О как. Тогда да, круто.
В худшем случае — убьем данные, ну это наверное лучше, чем они попадут в руки злоумышленника.
Хотя… на месте руководства злоумышленника написал бы инструкцию, что при подобных действиях при включении тома-обманки В ОБЯЗАТЕЛЬНОМ ПОРЯДКЕ ставил чекбокс о защите скрытого тома и пытаемся занять доступный объем чем-нибудь (большим файлом и т.д.)
— если дает записать весь доступный объем — ок, считаем что скрытого тома нет.
— если НЕ дает записать… штош… возвращаемся к вопросу о монтировании скрытого тома
UPD: еще раз перечитал. Разработчики и тут нашли «контргайку».
Если я все правильно понял — при установке чекбокса «защиты скрытого тома» требуется пароль от скрытого тома.
Соответственно можно продолжать утверждать что скрытого тома нет и пароля от него нет и чекбокс поставить не получится.
Туше!
Насчёт "невозможно доказать наличие скрытого тома".
Как при этом объяснить разницу в объемах?
Например:
Есть флешка на 8гб.
4 Гб — скрытый том
4 Гб — зашифрованный том-обманка.
Под принуждением открываем том-обманку. Злоумышленник видит что он занимает далеко не весь доступный объем (при том что ничего другого нет, флешка размечена полностью) и делает выводы.
Upd: увидел выше объяснение. Злоумышленник в этом случае попытается записать данными доступный объем и наткнувшись на преграду в виде "защиты скрытого тома" — сделает выводы.
Если попытаться просто поставить фильтр по группам пользователей, то политики вообще применяться не будут. — по ходу что-то не так делает. У нас все работает.
Пользователи заходя на терминальные сервера получают те политики, которые им должны применяться, в зависимости от членства в группах.
И все нормально работает.
Да не, Nic.ru не так уж плох в плане сервиса.
Тут, вон люди пишут, дело в другом.
если цитировать «Затруднения в доступе связаны с блокировкой канальными провайдерами части интернет-сетей из которых на DNS-серверы RU-CENTER производится атака типа DDoS. „
ну и другая цитата “Это вероятнее всего происходит с использованием тех же мощностей, что использовались для атаки на Spamhaus — русско-украинская тусовка, которая то ли развлекается, то ли уже выполняет чьи-то коммерческие заказы. Предполагаю, что Ru-Center и ХЦ не последние жертвы, и в ближайшее время подобные атаки пройдут по другим регистраторам, предоставляющим услугу хостинга DNS.»
Так что если верить сказанному, то дальше будет еще веселее.
ну не знаю.
У меня обычно наоборот: если сломалось при ребуте\обновлении\новой версии (что конечно нонсенс, но бывает) то правильнее, мне кажется, починить все за выходные, пусть даже и в ущерб своему времени, зато при этом минимально повлияв на работу компании.
Чем посередине рабочего дня шарахнуть что-то критично важное и потом в поту и мыле чинить все под вопли юзеров и молнии начальства.
Да я уже погуглил — разобрался.
Я не знал что в 5 версии есть только один гипервизор — ESXi, думал что как и в 4-ке, ESXi — для небольших игрищ, а ESX для всех сколько-нибудь серезных фич с использованием vCenter
Не понятны пара моментов:
1. все таки как решили вопрос с бэкапами? Куда бэкапитесь с хранилища? Объемы данных видимо немаленькие (на всякий случай уточню: речь о оперативных бэкапах, своего рода защита от «ой я тут файл случайно удалила» на всех уровнях от бухгалтера до сисадмина), а если сделат какую-никакую глубину (неделя-две хотя бы) и учитывать всевозможные БД и сложные системы, которые инкрементно не особо побэкапишь, то объемы вырастают неслабо.
2. повышение отказоустойчивости конечно произошло, но вы же понимаете, что малейший отказ хранилища вспучит вам все волосы во всех местах разом.
3. Железо вы брали некое самосборное? В смысле — решения от местных поставщиков? Не смотрели в сторону тех же HP, IBM и иже с ними?
4. судя по схеме вы виртуализировали только ЦОД, и добавили дополнительные контроллеры домена для каждого их поддоменов на отдельном ESXi. Почему бы их не втиснуть в тот-же кластер?
5. в 5 сфере уже можно использовать ESXi под HA и DRS или вы просто опечатались в схеме?
6. Если не секрет — какая лицензия Vsphere используется в итоге? (бандл? версия?)
Отвечу за себя.
Я понимаю, что проблема в админах, человеческий фактор, кривой код движков и т.д.
Но на мой взгляд все события последних пары недель как-то уж очень плотно состыковались друг с другом.
Как правильно говорят, эти страницы висели в паблике не день и не два, подозреваю что даже не один месяц — и никому не было дела.
А тут вдруг все резко вывалилось с шумом и плясками.
Причем во всех случаях обсасывают всего две темы: методику индексирования Яндекса и собственно сами приватные данные.
Потому и возникли сомнения — просто ли совпадение это или нет?
Вы, батенька, ни разу не конспиролог :)
Это ж какую бучу можно поднять, если правильно поставить задачу нужным людям.
Яндекс копается в чужом белье!
За вами подглядывают!
и все такое.
Если брать электрические машины вообще, может эта лампочка?
Пишут про 110 лет, но самому мне честно говоря не верится в чистый аптайм.
Пару десятков раз свет там точно отключали, за сто лет-то…
1 — находите забор;
2 — делаете в нем дырку;
3 — ставите кассу и начинаете продавать билеты на ПОДСМАТРИВАНИЕ
4 — Profit!
Судя по радостным воплям и обсасыванию деталей смсок, ПОДСМАТРИВАНИЕ будет пользоваться нехилым спросом. Причем что за забором — уже неважно. Пустырь, стройка, лес, шоссе — будут платить именно за ПОДГЛЯДЫВАНИЕ.
да. это единственный правильный выход.
Но не забываем про редакции серверов которые кластеризацию поддерживают и цены на них.
Да я и не предлагаю кластеризацию — это так… отчасти онлайн-бэкап, отчасти игрища с DFS.
Все равно автоматически не переключается, будет простой, ну и куча других минусов — см пост.
Я лично такое не использую, но решил описать как вариант, который дешев и прост в настройке, тем более, что ранее я обещал это сделать (написать) — вот и написал :)
Я несколько раз встречал людей, которые клали 1С базы(DBF) в DFS и реплицировали их. А потом удивлялись чудесам которые начинали там происходить.
У вас не было конфликтов и проблем, т.к. вы использовали репликацию для разных отделений (могу ручаться что и для разных сайтов в домене), и это правильно. DFS для этого и создавалась.
Здесь же конфликты более вероятны, т.к. две реплики находятся в пределах одного сайта, а значит они практически равноправны для DFS.
В худшем случае — убьем данные, ну это наверное лучше, чем они попадут в руки злоумышленника.
Хотя… на месте руководства злоумышленника написал бы инструкцию, что при подобных действиях при включении тома-обманки В ОБЯЗАТЕЛЬНОМ ПОРЯДКЕ ставил чекбокс о защите скрытого тома и пытаемся занять доступный объем чем-нибудь (большим файлом и т.д.)
— если дает записать весь доступный объем — ок, считаем что скрытого тома нет.
— если НЕ дает записать… штош… возвращаемся к вопросу о монтировании скрытого тома
UPD: еще раз перечитал. Разработчики и тут нашли «контргайку».
Если я все правильно понял — при установке чекбокса «защиты скрытого тома» требуется пароль от скрытого тома.
Соответственно можно продолжать утверждать что скрытого тома нет и пароля от него нет и чекбокс поставить не получится.
Туше!
Насчёт "невозможно доказать наличие скрытого тома".
Как при этом объяснить разницу в объемах?
Например:
Есть флешка на 8гб.
4 Гб — скрытый том
4 Гб — зашифрованный том-обманка.
Под принуждением открываем том-обманку. Злоумышленник видит что он занимает далеко не весь доступный объем (при том что ничего другого нет, флешка размечена полностью) и делает выводы.
Upd: увидел выше объяснение. Злоумышленник в этом случае попытается записать данными доступный объем и наткнувшись на преграду в виде "защиты скрытого тома" — сделает выводы.
Пользователи заходя на терминальные сервера получают те политики, которые им должны применяться, в зависимости от членства в группах.
И все нормально работает.
Тут, вон люди пишут, дело в другом.
если цитировать
«Затруднения в доступе связаны с блокировкой канальными провайдерами части интернет-сетей из которых на DNS-серверы RU-CENTER производится атака типа DDoS. „
ну и другая цитата
“Это вероятнее всего происходит с использованием тех же мощностей, что использовались для атаки на Spamhaus — русско-украинская тусовка, которая то ли развлекается, то ли уже выполняет чьи-то коммерческие заказы. Предполагаю, что Ru-Center и ХЦ не последние жертвы, и в ближайшее время подобные атаки пройдут по другим регистраторам, предоставляющим услугу хостинга DNS.»
Так что если верить сказанному, то дальше будет еще веселее.
У меня обычно наоборот: если сломалось при ребуте\обновлении\новой версии (что конечно нонсенс, но бывает) то правильнее, мне кажется, починить все за выходные, пусть даже и в ущерб своему времени, зато при этом минимально повлияв на работу компании.
Чем посередине рабочего дня шарахнуть что-то критично важное и потом в поту и мыле чинить все под вопли юзеров и молнии начальства.
Я не знал что в 5 версии есть только один гипервизор — ESXi, думал что как и в 4-ке, ESXi — для небольших игрищ, а ESX для всех сколько-нибудь серезных фич с использованием vCenter
1. все таки как решили вопрос с бэкапами? Куда бэкапитесь с хранилища? Объемы данных видимо немаленькие (на всякий случай уточню: речь о оперативных бэкапах, своего рода защита от «ой я тут файл случайно удалила» на всех уровнях от бухгалтера до сисадмина), а если сделат какую-никакую глубину (неделя-две хотя бы) и учитывать всевозможные БД и сложные системы, которые инкрементно не особо побэкапишь, то объемы вырастают неслабо.
2. повышение отказоустойчивости конечно произошло, но вы же понимаете, что малейший отказ хранилища вспучит вам все волосы во всех местах разом.
3. Железо вы брали некое самосборное? В смысле — решения от местных поставщиков? Не смотрели в сторону тех же HP, IBM и иже с ними?
4. судя по схеме вы виртуализировали только ЦОД, и добавили дополнительные контроллеры домена для каждого их поддоменов на отдельном ESXi. Почему бы их не втиснуть в тот-же кластер?
5. в 5 сфере уже можно использовать ESXi под HA и DRS или вы просто опечатались в схеме?
6. Если не секрет — какая лицензия Vsphere используется в итоге? (бандл? версия?)
Отлегло.
Я понимаю, что проблема в админах, человеческий фактор, кривой код движков и т.д.
Но на мой взгляд все события последних пары недель как-то уж очень плотно состыковались друг с другом.
Как правильно говорят, эти страницы висели в паблике не день и не два, подозреваю что даже не один месяц — и никому не было дела.
А тут вдруг все резко вывалилось с шумом и плясками.
Причем во всех случаях обсасывают всего две темы: методику индексирования Яндекса и собственно сами приватные данные.
Потому и возникли сомнения — просто ли совпадение это или нет?
Это ж какую бучу можно поднять, если правильно поставить задачу нужным людям.
Яндекс копается в чужом белье!
За вами подглядывают!
и все такое.
Пишут про 110 лет, но самому мне честно говоря не верится в чистый аптайм.
Пару десятков раз свет там точно отключали, за сто лет-то…
1 — находите забор;
2 — делаете в нем дырку;
3 — ставите кассу и начинаете продавать билеты на ПОДСМАТРИВАНИЕ
4 — Profit!
Судя по радостным воплям и обсасыванию деталей смсок, ПОДСМАТРИВАНИЕ будет пользоваться нехилым спросом. Причем что за забором — уже неважно. Пустырь, стройка, лес, шоссе — будут платить именно за ПОДГЛЯДЫВАНИЕ.
или нет?
Но не забываем про редакции серверов которые кластеризацию поддерживают и цены на них.
Да я и не предлагаю кластеризацию — это так… отчасти онлайн-бэкап, отчасти игрища с DFS.
Все равно автоматически не переключается, будет простой, ну и куча других минусов — см пост.
Я лично такое не использую, но решил описать как вариант, который дешев и прост в настройке, тем более, что ранее я обещал это сделать (написать) — вот и написал :)
У вас не было конфликтов и проблем, т.к. вы использовали репликацию для разных отделений (могу ручаться что и для разных сайтов в домене), и это правильно. DFS для этого и создавалась.
Здесь же конфликты более вероятны, т.к. две реплики находятся в пределах одного сайта, а значит они практически равноправны для DFS.