В случае, если USB-токен будет поврежден или утрачен, резервную копию ключа LUKS можно будет взять действительно из сейфа. Этот сейф необязательно носить вместе с ноутбуком, и, более того, за хранение резервных копий ключей может отвечать не обычный пользователь, а системный администратор. Например, одним из наиболее перспективных направлений дальнейшего развития наших наработок является организация хранения резервных копий ключей LUKS непосредственно в службе каталога.
Компании, которым недостаточно простого защитного преобразования, как дополнительной меры защиты, и требуется сертифицированное шифрование, могут воспользоваться таким продуктом как SecretDisk от Аладдин. Эта система защиты позволяет использовать в том числе и сертифицированных со стороны ФСБ России поставщиков службы криптографии (CSP). Будет вам в этом случае и Кузнечик, и Магма.
Область /boot шифроваться не будет в любом случае, но при большом желании вы можете разместить ее на защищенной флешке и грузиться с нее, тогда сможете получить еще и доверенную загрузку. Этот продукт у коллег называется Aladdin Trusted Security Module, TSM.
В общем, ставьте лайк к этой статье и комментарию, и тогда в следующих публикациях мы подробно рассмотрим все эти возможности!
Мы очень хотели опубликовать всё и сразу, но это 35 страниц забористого чтива, поэтому нас убедили, что в приличном обществе вилку нужно держать в левой руке, а ножом нельзя тыкать в соседей. Третью часть статьи, в которой будет как раз про Рутокен и RSA, опубликуем уже в эту пятницу!
Преимущество токенов состоит в том, что PIN-код намного проще запомнить, чем пароль, но при этом устройство гарантирует высокий уровень безопасности за счет ограничения количества попыток.
Учитывая 10 попыток и длину PIN-кода в 8 цифр, злоумышленник сможет выиграть только с вероятностью один шанс на десять миллионов, что, правда, все равно побольше, чем в лотерее, когда не купил ни одного билета. Мастер-ключ при этом шифруется ключом токена, энтропия которого ничем не уступает энтропии самого мастер-ключа.
Документации нужно много и как можно более качественной. Обратите внимание на наш открытый курс https://www.aldpro.ru/professional/index.html Мы постарались в нем раскрыть все наиболее важные аспекты работы компонентов технологического стека.
Вы правы, в службе каталога FreeIPA есть NTLM-хеши для совместимости с MS AD, они хранятся в атрибутах ipaNTHash. Эти хеши нужно отключить, когда отпадет необходимость в интеграции с MS AD, но до тех пор, пока такие хеши есть в базе данных, вариант с упрощением алгоритма видится допустимым способом ускорения LDAP-аутентификации.
В большинстве случаев dist-upgrade справится с задачей, но лучше все-таки использовать штатную утилиту astra-update, как указано в статье, т.к. она реализует предусмотренную разработчиками ОС стратегию обновления пакетов и может отключать/включать собственные функции безопасности, что может быть необходимо для корректного обновления системы.
Большое спасибо за ваш отзыв. Мы действительно проделали всю эту работу для того, чтобы сделать эти технологии как можно ближе к «народу», чтобы показать, как с помощью этих «грузовиков» можно решать реальные задачи на предприятиях. Уверены, что ознакомление с этими материалами поможет сэкономить инженерам десятки тысяч человеко-часов по всей стране.
Мы всегда открыты для любой обратной связи, поэтому подключайтесь к нашему сообществу, участвуйте в опросах и фокус-группах по обсуждению различных способов замещения технологий. Совместными усилиями мы сможем справиться с совершенно любой задачей!
Через политики программного обеспечения можно распространить по компьютерам домена ALD Pro любой текстовый файл и устанавливать при этом какие-либо deb-пакеты необязательно. Есть еще доп. параметр групповой политики, который позволяет автоматически загружать на рабочие станции файлы через http или передавать их непосредственно в значении атрибута в кодировке base64.
Механизм policy manager создавался все-таки для решения внутренних задач. Если вам потребуется распространить в домене собственный файл, например, файл сертификата, то проще всего это сделать с помощью параметра ПО, который позволяет создавать на компьютерах файлы по указанным шаблонам. Устанавливать какие-либо deb-пакеты при этом совсем необязательно.
Если вам есть, чем поделиться с коллегами, вы всегда можете направить свои предложения в виде запросов на слияние в открытый репозиторий с материалами курса на GitFlic.
Для того чтобы устранить возможные конфликты с другими продуктами компании, мы реализовали нашу автономную службу Salt Minion в изолированном окружении Python. Поэтому у вас не возникнет проблем с установкой агентов ALD Pro и ACM на один компьютер. Более того, при необходимости вы сможете установить дополнительно и ванильный Salt Minon.
Вместе с тем вы правы, что одновременное конфигурирование одного и того же параметра с помощью нескольких систем конфигурирования сразу будет приводить к коллизиям, и значение этого параметра будет меняться во времени в зависимости от того, какая из систем применила свои настройки последней. Но в случае использования групповых политик MS AD и системы SCCM ситуация была такой же
Поэтому проблему конфликтов следует решать организационно: нужно просто разделить зоны ответственности между системами, какие параметры должна администрировать каждая из них.
В предложенной архитектуре сервер окажется узким горлышком, так как ему нужно будет одновременно обслуживать порядка 5 тысяч хостов. Для удержания такого количества SSH-соединений потребуется слишком много ресурсов.
В дополнение к этому Ansible использует метод push, то есть сервер устанавливает соединение с клиентом по своей инициативе. Этот метод будет крайне неэффективен в больших географически распределенных инфраструктурах на десятки или даже сотни контроллеров, так как хостов окажется значительно больше, чем способен обслужить один сервер, а большая часть этих хостов окажется физически недоступна. Контроллеру нужно будет проверять доступность всех хостов домена, чтобы найти те из них, которые прямо сейчас онлайн и находятся вместе с ним в одной сети. И это не считая того, что компьютеры удаленщиков будут подключаться из сетей за NAT-ом, поэтому будут всегда недоступны.
В общем, в реальной инфраструктуре такой подход не сработает. На рынке известна реализация механизма групповых политик на Ansible, но, чтобы эта машинка хоть как-то поехала, разработчикам пришлось реализовать агента для рабочих станций, который дергает API на контроллере, чтобы запросить у него применение групповых политик. Это не снимает ограничений по количеству одновременных SSH-соединений, но без такого оригинального трюка модель будет совсем нежизнеспособной.
Для Red Hat IdM служба каталога FreeIPA является апстримом. В продукте ALD Pro мы значительно расширяем возможности FreeIPA: добавляем иерархию структурных подразделений, реализуем механизм групповых политик на базе salt-скриптов, интегрируем целый ряд дополнительных подсистем, которые позволяют быстро предоставить сотрудникам типовые ИТ-сервисы, такие как репозиторий ПО, файловый и принт-сервер, DHCP, PXE, аудит и мониторинг.
Если подушнить, то логическими разделами в Windows называют расширенные разделы на MBR-дисках. Изначально эта разметка предполагает, что на диске может быть не более 4 разделов, но операционные системы на программном уровне научились работать с любым количеством расширенных разделов. Не смотря на то, что разметка MBR устарела, дисков с такой разметкой используется еще очень много. Подробнее об этом рассказывается в двух модулях: "17. Загрузка системы и управление службами systemd" и "Модуль 19. Файловая система в Linux. Работа с блочными устройствами и LVM".
В случае, если USB-токен будет поврежден или утрачен, резервную копию ключа LUKS можно будет взять действительно из сейфа. Этот сейф необязательно носить вместе с ноутбуком, и, более того, за хранение резервных копий ключей может отвечать не обычный пользователь, а системный администратор. Например, одним из наиболее перспективных направлений дальнейшего развития наших наработок является организация хранения резервных копий ключей LUKS непосредственно в службе каталога.
Компании, которым недостаточно простого защитного преобразования, как дополнительной меры защиты, и требуется сертифицированное шифрование, могут воспользоваться таким продуктом как SecretDisk от Аладдин. Эта система защиты позволяет использовать в том числе и сертифицированных со стороны ФСБ России поставщиков службы криптографии (CSP). Будет вам в этом случае и Кузнечик, и Магма.
Область /boot шифроваться не будет в любом случае, но при большом желании вы можете разместить ее на защищенной флешке и грузиться с нее, тогда сможете получить еще и доверенную загрузку. Этот продукт у коллег называется Aladdin Trusted Security Module, TSM.
В общем, ставьте лайк к этой статье и комментарию, и тогда в следующих публикациях мы подробно рассмотрим все эти возможности!
Вторая часть статьи доступна тут https://habr.com/ru/companies/astralinux/articles/994018/
Мы очень хотели опубликовать всё и сразу, но это 35 страниц забористого чтива, поэтому нас убедили, что в приличном обществе вилку нужно держать в левой руке, а ножом нельзя тыкать в соседей. Третью часть статьи, в которой будет как раз про Рутокен и RSA, опубликуем уже в эту пятницу!
Респект, добавили формулировкам ювелирную точность.
Про TPM и партизанов на допросе тоже будет. Постарались рассмотреть вопрос, так сказать, со всех сторон.
Преимущество токенов состоит в том, что PIN-код намного проще запомнить, чем пароль, но при этом устройство гарантирует высокий уровень безопасности за счет ограничения количества попыток.
Учитывая 10 попыток и длину PIN-кода в 8 цифр, злоумышленник сможет выиграть только с вероятностью один шанс на десять миллионов, что, правда, все равно побольше, чем в лотерее, когда не купил ни одного билета. Мастер-ключ при этом шифруется ключом токена, энтропия которого ничем не уступает энтропии самого мастер-ключа.
А если записать пароль шиншилописью, то его можно даже под клавиатурой хранить и ни один вражина не разберется )))
Документации нужно много и как можно более качественной. Обратите внимание на наш открытый курс https://www.aldpro.ru/professional/index.html Мы постарались в нем раскрыть все наиболее важные аспекты работы компонентов технологического стека.
Вы правы, в службе каталога FreeIPA есть NTLM-хеши для совместимости с MS AD, они хранятся в атрибутах ipaNTHash. Эти хеши нужно отключить, когда отпадет необходимость в интеграции с MS AD, но до тех пор, пока такие хеши есть в базе данных, вариант с упрощением алгоритма видится допустимым способом ускорения LDAP-аутентификации.
В большинстве случаев dist-upgrade справится с задачей, но лучше все-таки использовать штатную утилиту astra-update, как указано в статье, т.к. она реализует предусмотренную разработчиками ОС стратегию обновления пакетов и может отключать/включать собственные функции безопасности, что может быть необходимо для корректного обновления системы.
Большое спасибо за ваш отзыв. Мы действительно проделали всю эту работу для того, чтобы сделать эти технологии как можно ближе к «народу», чтобы показать, как с помощью этих «грузовиков» можно решать реальные задачи на предприятиях. Уверены, что ознакомление с этими материалами поможет сэкономить инженерам десятки тысяч человеко-часов по всей стране.
Мы всегда открыты для любой обратной связи, поэтому подключайтесь к нашему сообществу, участвуйте в опросах и фокус-группах по обсуждению различных способов замещения технологий. Совместными усилиями мы сможем справиться с совершенно любой задачей!
Через политики программного обеспечения можно распространить по компьютерам домена ALD Pro любой текстовый файл и устанавливать при этом какие-либо deb-пакеты необязательно. Есть еще доп. параметр групповой политики, который позволяет автоматически загружать на рабочие станции файлы через http или передавать их непосредственно в значении атрибута в кодировке base64.
Механизм policy manager создавался все-таки для решения внутренних задач. Если вам потребуется распространить в домене собственный файл, например, файл сертификата, то проще всего это сделать с помощью параметра ПО, который позволяет создавать на компьютерах файлы по указанным шаблонам. Устанавливать какие-либо deb-пакеты при этом совсем необязательно.
Если вам есть, чем поделиться с коллегами, вы всегда можете направить свои предложения в виде запросов на слияние в открытый репозиторий с материалами курса на GitFlic.
Для того чтобы устранить возможные конфликты с другими продуктами компании, мы реализовали нашу автономную службу Salt Minion в изолированном окружении Python. Поэтому у вас не возникнет проблем с установкой агентов ALD Pro и ACM на один компьютер. Более того, при необходимости вы сможете установить дополнительно и ванильный Salt Minon.
Вместе с тем вы правы, что одновременное конфигурирование одного и того же параметра с помощью нескольких систем конфигурирования сразу будет приводить к коллизиям, и значение этого параметра будет меняться во времени в зависимости от того, какая из систем применила свои настройки последней. Но в случае использования групповых политик MS AD и системы SCCM ситуация была такой же
Поэтому проблему конфликтов следует решать организационно: нужно просто разделить зоны ответственности между системами, какие параметры должна администрировать каждая из них.
В предложенной архитектуре сервер окажется узким горлышком, так как ему нужно будет одновременно обслуживать порядка 5 тысяч хостов. Для удержания такого количества SSH-соединений потребуется слишком много ресурсов.
В дополнение к этому Ansible использует метод push, то есть сервер устанавливает соединение с клиентом по своей инициативе. Этот метод будет крайне неэффективен в больших географически распределенных инфраструктурах на десятки или даже сотни контроллеров, так как хостов окажется значительно больше, чем способен обслужить один сервер, а большая часть этих хостов окажется физически недоступна. Контроллеру нужно будет проверять доступность всех хостов домена, чтобы найти те из них, которые прямо сейчас онлайн и находятся вместе с ним в одной сети. И это не считая того, что компьютеры удаленщиков будут подключаться из сетей за NAT-ом, поэтому будут всегда недоступны.
В общем, в реальной инфраструктуре такой подход не сработает. На рынке известна реализация механизма групповых политик на Ansible, но, чтобы эта машинка хоть как-то поехала, разработчикам пришлось реализовать агента для рабочих станций, который дергает API на контроллере, чтобы запросить у него применение групповых политик. Это не снимает ограничений по количеству одновременных SSH-соединений, но без такого оригинального трюка модель будет совсем нежизнеспособной.
Для Red Hat IdM служба каталога FreeIPA является апстримом. В продукте ALD Pro мы значительно расширяем возможности FreeIPA: добавляем иерархию структурных подразделений, реализуем механизм групповых политик на базе salt-скриптов, интегрируем целый ряд дополнительных подсистем, которые позволяют быстро предоставить сотрудникам типовые ИТ-сервисы, такие как репозиторий ПО, файловый и принт-сервер, DHCP, PXE, аудит и мониторинг.
В содержании учебных модулей есть ссылки на репозитории, необходимые для установки продукта в целях обучения.
Если подушнить, то логическими разделами в Windows называют расширенные разделы на MBR-дисках. Изначально эта разметка предполагает, что на диске может быть не более 4 разделов, но операционные системы на программном уровне научились работать с любым количеством расширенных разделов. Не смотря на то, что разметка MBR устарела, дисков с такой разметкой используется еще очень много. Подробнее об этом рассказывается в двух модулях: "17. Загрузка системы и управление службами systemd" и "Модуль 19. Файловая система в Linux. Работа с блочными устройствами и LVM".
Все верно, FreeIPA реализует централизованное хранение правил для утилиты sudo.