатывают определенную информацию на внешнем сервере в Интернет (а находится он может где угодно). С ним соединение по RDP.
Так что когда к вам приходят в офис, у вас ВООБЩЕ ничего нет!
Я сотрудничал с одной такой компанией несколько месяцев назад. Их сервер находился в дата-центре провайдера и к нему подключались как с офиса-склада, так и с филии и с дома (бухгалтер была в декрете).

Кстати, очень удобная инфраструктура — при проверках физически нет сервера (провайдер выдавал для работы виртуальную систему и их было несколько), работать можно от куда угодно (экономия на офисе) и повышенная надежность за счет стабильного интернет-канала и безперебойного питания (отключают свет на складе, а бухгалтер из дома может продолжать работать, так же как и сотрудники с ноутами и безпроводным интернетом). Минусом могут быть только форс-мажоры на стороне провайдера.
А ведь можно пойти еще дальше! Использовать on-line сервисы, например тотже Exchange, SharePoint.
Жаль, что в Росcии Microsoft пока не продает это (только партнеры). А так ваши данные вообще будут храниться далеко далеко.
Не поверите…
В эту сторону в итоге и работали. Уже не при мне, правда. лайфрей + зимбра + еще что-то. Закончилось вполне ожидаемо — epic fail :)
это все сдается в аренду по программе SPLA, мы все можем собрать из вышеперечисленного.
проблема единственная — огромный входящий трафик при активной работе кучи народа по RDP, нужен хороший канал до ЦОДа. а так — хоть в германию сервера можно поставить, на них все залить и наслаждаться. А если уж совсем грубо, то и на лицензии можно забить.
НЛО прилетело и опубликовало эту надпись здесь
Насколько удаленно? =)
GSM-гейт с сигнальными выходами… watch dog какой-нибудь.
Все от конкретной ситуации зависит.
до сих пор кто-то так работает? это какой регион? не проще договориться с проверяющими?
Один мой знакомый (ТМ) в аналогичном случае использовал NS.
В случае ЧП главный сервер выключался, появлялся другой по тому же имени доступный из сети.
Плюсы — все это работает одинаково хорошо из нескольких офисов, проще реализация
Минусы — НС меняются долго.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории