[Sysadmins] запрет скачивания переименованных mp3

[Sysadmins] запрет скачивания переименованных mp3

[Serge]

Сталкнулся с такой проблеммой:
на сквиде настроил запрет на скачивание mp3, явно указав розширение файла
\.mp3$
но некоторые деятели нашли сайт с которого можно скачивать mp3, 
переименованные расширения в zip, pdf

можно ли как то бороться с этим?
если да, то как?

Re: [Sysadmins] запрет скачивания переименованных mp3

[Andrey Novoselov]

В Птн, 06/04/2007 в 07:57 +0300, Serge пишет:
> Сталкнулся с такой проблеммой:
> на сквиде настроил запрет на скачивание mp3, явно указав розширение файла
> \.mp3$
> но некоторые деятели нашли сайт с которого можно скачивать mp3, 
> переименованные расширения в zip, pdf
> 
> можно ли как то бороться с этим?
> если да, то как?
Административными мерами? ;-)
-- 
С уважением, Андрей Новосёлов.
Registered Linux user 282220
Mail       ksynolog_at_ukr.net
Mail       ksynolog_at_gmail.com
Jabber     gnostik_at_jabber.ru
ICQ UIN    162278208

Re: [Sysadmins] запрет скачивания переименованных mp3

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1057 bytes --]

Serge пишет:
> Сталкнулся с такой проблеммой:
> на сквиде настроил запрет на скачивание mp3, явно указав розширение файла
> \.mp3$
> но некоторые деятели нашли сайт с которого можно скачивать mp3, 
> переименованные расширения в zip, pdf
>
> можно ли как то бороться с этим?
> если да, то как?
>   
Можно проверять утилитой file. Но для этого ваш прокси сервер должен 
скачать весь файл, проверить, потом отдать пользователю. По такой схеме 
работает антивирусная проверка. Например havp. Возможно к нему еще можно 
прикрутить и проверку с помощью file. Я сам не делал, это только 
предложения.

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[ABATAPA]

Пятница 06 апреля 2007, Serge написал:
> можно ли как то бороться с этим?
> если да, то как?

http://l7-filter.sourceforge.net/

-- 
ABATAPA

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

Подытоживая вышеприведённые советы, прихожу к выводу, что требуется некий
инструмент, который опознавал бы частично скачанные файлы по их заголовкам на
манер почтовиков, загружающих только заголовки писем.

Выход, правда, временный. Кому хочется сливать определённого типа файлы,
станут их паковать без сжатия - просто это будет менять заголовок.

"На всякую хитрую жабу найдётся хрущ с винтом" (ц) О. Белянин
Супротив "хруща с винтом" выстоит только "жаба с закоулками".
И так бесконечно. Уроборос в чистом виде.
Впору учреждать журнал "Алхимия и жЭсть". :)
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 983 bytes --]

Вадим Илларионов пишет:
> Подытоживая вышеприведённые советы, прихожу к выводу, что требуется некий
> инструмент, который опознавал бы частично скачанные файлы по их заголовкам на
> манер почтовиков, загружающих только заголовки писем.
>
> Выход, правда, временный. Кому хочется сливать определённого типа файлы,
> станут их паковать без сжатия - просто это будет менять заголовок.
>   
Ну так в случае если определился архив, то разворачивать архив и 
проверять содержимое. Это давно стандартная практика для проверки почты.

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey]

On Friday 06 April 2007, Slava Dubrovskiy wrote:

> Ну так в случае если определился архив,

А если банально поксорят ? :-)

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Sergey поступило следующее:

>> Ну так в случае если определился архив,
> 
> А если банально поксорят ? :-)

Грю ж , Уроборос, мля! :)
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Slava Dubrovskiy поступило следующее:

> Вадим Илларионов пишет:
>> Подытоживая вышеприведённые советы, прихожу к выводу, что требуется некий
>> инструмент, который опознавал бы частично скачанные файлы по их заголовкам
>> на манер почтовиков, загружающих только заголовки писем.
>>
>> Выход, правда, временный. Кому хочется сливать определённого типа файлы,
>> станут их паковать без сжатия - просто это будет менять заголовок.
>>   
> Ну так в случае если определился архив, то разворачивать архив и
> проверять содержимое. Это давно стандартная практика для проверки почты.
 
Речь-то шла о ЧАСТИЧНОЙ закачке файла. Исключительно того объёма, которого
заведомо хватает на проверку реального типа.
А если УЖЕ слит весь, чего ради огород-то городить?!

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1943 bytes --]

Вадим Илларионов пишет:
>>> Подытоживая вышеприведённые советы, прихожу к выводу, что требуется некий
>>> инструмент, который опознавал бы частично скачанные файлы по их заголовкам
>>> на манер почтовиков, загружающих только заголовки писем.
>>>
>>> Выход, правда, временный. Кому хочется сливать определённого типа файлы,
>>> станут их паковать без сжатия - просто это будет менять заголовок.
>>>   
>>>       
>> Ну так в случае если определился архив, то разворачивать архив и
>> проверять содержимое. Это давно стандартная практика для проверки почты.
>>     
> Речь-то шла о ЧАСТИЧНОЙ закачке файла. Исключительно того объёма, которого
> заведомо хватает на проверку реального типа.
> А если УЖЕ слит весь, чего ради огород-то городить?!
>   
Изначально в вопросе про объем ничего не было :-)
А если так задача ставится, то даже не знаю.
У меня был такой случай. Административно не очень решался, т.к. не было 
желания ни у меня ни у директора быть цербером над сотрудниками. Тем 
более что работу свою они делали. Проблему перерасхода трафика решил 
просто переходом на unlimited.

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Slava Dubrovskiy писал(а) в сообщении: 

SD == Slava Dubrovskiy

SD> Изначально в вопросе про объем ничего не было :-)
SD> А если так задача ставится, то даже не знаю.

В изначальной задаче был пример:
Сайт http://pleera.net/viewer/49/4979.shtml
(Лучше туда не ходить... ПопАпы всякие и вообще ...)
Там специально, для обхода наших запретов, предлагаются
ссылки на файлы с измененными расширениями
+++
Скачать файл с расширением: mp3, exe, zip, pdf, kit     
+++
И ссылки типа 
http://dl.pleera.net/49/4979/avril_lavigne_-_dont_tell_me_(acoustic).exe
Для данного сайта можно придумать правило Squid 
для реакции на *(acoustic).???

Но это частная мера.
Как извратятся распространители контента на другом сайте - не известно заранее.

Если условия не позволяют перейти на безлимитку, или 
пользование даже безлимиткой невозможно из-за того, что канал забит ЭТИМ,
то первоначальный вопрос остается актуальным.

Я так понял, что выход один - качать кусок, достаточный для идентификации,
идентифицировать его и потом качать остальное.


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Ангелу легко быть ангелом: ему не нужна еда, и он бесполый.
	-- Габриель Лауб

Re: [Sysadmins] запрет скачивания переименованных mp3

[Шенцев Алексей Владимирович]

1В сообщении от Friday 06 April 2007 13:06:57 Dmitriy L. Kruglikov написал(а):
> На календаре было: Пятница, 06 Апрель 2007 года,
> Slava Dubrovskiy писал(а) в сообщении:
>
> SD == Slava Dubrovskiy
>
> SD> Изначально в вопросе про объем ничего не было :-)
> SD> А если так задача ставится, то даже не знаю.
>
> В изначальной задаче был пример:
> Сайт http://pleera.net/viewer/49/4979.shtml
> (Лучше туда не ходить... ПопАпы всякие и вообще ...)
> Там специально, для обхода наших запретов, предлагаются
> ссылки на файлы с измененными расширениями
> +++
> Скачать файл с расширением: mp3, exe, zip, pdf, kit
> +++
> И ссылки типа
> http://dl.pleera.net/49/4979/avril_lavigne_-_dont_tell_me_(acoustic).exe
> Для данного сайта можно придумать правило Squid
> для реакции на *(acoustic).???
> Но это частная мера.
> Как извратятся распространители контента на другом сайте - не известно
> заранее.

Вариант запрещать такие сайты ???

> Если условия не позволяют перейти на безлимитку, или
> пользование даже безлимиткой невозможно из-за того, что канал забит ЭТИМ,
> то первоначальный вопрос остается актуальным.

Лимит, без литим, какая  разница, когда канал забит именно этим ...

> Я так понял, что выход один - качать кусок, достаточный для идентификации,
> идентифицировать его и потом качать остальное.

Вот именно как это сделать?

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Шенцев Алексей Владимирович писал(а) в сообщении: 

 == Шенцев Алексей Владимирович

> Вариант запрещать такие сайты ???
И долго ты выдержишь?
Медитировать над логами, проверять каждый сайт,
вносить его в списки ....

Запаришься ...

У меня, например, список порносайтов для Режика:
# cat /usr/local/rejik3/banlists/porno/urls | wc -l
22939

При этом, последние пару-тройку сотен я сам добавил...
А потом надоело ...

Кстати, и не просите, посмотреть не дам... :)




--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Забирайте с собою в путь, выходя из мягких юношеских лет в суровое 
ожесточающее мужество,... все человеческие движения, не оставляйте их 
на дороге: не подымете потом!
		-- Н.В.Гоголь

Re: [Sysadmins] запрет скачивания переименованных mp3

[Serge]

> Если условия не позволяют перейти на безлимитку, или
> пользование даже безлимиткой невозможно из-за того, что канал забит ЭТИМ,
> то первоначальный вопрос остается актуальным.
>
> Я так понял, что выход один - качать кусок, достаточный для идентификации,
> идентифицировать его и потом качать остальное.
я прихожу к мнению, что нужно или квотировать размер файлов, скаченных из 
инета или вводить квоты для юзверей

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

>>>> Подытоживая вышеприведённые советы, прихожу к выводу, что требуется некий
>>>> инструмент, который опознавал бы частично скачанные файлы по их
>>>> заголовкам на манер почтовиков, загружающих только заголовки писем.
>>>>
>>>> Выход, правда, временный. Кому хочется сливать определённого типа файлы,
>>>> станут их паковать без сжатия - просто это будет менять заголовок.
>>>>   
>>>>       
>>> Ну так в случае если определился архив, то разворачивать архив и
>>> проверять содержимое. Это давно стандартная практика для проверки почты.
>>>     
>> Речь-то шла о ЧАСТИЧНОЙ закачке файла. Исключительно того объёма, которого
>> заведомо хватает на проверку реального типа.
>> А если УЖЕ слит весь, чего ради огород-то городить?!
>>   
> Изначально в вопросе про объем ничего не было :-)
Не очень интересно самоцитироваться, но:
>>>> требуется некий инструмент, который опознавал бы частично скачанные файлы
Прямо в этом же посте, с вашей же цитатой моего же предложения.

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 630 bytes --]

Шенцев Алексей Владимирович пишет:
>> Если условия не позволяют перейти на безлимитку, или
>> пользование даже безлимиткой невозможно из-за того, что канал забит ЭТИМ,
>> то первоначальный вопрос остается актуальным.
>>     
> Лимит, без литим, какая  разница, когда канал забит именно этим ...
>   
Можно настроить delay_pools
Но это костыль...

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Шенцев Алексей Владимирович поступило следующее:

> Вариант запрещать такие сайты ???

На то есть "режик", но - увы! - не панацея.

>> Я так понял, что выход один - качать кусок, достаточный для идентификации,
>> идентифицировать его и потом качать остальное.
> 
> Вот именно как это сделать?

Вот именно об этом и прозвучало пред(по)ложение.
05 самоцитируюсь:

> ...требуется некий инструмент, который опознавал бы частично скачанные файлы
> по их заголовкам на манер почтовиков, загружающих только заголовки писем.

________________________ 
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Dmitriy L. Kruglikov поступило следующее:

> У меня, например, список порносайтов для Режика:
> # cat /usr/local/rejik3/banlists/porno/urls | wc -l
> 22939
> 
> При этом, последние пару-тройку сотен я сам добавил...
> А потом надоело ...
> 
> Кстати, и не просите, посмотреть не дам... :)

Пошто так? Жадно?.. :)
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Serge писал(а) в сообщении: 

S == Serge

S> я прихожу к мнению, что нужно или квотировать размер файлов, скаченных из 
S> инета или вводить квоты для юзверей
А почему "или" ?
Не помешает ни первое, ни второе, ни ...
То есть:
- резать по именам сайтов,
- резать по расширениям файлов,
- резать по времени суток,
- резать по лимиту в день, неделю, месяц.
- резать на основании корпоративных политик.
- резать, в конце концов просто потому, что посмотрел косо...

Гарна штука - кулэмэт ...

А если серьезно, то разумная комбинация вышеперечисленного
позволит максимально приблизиться к желаемому результату,
но достичь его - это фантастика ... %)




--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Человек произошел от обезьяны, а женщина от птички или рыбки.
		-- Г.Малкин

Re: [Sysadmins] запрет скачивания переименованных mp3

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 13:36:42 Dmitriy L. Kruglikov написал(а):
> > Вариант запрещать такие сайты ???
> И долго ты выдержишь?
> Медитировать над логами, проверять каждый сайт,
> вносить его в списки ....
> Запаришься ...
Я нет. Я знаю несколько сайтов, что нужны нашим работникам, а все остальные 
закрываю, даже не смотря на их содержание. Нужный сайт обращатесь к 
начальству с объясниловкой, что б я его открыл, а нет - миль пардон, бананьев 
нет ... :)
> У меня, например, список порносайтов для Режика:
> # cat /usr/local/rejik3/banlists/porno/urls | wc -l
> 22939
Они всё равно меняют своё название, расположение. Одна и та же инфа кочует с 
места на место. А то бывает куча названий и оформлениий, а содержимое одно и 
то же. Из-за этого с ними надоедает бороться ...
> При этом, последние пару-тройку сотен я сам добавил...
> А потом надоело ...
Есть такое ...
> Кстати, и не просите, посмотреть не дам... :)
У самого полно этого хлама .... ;)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Slava Dubrovskiy поступило следующее:

> Шенцев Алексей Владимирович пишет:
>>> Если условия не позволяют перейти на безлимитку, или
>>> пользование даже безлимиткой невозможно из-за того, что канал забит ЭТИМ,
>>> то первоначальный вопрос остается актуальным.
>>>     
>> Лимит, без литим, какая  разница, когда канал забит именно этим ...
>>   
> Можно настроить delay_pools
> Но это костыль...

Я пока не дорос до пользования QoS или там средствами etcnet трафик
выравнивать. Однако вопрос: может, именно этот метод некое подспорье может
оказать?..
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Вадим Илларионов писал(а) в сообщении: 

 == Вадим Илларионов

> > Кстати, и не просите, посмотреть не дам... :)  
> 
> Пошто так? 
Так это ж подрыв работоспособности ...
Почти как упаковка с пупырьками :)

Потом скажут, что украинский хакер парализовал работу
российского сегмента Интернета ...

Стоп. Флейм не разжигать !!!

Напомню вопрос:
Как закачать _кусок_ файла произвольного расширения,
проверить его реальное содержимое, и применить этот 
компот в качестве управляющей директивы Squid ?


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Читая Ваше произведение, хочется ходить на четвереньках.
		-- Вольтер

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Вадим Илларионов писал(а) в сообщении: 

 == Вадим Илларионов

> > Можно настроить delay_pools
> > Но это костыль...  
> 
> Я пока не дорос до пользования QoS 
Речь идет о delay_pools в Squid ...
Там не сложно ...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
- Почему женщин не берут в армию?
- Потому что по команде "ложись" они падают на спину.

Re: [Sysadmins] запрет скачивания переименованных mp3

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1088 bytes --]

Вадим Илларионов пишет:
>>>> Если условия не позволяют перейти на безлимитку, или
>>>> пользование даже безлимиткой невозможно из-за того, что канал забит ЭТИМ,
>>>> то первоначальный вопрос остается актуальным.
>>>>     
>>>>         
>>> Лимит, без литим, какая  разница, когда канал забит именно этим ...  
>>>       
>> Можно настроить delay_pools
>> Но это костыль...
>>     
> Я пока не дорос до пользования QoS или там средствами etcnet трафик
> выравнивать. Однако вопрос: может, именно этот метод некое подспорье может
> оказать?..
>   
Это настройки сквида. Посмотрите его конфиг + достаточно мнго примеров в 
сети есть

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Dmitriy L. Kruglikov поступило следующее:

> - резать, в конце концов просто потому, что посмотрел косо...
Откровенная предвзятость. Но душу греет :)
 
> Гарна штука - кулэмэт ...
Бесспорно. В кулацком хозяйстве и вошь - скотина.

> А если серьезно, то разумная комбинация вышеперечисленного
> позволит максимально приблизиться к желаемому результату,
> но достичь его - это фантастика ... %)
На то идеал и недостижим, чтоб постоянно было к чему стремиться.

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 853 bytes --]

On Fri, Apr 06, 2007 at 12:36:42PM +0300, Dmitriy L. Kruglikov wrote:
> > Вариант запрещать такие сайты ???
> И долго ты выдержишь?
> Медитировать над логами, проверять каждый сайт,
> вносить его в списки ....
Еще раз. Это решается административно.
Пишешь правила работы с интернет в компании (где описываешь какие сайты
посещать в рабоче время запрещено (тематика)). Потом переодически смотришь
статистику кто куда ходил (порнографы и музыкатели я думаю одни и теже как
правило). Находишь - вырубаешь им инет. Весь. И пускаешь на стол нач-ву
бумагу (инет такого-то был отколючен за то-то то-то). Пускай они с
начальством разбираются и объясняются.

-- 

С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: Einherjer - Ware Her Venom


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Dmitriy L. Kruglikov поступило следующее:

>> > Кстати, и не просите, посмотреть не дам... :)
>> 
>> Пошто так?
> Так это ж подрыв работоспособности ...
> Почти как упаковка с пупырьками :)
> 
> Потом скажут, что украинский хакер парализовал работу
> российского сегмента Интернета ...

Ой, я вас умоляю!..

> Стоп. Флейм не разжигать !!!

Та який же ж це флейм!

> Напомню вопрос:
> Как закачать _кусок_ файла произвольного расширения,
> проверить его реальное содержимое, и применить этот
> компот в качестве управляющей директивы Squid ?

Вот это и есть тема для обсуждения, которую я предложил попервоначалу.
Что вгет, что рсинк можно тормознуть на любой стадии закачки.
Но не обязательно пользовать штатные качалки - мабуть, у кого-то получится
изящный код запроса означенного количества байтиков по безразлично какому
протоколу на дальнейший анализ - пусть даже через пайп.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Alexey Morsov писал(а) в сообщении: 

AM == Alexey Morsov

AM> Еще раз. Это решается административно.
AM> Пишешь правила работы с интернет в компании (где описываешь какие сайты
AM> посещать в рабоче время запрещено (тематика)).
Потом несешь эти правила на подпись начальству, а начальство смотрит на тебя, 
как на идиота ...

Или отключаешь Инет пользователю, а он исхитряется подстроить ситуацию так, 
что из-за этого не смог посмотреть котировки отрубей на марсианской
бирже, и из-за этого не смог продать вагон щебенки на Луну...
И бежит сявать начальству, которое на предложение подписать корпоративные 
стандарты смотрело на тебя как на...

Разные бывают ситуации... И разное отношение к нам, любимым ... ;)
По этому - разумное сочетание...

Хотя - да, при наличии утвержденных корпоративных правил Инет можно включать 
на 15 минут в обеденный перерыв, с ограничением скорости до 2400 bps (на всех)...
А можно и не включать .... Типа у них часы отстают, и лафа уже кончилась давно ...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Женщина или командует, или прислуживает.
		-- Греческая пословица

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Alexey Morsov поступило следующее:

> On Fri, Apr 06, 2007 at 12:36:42PM +0300, Dmitriy L. Kruglikov wrote:
>> > Вариант запрещать такие сайты ???
>> И долго ты выдержишь?
>> Медитировать над логами, проверять каждый сайт,
>> вносить его в списки ....
> Еще раз. Это решается административно.
> Пишешь правила работы с интернет в компании (где описываешь какие сайты
> посещать в рабоче время запрещено (тематика)). Потом переодически смотришь
> статистику кто куда ходил (порнографы и музыкатели я думаю одни и теже как
> правило). Находишь - вырубаешь им инет. Весь. И пускаешь на стол нач-ву
> бумагу (инет такого-то был отколючен за то-то то-то). Пускай они с
> начальством разбираются и объясняются.

Блин. Вот не выношу административно-бюрократические методы.
Особенно там, где есть возможность обойтись техническими.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1493 bytes --]

Вадим Илларионов пишет:
> От Alexey Morsov поступило следующее:
> 
>> On Fri, Apr 06, 2007 at 12:36:42PM +0300, Dmitriy L. Kruglikov wrote:
>>>> Вариант запрещать такие сайты ???
>>> И долго ты выдержишь?
>>> Медитировать над логами, проверять каждый сайт,
>>> вносить его в списки ....
>> Еще раз. Это решается административно.
>> Пишешь правила работы с интернет в компании (где описываешь какие сайты
>> посещать в рабоче время запрещено (тематика)). Потом переодически смотришь
>> статистику кто куда ходил (порнографы и музыкатели я думаю одни и теже как
>> правило). Находишь - вырубаешь им инет. Весь. И пускаешь на стол нач-ву
>> бумагу (инет такого-то был отколючен за то-то то-то). Пускай они с
>> начальством разбираются и объясняются.
> 
> Блин. Вот не выношу административно-бюрократические методы.
> Особенно там, где есть возможность обойтись техническими.
Не обольщайтесь, _только_ техническими не удастся. В mp3 файлах не
только музыка бывает. Потому, запрет на него _в_принципе_ по любому
прийдется согласовывать административно. То же относится и к
видео... Жизнь жутко многогранна... ;)
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Andrey Novoselov]

В Птн, 06/04/2007 в 14:15 +0400, Alexey Morsov пишет:

> Еще раз. Это решается административно.
> Пишешь правила работы с интернет в компании (где описываешь какие сайты
> посещать в рабоче время запрещено (тематика)). Потом переодически смотришь
> статистику кто куда ходил (порнографы и музыкатели я думаю одни и теже как
> правило). Находишь - вырубаешь им инет. Весь. И пускаешь на стол нач-ву
> бумагу (инет такого-то был отколючен за то-то то-то). Пускай они с
> начальством разбираются и объясняются.
Может и не демократично, но надёжно. А административные методы бывают
очень действенны. У меня одному любителю от з.пл. отняли 250 грн, а на
его возмущение я ему подарил распечатку из SOHO server  из раздела
"Статистика" по его компу и уточнил, хочет ли он, чтобы я обьяснил боссу
подробнее, куда он ходил. Очень действенно. Особенно когда
разьяснительная работа безуспешна. ;-)
-- 
С уважением, Андрей Новосёлов.
Registered Linux user 282220
Mail       ksynolog_at_ukr.net
Mail       ksynolog_at_gmail.com
Jabber     gnostik_at_jabber.ru
ICQ UIN    162278208

Re: [Sysadmins] запрет скачивания переименованных mp3

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 1384 bytes --]

On Fri, Apr 06, 2007 at 07:23:41PM +0900, Вадим Илларионов wrote:
> 
> Блин. Вот не выношу административно-бюрократические методы.
> Особенно там, где есть возможность обойтись техническими.
Техническими с упертыми ^%@#$ можно бороться долго и очень долго. Не надо
мои слова рассмативать как "единственное верное". Это вариант который
обязательно нужно иметь на случай особо невменяемых. У нас был такой.
Порнограф. Начал я банить все его сайты и толку то. Он находил новые. Вы
же понимаете сколько этого добра в инете. Так вот мне это надоело. Я
составил список сайтов куда он ходил в период с по. И в конце месяца выдал
начальству вместе со счетом за трафик. У чела вычли из зарплаты все что он
накачал не для работы (т.е. всю его клюбничку) по расценкам нашего
провайдера. Более он по порно сайтам не шляется.

В нашей работе уважаемый иногда нужно проявлять здоровый бюрократизм. Раз
люди по хорошему не понимают. Но естественно прежде чем нужно это обсудить
и утвердить с начальством. Объяснить в конце концов что это 1) не этично
(хай дома порнуху смотрит) 2) увеличивает ненужный трафик (за который
нач-во платит, а оно умеет деньги считать) 3) снижает работоспособность
сотрудника.

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: I - The Storm I Ride


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[smont]

Здравствуйте. !!!

> Напомню вопрос:
> Как закачать _кусок_ файла произвольного расширения,
> проверить его реальное содержимое, и применить этот 
> компот в качестве управляющей директивы Squid ?
Не знаю как это http://foremost.sourceforge.net/
работает с частично скачанными файлами и каковы затраты на проверку
Судя по описанию
http://mydebianblog.blogspot.com/2007/01/1-foremost.html
можно скачивать -натравливать foremost на полученное -и,в случае
несоответствия юзеру не отдавать.Если прибежит с начальством-пусть с
ним и объясняется.  Если строго не отдавать -так и желание у юзера
пропадет.
Удачи!
-- 
С уважением,
 smont                          mailto:smont@mail.ru

Re: [Sysadmins] запрет скачивания переименованных mp3

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 14:15:12 Alexey Morsov написал(а):
> On Fri, Apr 06, 2007 at 12:36:42PM +0300, Dmitriy L. Kruglikov wrote:
> > > Вариант запрещать такие сайты ???
> >
> > И долго ты выдержишь?
> > Медитировать над логами, проверять каждый сайт,
> > вносить его в списки ....
>
> Еще раз. 
Ещё много, много раз ...
> Это решается административно. 
Угу, утверждённой политикой инфромационной безопастности, которая просто 
отсутствует в большенстве контор ...
> Пишешь правила работы с интернет в компании (где описываешь какие сайты
> посещать в рабоче время запрещено (тематика)). 
Написать то напишешь, а дальше что? Без утверждения руковоством конторы можешь 
повесить себе намонитор и любоваться своим прекрасным творчеством. А вот 
утвердит ли руковосдтво ...
> Потом переодически смотришь статистику кто куда ходил (порнографы и
> музыкатели я думаю одни и теже как правило). 
У тебя пользователей инета сколько? При сотне пользователей смотри по каждому 
кто куда ходил уже тяжко, проще по лидерам и привысившими лимит ...
> Находишь - вырубаешь им инет. Весь. И пускаешь на стол нач-ву бумагу 
> (инет такого-то был отколючен за то-то то-то). Пускай они с начальством
> разбираются и объясняются. 
Так и делаю: перебрали лимит, вырубил. Не могут выйти в инет, а по работе надо 
срочно - объясняйтесь с начальством. Только без бумаги начальству. Оно и так 
знает за что вырубаю инет.

Но есть и те, кому нельзя вырубать инет по разным причинам. Вот тут то и не 
работатют уже административные меры ...

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Вадим Илларионов писал(а) в сообщении: 

 == Вадим Илларионов

> Блин. Вот не выношу административно-бюрократические методы.
> Особенно там, где есть возможность обойтись техническими.

Вот тут Вы не правы...
Системы, которые мы администрируем, принадлежат не нам, строятся не для нас,
и работать должны не так, как хочется нам, а так, как нужно компании, 
в которой мы работаем.
По этому, мы строим систему и настаиваем ее так, как это нужно для компании.
Если компания хочет экономить на трафике, мы это реализуем.
Если компания хочет получить защиту от вирусов, мы это реализуем.
Если компания хочет, чтобы сотрудники в рабочее время работали, 
а не дрочили под столом, разглядывая "контент", мы это реализуем.
Все.

Ограничение порно-контента согласуется с антивирусной защитой, да.
Но как минимум, обеспечение такой защиты должно быть _административно_
вменено нам в должностные обязанности.
Разработка корпоративных стандартов - то же хорошо, но не везде руководство 
достаточно четко осознает их необходимость.
И более того, бывают случаи, когда первый в TOP10 нашей статистики
будет сам руководитель, и предложение подписать "Правила" воспринимает
как посягательства на свою персону. (Ну, типа на ком там шапка горит?)...

За пределами же компании, дома, можем настраивать так, как сами захотим,
можно заставить жену подписаться под "Правилами посещения Интернета" 
с домашнего компа ... Кстати, идея .... Ща пойду строить домашних... :)



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Прежде, чем достигнуть старости, я старался хорошо жить. В старости я 
стараюсь хорошо умереть. Чтобы хорошо умереть, нужно умереть охотно.
		-- Сенека

Re: [Sysadmins] запрет скачивания переименованных mp3

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 2290 bytes --]

Alexey Morsov пишет:
> Техническими с упертыми ^%@#$ можно бороться долго и очень долго. Не надо
> мои слова рассмативать как "единственное верное". Это вариант который
> обязательно нужно иметь на случай особо невменяемых. У нас был такой.
> Порнограф. Начал я банить все его сайты и толку то. Он находил новые. Вы
> же понимаете сколько этого добра в инете. Так вот мне это надоело. Я
> составил список сайтов куда он ходил в период с по. И в конце месяца выдал
> начальству вместе со счетом за трафик. У чела вычли из зарплаты все что он
> накачал не для работы (т.е. всю его клюбничку) по расценкам нашего
> провайдера. Более он по порно сайтам не шляется.
>
> В нашей работе уважаемый иногда нужно проявлять здоровый бюрократизм. Раз
> люди по хорошему не понимают. Но естественно прежде чем нужно это обсудить
> и утвердить с начальством. Объяснить в конце концов что это 1) не этично
> (хай дома порнуху смотрит) 2) увеличивает ненужный трафик (за который
> нач-во платит, а оно умеет деньги считать) 3) снижает работоспособность
> сотрудника.
>   
Все хорошо. Но если сам начальник любит походить?  :-) Причем в таком 
объеме что перекрывает всех вместе взятых остальных?
Тут не срабатывают административные методы.
И вообще, нужно же людям отдыхать? А то работа, работа.

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 796 bytes --]

On Fri, Apr 06, 2007 at 01:51:23PM +0300, Slava Dubrovskiy wrote:
> Все хорошо. Но если сам начальник любит 
> походить?  :-) Причем в таком объеме что 
Ну случай невменямых начальников я не рассматриваю :) К тому же начальник
можно, а вот другим )) у начальника должна взыграть начальственная
жадность и "гордость" ;)

> И вообще, нужно же людям отдыхать? А то 
> работа, работа.
А это уже к "умению найти общий язык с админом". А то балоны катить все
горазды. А админ тоже человек. Вотпусть юзер подойдет к админу, поговрит
по душам, пивка поставит и да откроется ему сайт :)

PS: откуда с вас sMIME лезет? )

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: I - Cursed We Are


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Timur Batyrshin]

Serge пишет:
>> Если условия не позволяют перейти на безлимитку, или
>> пользование даже безлимиткой невозможно из-за того, что канал забит ЭТИМ,
>> то первоначальный вопрос остается актуальным.
>> Я так понял, что выход один - качать кусок, достаточный для идентификации,
>> идентифицировать его и потом качать остальное.
> я прихожу к мнению, что нужно или квотировать размер файлов, скаченных из 
> инета или вводить квоты для юзверей

А delay_pool нельзя на размер файла повесить? Чтобы если, допустим, больше 500кб, то пускай себе на 1кб/с тянут.

Re: [Sysadmins] запрет скачивания переименованных mp3

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 1460 bytes --]

On Fri, Apr 06, 2007 at 02:39:57PM +0400, Шенцев Алексей Владимирович wrote:
> Угу, утверждённой политикой инфромационной безопастности, которая просто 
> отсутствует в большенстве контор ...
Плохо. Надо ее таки вводить с вашей инициативы а не сидеть и не жаловаться
"нету вот ее". Себе же тем самым облегчите труд.

> > Потом переодически смотришь статистику кто куда ходил (порнографы и
> > музыкатели я думаю одни и теже как правило). 
> У тебя пользователей инета сколько? При сотне пользователей смотри по каждому 
> кто куда ходил уже тяжко, проще по лидерам и привысившими лимит ...
Я не рассмартиваю технические стороны реализации данной функции. Смысл вы
поняли.

> 
> Но есть и те, кому нельзя вырубать инет по разным причинам. Вот тут то и не 
> работатют уже административные меры ...
Значит такие должны быть перечислены в тех самых правилах. И опять же -
это не означает что они могут качать гигабайтами всякую муть.

Короче говоря: если руководство с тебя требует контролировать
траффик\контент - надо писать такую вот служебку и заверять ее у
начальства. Если с тебя не требуют каждый месяц объяснять почему
перерасход - забей на это вообще. Если руководству пофиг чем занимаются
сотрудники на рабочем месте то почему админа должно это волновать.

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: I - Bridges Of Fire


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 369 bytes --]

On Fri, Apr 06, 2007 at 03:11:35PM +0400, Timur Batyrshin wrote:
> А delay_pool нельзя на размер файла повесить? Чтобы если, допустим, больше 500кб, то пускай себе на 1кб/с тянут.
Вроде можно.

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: I - Bridges Of Fire


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Alexey Morsov писал(а) в сообщении: 

AM == Alexey Morsov

AM> > И вообще, нужно же людям отдыхать? А то 
AM> > работа, работа.  
AM> А это уже к "умению найти общий язык с админом". А то балоны катить все
AM> горазды. А админ тоже человек. Вотпусть юзер подойдет к админу, поговрит
AM> по душам, пивка поставит и да откроется ему сайт :)
А вот это ошибочно в корне ....
Типа, если пиво водкой разбавить, то пусть вирусы тянет, ботву всякую ?
И на каждом перекуре рассказывает, что врач запретил жареное есть из-за язвы,
так он ему дал 100 баксов, и врач разрешил ?

В этом случае уважение к админу упадет ниже плинтуса ...
Потом о такой практике кто-то настучит начальнику, и ищи другую работу ...
Не... Это плохая практика...

Каждый, конечно, сам выбирает для себя стиль поведения...

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Политические игры бывают противоположны жмуркам: только некоторые
видят ясно, у всех прочих - повязки на глазах.
		-- П.Буаст

Re: [Sysadmins] администрирование squid'а

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 11:38:05 Вадим Илларионов написал(а):
> Подытоживая вышеприведённые советы, прихожу к выводу, что требуется некий
> инструмент, который опознавал бы частично скачанные файлы по их заголовкам
> на манер почтовиков, загружающих только заголовки писем.
Судя по количеству и частоте ответов этого обсуждения осмелюсь не много 
(скромненько так) расширить поставленный вопрос.

Необходима система управления трафиком, проходящим через squid, позволяющая:

1. Отображать статистикув html-страницах или (и, что было бы не плохо) 
записывать её в БД, с возможностью последующей обработкой SQL-запросами.
2. Иметь вэб-интерфейс управления.
3. Разграничивать трафик на лимитированный, с автоматическим отключением 
превысивших лимит, и безлимитный. Ограничивать по объёму, дням недели, 
рабочим/праздничным дням, времени суток.
4. Ограничивать по типам сайтов.
5. Проверять проходящий трафик на наличие вирусов и запрещённого контена:
запрет на скачивание музыки, фильмов, программ и т.д. и т.п.

Надеюсь я достаточно чётко выразился. И мне интерсно, а что у нас есть для 
этого в наличии?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 951 bytes --]

On Fri, Apr 06, 2007 at 02:18:48PM +0300, Dmitriy L. Kruglikov wrote:
> А вот это ошибочно в корне ....
> Типа, если пиво водкой разбавить, то пусть вирусы тянет, ботву всякую ?
> И на каждом перекуре рассказывает, что врач запретил жареное есть из-за язвы,
> так он ему дал 100 баксов, и врач разрешил ?
> 
> В этом случае уважение к админу упадет ниже плинтуса ...
> Потом о такой практике кто-то настучит начальнику, и ищи другую работу ...
> Не... Это плохая практика...
> 
> Каждый, конечно, сам выбирает для себя стиль поведения...
Я не говорил про порновирусы :) Да и за свои 3 года админства ни разу не
взял за "помощь в выходе на сайт". Безусловно такого быть не должно. Это я
привел как контр-пример на "а то все работа и работа" :)

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: The Vision Bleak - Secrecies In Darkness


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] администрирование squid'а

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Шенцев Алексей Владимирович писал(а) в сообщении: 

 == Шенцев Алексей Владимирович

> Необходима система управления трафиком, проходящим через squid, позволяющая:
> 
...

Похоже, что ты описал sams (http://sams.irc.perm.ru/)
Но вопрос определения типа содержимого при измененном расширении
это все равно не решит, так как его не может решить Squid,
точнее, имеющиеся к нему редиректоры.

Вот в отсутствии редиректорв (хелперов) и кроется вся проблема.



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
За нашу леность нас карают не только наши неудачи, но и удачи других.
		-- Ж.Ренар

Re: [Sysadmins] администрирование squid'а

[Avramenko Andrew]

Не знаю о существовании свободных комплексных решений такого рода. Могу 
только описать то что знаю из различных компонентов, которые можно связать:


> 1. Отображать статистикув html-страницах или (и, что было бы не плохо) 
> записывать её в БД, с возможностью последующей обработкой SQL-запросами.
Статистику ведь можно не с прокси снимать, а с его порта, верно? Тогда 
можно использовать netams. Другое дело, что тут не будет учитываться 
кэшированность контента.

Либо использовать все тот же sarg, но sql'ем там вроде бы не пахнет.

> 2. Иметь вэб-интерфейс управления.
Это фантастика

> 3. Разграничивать трафик на лимитированный, с автоматическим отключением 
> превысивших лимит, и безлимитный. Ограничивать по объёму, дням недели, 
> рабочим/праздничным дням, времени суток.
Netams должен уметь, либо крутить squid c радиусом.

> 4. Ограничивать по типам сайтов.
dansguardian или squidGuard или acl'ки самого squid.

> 5. Проверять проходящий трафик на наличие вирусов и запрещённого контена:
> запрет на скачивание музыки, фильмов, программ и т.д. и т.п.
dansguardian+squid или squidGuard + icap+clamav или squidGuard + 
snort+clamav

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Dmitriy L. Kruglikov поступило следующее:

>> Блин. Вот не выношу административно-бюрократические методы.
>> Особенно там, где есть возможность обойтись техническими.
> 
> Вот тут Вы не правы...
> Системы, которые мы администрируем, принадлежат не нам, строятся не для нас,
> и работать должны не так, как хочется нам, а так, как нужно компании,
> в которой мы работаем.
Кажется, и не давал повода воспринимать себя иначе.

>    Поэтому, мы строим систему и настаиваем ее так,
Правка ^
>    как это нужно для компании. 
Безусловно.

> Если компания хочет экономить на трафике, мы это реализуем.
> Если компания хочет получить защиту от вирусов, мы это реализуем.
> Если компания хочет, чтобы сотрудники в рабочее время работали,
> а не дрочили под столом, разглядывая "контент", мы это реализуем.
1. Всеми силами.
2. Всеми силами.
3. Всеми силами.

> Все.
На нюансах не акцентируемся.
 
> Ограничение порно-контента согласуется с антивирусной защитой, да.
> Но как минимум, обеспечение такой защиты должно быть _административно_
> вменено нам в должностные обязанности.
А если нет?
Я работал на режимных предприятиях, и в курсе, что такое "корпоративные
политики". Оговорюсь: работал с секреткой, там это жёстко до жестокости.

> Разработка корпоративных стандартов - то же хорошо, но не везде руководство
> достаточно четко осознает их необходимость.
Уточню. Вообще мало где дорожат внутрикорпоративной инфой - 
кроме тех мест, где за утрату жёстко имеют сверху.

> И более того, бывают случаи, когда первый в TOP10 нашей статистики
> будет сам руководитель, и предложение подписать "Правила" воспринимает
> как посягательства на свою персону. (Ну, типа на ком там шапка горит?)...
Мре проще. Я политики диктую сам. Благо, язык подвещен куда надо на подходящем
кронштейне.

> За пределами же компании, дома, можем настраивать так, как сами захотим,
> можно заставить жену подписаться под "Правилами посещения Интернета"
> с домашнего компа ... Кстати, идея .... Ща пойду строить домашних... :)
Уже всё построено. Драгоценная, е2 дорвавшись до халявы, по своей (и бывшей
моей) профессиональной тематике, сливала с полгектара всякой туфты пару
месяцев.
Объяснил, что халява - призрачная. Хоть контора и наша, а за перебор трафика
из своего кармана выкладываем. И у компаньонов уже нездоровый интерес к моей
тырнет-активности проявляется.
Результат - в марте каких-то 60 метров трафика.

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Alexey Morsov поступило следующее:

> On Fri, Apr 06, 2007 at 01:51:23PM +0300, Slava Dubrovskiy wrote:
>> Все хорошо. Но если сам начальник любит
>> походить?  :-) Причем в таком объеме что
> Ну случай невменямых начальников я не рассматриваю :) К тому же начальник
> можно, а вот другим )) у начальника должна взыграть начальственная
> жадность и "гордость" ;)
Это родителей нам выбирать не дано. А начальников - обязаны.
Или себя не уважать.

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Dmitriy L. Kruglikov поступило следующее:

> AM> > И вообще, нужно же людям отдыхать? А то
> AM> > работа, работа.
> AM> А это уже к "умению найти общий язык с админом". А то балоны катить все
> AM> горазды. А админ тоже человек. Вотпусть юзер подойдет к админу, поговрит
> AM> по душам, пивка поставит и да откроется ему сайт :)
> А вот это ошибочно в корне ....
Согласен на все пуды.

> Типа, если пиво водкой разбавить, то пусть вирусы тянет, ботву всякую ?
> И на каждом перекуре рассказывает, что врач запретил жареное есть из-за
> язвы, так он ему дал 100 баксов, и врач разрешил ?
Класс! Я тоже так хочу! :)

> В этом случае уважение к админу упадет ниже плинтуса ...
> Потом о такой практике кто-то настучит начальнику, и ищи другую работу ...
И лучше по какой-то иной специальности.

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] администрирование squid'а

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 15:31:57 Dmitriy L. Kruglikov написал(а):
> На календаре было: Пятница, 06 Апрель 2007 года,
> Шенцев Алексей Владимирович писал(а) в сообщении:
> > Необходима система управления трафиком, проходящим через squid,
> > позволяющая:
> Похоже, что ты описал sams 
Почти, но с дополнениями. Вот только sams на нашем сизифе так и не смог 
заставить работать. Кто нибудь сумел это сделать?
> (http://sams.irc.perm.ru/) 
Хм, а я просто захожу на http://sams.perm.ru ... ;)
> Но вопрос определения типа содержимого при измененном расширении
> это все равно не решит, так как его не может решить Squid,
> точнее, имеющиеся к нему редиректоры.
Вот именно. Как её решить то?
> Вот в отсутствии редиректорв (хелперов) и кроется вся проблема.
Угу ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От smont поступило следующее:

> Здравствуйте. !!!
> 
>> Напомню вопрос:
>> Как закачать _кусок_ файла произвольного расширения,
>> проверить его реальное содержимое, и применить этот
>> компот в качестве управляющей директивы Squid ?
> Не знаю как это http://foremost.sourceforge.net/
> работает с частично скачанными файлами и каковы затраты на проверку
> Судя по описанию
> http://mydebianblog.blogspot.com/2007/01/1-foremost.html
> можно скачивать -натравливать foremost на полученное -и,в случае
> несоответствия юзеру не отдавать.Если прибежит с начальством-пусть с
> ним и объясняется.  Если строго не отдавать -так и желание у юзера
> пропадет.
> Удачи!

Хм. Похоже, именно чего-то эдакого я ждал от дискуссии.
Спасибо, будем зацэнить.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 06 Апрель 2007 года,
Вадим Илларионов писал(а) в сообщении: 

 == Вадим Илларионов

> От Dmitriy L. Kruglikov поступило следующее:
Ща придет лесник и разгонит всех в....
В курилку, как минимум ...
Давайте тут по техническим деталям, если есть,
а просто потрещать, в курилку приглашаю...

Мы ж тут типа как бы сисадмины,
а не просто так ...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Дороги твои сорок соболей, а на правду и цены нет.
		-- Русская пословица

Re: [Sysadmins] администрирование squid'а

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 15:37:21 Avramenko Andrew написал(а):
> Не знаю о существовании свободных комплексных решений такого рода. Могу
> только описать то что знаю из различных компонентов, которые можно связать:
> > 1. Отображать статистикув html-страницах или (и, что было бы не плохо)
> > записывать её в БД, с возможностью последующей обработкой SQL-запросами.
>
> Статистику ведь можно не с прокси снимать, а с его порта, верно? 
Можно. Согласен.
> Тогда можно использовать netams. 
Как он тяжеловат и капризен в настройках своих .... :-S
> Другое дело, что тут не будет учитываться кэшированность контента.
Вот именно ...
>
> Либо использовать все тот же sarg, но sql'ем там вроде бы не пахнет.
Так же как и в lightsquid'е. SARG тяжеловат будет по сравнению с 
lightsquid'ом. Впринципе можно использовать скрипт(ы), который перегоняет 
html-страницы в БД и запускать его по расписанию ...
>
> > 2. Иметь вэб-интерфейс управления.
>
> Это фантастика
Ой ли ... ;) Частично такое позволяет sam - http://sams.perm.ru
>
> > 3. Разграничивать трафик на лимитированный, с автоматическим отключением
> > превысивших лимит, и безлимитный. Ограничивать по объёму, дням недели,
> > рабочим/праздничным дням, времени суток.
>
> Netams должен уметь, либо крутить squid c радиусом.
Можно и самим squid'ом ... Но каждый раз лезть в его конфиг ручками не очень 
удобно. Через вэб-интерфейс удобней на много.
>
> > 4. Ограничивать по типам сайтов.
>
> dansguardian или squidGuard или acl'ки самого squid.
Использую squidGuard ...
>
> > 5. Проверять проходящий трафик на наличие вирусов и запрещённого контена:
> > запрет на скачивание музыки, фильмов, программ и т.д. и т.п.
>
> dansguardian+squid или squidGuard + icap+clamav или squidGuard +
> snort+clamav
Не одна эта связка у меня не заработала. Так же как и shavp+squid. Давно 
собрал себе squidclam, но не знаю как к squid'у прикрутить больше одного 
редиректора ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] администрирование squid'а - SAMS

[Alexander Volkov]

On 2007-04-06 15:58:21 +0400, Шенцев Алексей Владимирович wrote:
ШАВ> В сообщении от Friday 06 April 2007 15:31:57 Dmitriy L. Kruglikov написал(а):
ШАВ> > На календаре было: Пятница, 06 Апрель 2007 года,
ШАВ> > Шенцев Алексей Владимирович писал(а) в сообщении:
ШАВ> > > Необходима система управления трафиком, проходящим через squid,
ШАВ> > > позволяющая:
ШАВ> > Похоже, что ты описал sams 
ШАВ> Почти, но с дополнениями. Вот только sams на нашем сизифе так и не смог 
ШАВ> заставить работать. Кто нибудь сумел это сделать?

Да.
Работает в контейнере 3.0 в боевом режиме, опакечена, осталось проверить
взаимодействие с остальными компонентами. поэтому не анонсирую - баги
ловлю. Есть желание местами переделать, но  - чукча не писатель... 

--
 Regards, Alexander

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 15:47:58 Вадим Илларионов написал(а):
> От Dmitriy L. Kruglikov поступило следующее:
> > Разработка корпоративных стандартов - то же хорошо, но не везде
> > руководство достаточно четко осознает их необходимость.
> Уточню. Вообще мало где дорожат внутрикорпоративной инфой -
> кроме тех мест, где за утрату жёстко имеют сверху.
Всё верно. Интересно было бы увидеть/услышать кто как сиё формулирует. Думаю 
многим интересно и полезно будет.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 14:39:56 smont написал(а):
> Здравствуйте. !!!
>
> > Напомню вопрос:
> > Как закачать _кусок_ файла произвольного расширения,
> > проверить его реальное содержимое, и применить этот
> > компот в качестве управляющей директивы Squid ?
>
> Не знаю как это http://foremost.sourceforge.net/
> работает с частично скачанными файлами и каковы затраты на проверку
> Судя по описанию
> http://mydebianblog.blogspot.com/2007/01/1-foremost.html
> можно скачивать -натравливать foremost на полученное -и,в случае
> несоответствия юзеру не отдавать.Если прибежит с начальством-пусть с
> ним и объясняется.  Если строго не отдавать -так и желание у юзера
> пропадет.
> Удачи!
Интересно. На сколько понял, вы не пробывали сиё прикрутить к squid'у?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] администрирование squid'а - SAMS

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 16:09:10 Alexander Volkov написал(а):
> On 2007-04-06 15:58:21 +0400, Шенцев Алексей Владимирович wrote:
> ШАВ> В сообщении от Friday 06 April 2007 15:31:57 Dmitriy L. Kruglikov
> написал(а): ШАВ> > На календаре было: Пятница, 06 Апрель 2007 года,
> ШАВ> > Шенцев Алексей Владимирович писал(а) в сообщении:
> ШАВ> > > Необходима система управления трафиком, проходящим через squid,
> ШАВ> > > позволяющая:
> ШАВ> > Похоже, что ты описал sams
> ШАВ> Почти, но с дополнениями. Вот только sams на нашем сизифе так и не
> смог ШАВ> заставить работать. Кто нибудь сумел это сделать?
>
> Да.
На сизифе?!?!?! Как и что сделали, выкладывайте!
> Работает в контейнере 3.0 в боевом режиме, 
Вот именно, что работает в ALC30, а мне надо именно на текущем сизифе, с 
прицелом на выходящий дистриб.
> опакечена, 
У меня давно лежит сборка от Вячесла Дубровксого. Если не ошибусь вы от неё 
отталкивались?
> осталось проверить взаимодействие с остальными компонентами. 
С какими именно?
> поэтому не анонсирую - баги ловлю. 
Чем больше народу пользуется, тем быстрее выявляются ошибки и недочёты.
> Есть желание местами переделать, но  - чукча не писатель... 
Интересно в каком направлении и что именно?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Dmitriy L. Kruglikov поступило следующее:

> Ща придет лесник и разгонит всех в....
Сразу вспомнился "Лесник" от "монгол Шуудана" :)

> В курилку, как минимум ...
Жаль, не в курсе, как переносить дискуссии из ветки в ветку.
Особенно в gmane.

> Давайте тут по техническим деталям, если есть,
Да вроде к тому и стремались. Ой, стремились! :)

> а просто потрещать, в курилку приглашаю...
См. выше.

> Мы ж тут типа как бы сисадмины,
> а не просто так ...
А не погулять вышли, ага?
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] администрирование squid'а

[Вадим Илларионов]

От Шенцев Алексей Владимирович поступило следующее:

> В сообщении от Friday 06 April 2007 11:38:05 Вадим Илларионов написал(а):
>> Подытоживая вышеприведённые советы, прихожу к выводу, что требуется некий
>> инструмент, который опознавал бы частично скачанные файлы по их заголовкам
>> на манер почтовиков, загружающих только заголовки писем.
> Судя по количеству и частоте ответов этого обсуждения осмелюсь не много
> (скромненько так) расширить поставленный вопрос.
> 
> Необходима система управления трафиком, проходящим через squid, позволяющая:
> 
> 1. Отображать статистикув html-страницах или (и, что было бы не плохо)
> записывать её в БД, с возможностью последующей обработкой SQL-запросами.
> 2. Иметь вэб-интерфейс управления.
> 3. Разграничивать трафик на лимитированный, с автоматическим отключением
> превысивших лимит, и безлимитный. Ограничивать по объёму, дням недели,
> рабочим/праздничным дням, времени суток.
> 4. Ограничивать по типам сайтов.
> 5. Проверять проходящий трафик на наличие вирусов и запрещённого контена:
> запрет на скачивание музыки, фильмов, программ и т.д. и т.п.
Всё верно. Только 3 пункт разбить на два разных.

> Надеюсь я достаточно чётко выразился. И мне интерсно, а что у нас есть для
> этого в наличии?
А вот нет ни хрена, что и обидно, и подзадоривает.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] администрирование squid'а

[Вадим Илларионов]

От Шенцев Алексей Владимирович поступило следующее:

Вынужден до понедельника откланяться. Имею обязательства вне поля наших общих
интересов.

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] администрирование squid'а

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 16:56:57 Вадим Илларионов написал(а):
> От Шенцев Алексей Владимирович поступило следующее:
> > В сообщении от Friday 06 April 2007 11:38:05 Вадим Илларионов написал(а):
> >> Подытоживая вышеприведённые советы, прихожу к выводу, что требуется
> >> некий инструмент, который опознавал бы частично скачанные файлы по их
> >> заголовкам на манер почтовиков, загружающих только заголовки писем.
> >
> > Судя по количеству и частоте ответов этого обсуждения осмелюсь не много
> > (скромненько так) расширить поставленный вопрос.
> >
> > Необходима система управления трафиком, проходящим через squid,
> > позволяющая:
> >
> > 1. Отображать статистикув html-страницах или (и, что было бы не плохо)
> > записывать её в БД, с возможностью последующей обработкой SQL-запросами.
> > 2. Иметь вэб-интерфейс управления.
> > 3. Разграничивать трафик на лимитированный, с автоматическим отключением
> > превысивших лимит, и безлимитный. Ограничивать по объёму, дням недели,
> > рабочим/праздничным дням, времени суток.
> > 4. Ограничивать по типам сайтов.
> > 5. Проверять проходящий трафик на наличие вирусов и запрещённого контена:
> > запрет на скачивание музыки, фильмов, программ и т.д. и т.п.
>
> Всё верно. Только 3 пункт разбить на два разных.
Ваш вариант?
Я забыл добавить пункт об организации авторизации через ldap/samba и т.д. 
>
> > Надеюсь я достаточно чётко выразился. И мне интерсно, а что у нас есть
> > для этого в наличии?
>
> А вот нет ни хрена, что и обидно, и подзадоривает.
Вот именно. И мне интересно кто как решает выше сформулированное. В идеале 
хотелось бы это видеть хорошо описанным, например на wiki, и устанавливаемом 
в рабочим из "коробки". Вот такой скромненькое желание ... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] администрирование squid'а - SAMS

[Alexander Volkov]

On 2007-04-06 16:25:44 +0400, Шенцев Алексей Владимирович wrote:
ШАВ> В сообщении от Friday 06 April 2007 16:09:10 Alexander Volkov написал(а):
ШАВ> > On 2007-04-06 15:58:21 +0400, Шенцев Алексей Владимирович wrote:
ШАВ> > ШАВ> В сообщении от Friday 06 April 2007 15:31:57 Dmitriy L. Kruglikov
ШАВ> > написал(а): ШАВ> > На календаре было: Пятница, 06 Апрель 2007 года,
ШАВ> > ШАВ> > Шенцев Алексей Владимирович писал(а) в сообщении:
ШАВ> > ШАВ> > > Необходима система управления трафиком, проходящим через squid,
ШАВ> > ШАВ> > > позволяющая:
ШАВ> > ШАВ> > Похоже, что ты описал sams
ШАВ> > ШАВ> Почти, но с дополнениями. Вот только sams на нашем сизифе так и не
ШАВ> > смог ШАВ> заставить работать. Кто нибудь сумел это сделать?
ШАВ> >
ШАВ> > Да.
ШАВ> На сизифе?!?!?! Как и что сделали, выкладывайте!
ШАВ> > Работает в контейнере 3.0 в боевом режиме, 
ШАВ> Вот именно, что работает в ALC30, а мне надо именно на текущем сизифе, с 
ШАВ> прицелом на выходящий дистриб.

Сервер на сизифе, с ovz ядром, на нем же nginx, mysql,
sams-server,sams-config. В контейнере с 3.0 запущен апач с пхп и все
пакеты sams.
Последняя версия sams, по словам автора, умеет посылать команду на
реконфиг разным демонам. 

ШАВ> > опакечена, 
ШАВ> У меня давно лежит сборка от Вячесла Дубровксого. Если не ошибусь вы от неё 
ШАВ> отталкивались?
Да, надо будет ещё поправить кое-что с учетом версии.

ШАВ> > осталось проверить взаимодействие с остальными компонентами. 
ШАВ> С какими именно?
демоном, режиком, и сквидом в HN

ШАВ> > поэтому не анонсирую - баги ловлю. 
ШАВ> Чем больше народу пользуется, тем быстрее выявляются ошибки и недочёты.
на выходных думаю выложить на публику что получится.

ШАВ> > Есть желание местами переделать, но  - чукча не писатель... 
ШАВ> Интересно в каком направлении и что именно?
Это, видимо, отдельно обсуждать надо.
--
 Regards, Alexander

Re: [Sysadmins] администрирование squid'а - SAMS

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 17:42:45 Alexander Volkov написал(а):
> Сервер на сизифе, с ovz ядром, на нем же nginx, mysql,
> sams-server,sams-config. В контейнере с 3.0 запущен апач с пхп и все
> пакеты sams.
Версии укажите. И как что настраивали. А вариант виртуального сервера меня не 
очень устраивает. Лишнее по мне. А на ALC30 и у меня пробные запуски успешно 
проходили.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Sergey S. Skulachenko]

On Fri, 6 Apr 2007 16:12:10 +0400
Шенцев Алексей Владимирович wrote:

> > Уточню. Вообще мало где дорожат внутрикорпоративной инфой -
> > кроме тех мест, где за утрату жёстко имеют сверху.  
> Всё верно. Интересно было бы увидеть/услышать кто как сиё
> формулирует. Думаю многим интересно и полезно будет.

Этот вопрос, на мой взгляд, полностью отвечает задачам этого
листа рассылки. И обсуждать его надо именно здесь, а не в
курилке.
Я мог бы сходу написать целый трактат на эту тему, но по опыту
прошлых обсуждений знаю сколь неблагодарное это дело. Серое
большинство начинает кидаться на тебя с такой дикой злобой! Мол,
пошёл на хер со своими нравоучениями, как хотим, так и работаем.
Это самая настоящая безтормозная система, и таких админов я бы
не держал лишнего часа.
Во время одного из последних обсуждений срезал меня Максим
Отставнов. Он написал очень незатейливо: "Мужик, кончай стремать
людей". Вот такое понимание угроз безопасности в информационной
системе. А пытался я доказать ему, что нельзя обсуждать вопрос о
том, как из дома попасть в корпоративную сеть. Уметь-то можно
и нужно, но делать так нельзя. Он же мне отвечал, мало ли что
нельзя, а мне так удобно и я так хочу. Т.е. никаких внутренних
врождённых запретов и установок, без чего настоящий админ
невозможен. Ну, и как Вы считаете, интересно мне принимать
участие в таком обсуждении, с таким составом аргументации?
Посему приношу извинения.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Igor Zubkov]

В сообщении от Friday 06 April 2007 12:06:57 Dmitriy L. Kruglikov написал(а):
> Если условия не позволяют перейти на безлимитку, или
> пользование даже безлимиткой невозможно из-за того, что канал забит ЭТИМ,
> то первоначальный вопрос остается актуальным.

Даже при полной скачке этого файла, но не отдачи его пользователю приведёт к 
тому что в скором времени все просто перестанут тянуть такие вещи. Правда, 
могут начать просто слушать потоковое радио. :)

-- 
icesik

Re: [Sysadmins] администрирование squid'а - SAMS

[Alexander Volkov]

On 2007-04-06 18:00:20 +0400, Шенцев Алексей Владимирович wrote:
ШАВ> В сообщении от Friday 06 April 2007 17:42:45 Alexander Volkov написал(а):
ШАВ> > Сервер на сизифе, с ovz ядром, на нем же nginx, mysql,
ШАВ> > sams-server,sams-config. В контейнере с 3.0 запущен апач с пхп и все
ШАВ> > пакеты sams.
ШАВ> Версии укажите. И как что настраивали. А вариант виртуального сервера меня не 
ШАВ> очень устраивает. Лишнее по мне. А на ALC30 и у меня пробные запуски успешно 
ШАВ> проходили.
А я бы не стал держать sams вне контейнера. По соображениям безопасности.
Ибо в php там и shell_exec включать приходится, и safe mode выключать.

Щас напишу README.ALT и плюхну пакеты на обозрение.
--
 Regards, Alexander

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 18:25:40 Sergey S. Skulachenko написал(а):
> On Fri, 6 Apr 2007 16:12:10 +0400
>
> Шенцев Алексей Владимирович wrote:
> > > Уточню. Вообще мало где дорожат внутрикорпоративной инфой -
> > > кроме тех мест, где за утрату жёстко имеют сверху.
> >
> > Всё верно. Интересно было бы увидеть/услышать кто как сиё
> > формулирует. Думаю многим интересно и полезно будет.
>
> Этот вопрос, на мой взгляд, полностью отвечает задачам этого
> листа рассылки. И обсуждать его надо именно здесь, а не в
> курилке.

весь мильон процентов здесь!

> Я мог бы сходу написать целый трактат на эту тему, но по опыту
> прошлых обсуждений знаю сколь неблагодарное это дело. 

Мне лично интересно будет прочесть. Жду ваше творение. Вопрос то достаточно 
актуален.

> Серое большинство начинает кидаться на тебя с такой дикой злобой! Мол,
> пошёл на хер со своими нравоучениями, как хотим, так и работаем.

А мне на таких плевать. Есть вещи которые должны быть. Хотят не хотят их 
принять другие не в счёт. Это должно быть и оно будет, не взирая ни на что.
 
> Это самая настоящая безтормозная система, и таких админов я бы
> не держал лишнего часа.

Однозначно.

> Во время одного из последних обсуждений срезал меня Максим
> Отставнов. Он написал очень незатейливо: "Мужик, кончай стремать
> людей". Вот такое понимание угроз безопасности в информационной
> системе. А пытался я доказать ему, что нельзя обсуждать вопрос о
> том, как из дома попасть в корпоративную сеть. Уметь-то можно
> и нужно, но делать так нельзя. Он же мне отвечал, мало ли что
> нельзя, а мне так удобно и я так хочу. Т.е. никаких внутренних
> врождённых запретов и установок, без чего настоящий админ
> невозможен. 

Таких в /dev/null

> Ну, и как Вы считаете, интересно мне принимать 
> участие в таком обсуждении, с таким составом аргументации?

А вы не обращайте внимание на таких. Это их проблемы и в финансовом выражении 
и в виде уголовной отвественности за утечку инфы и финансовый ущерб конторе 
по их вине.

> Посему приношу извинения.

Передо мной вы ни в чём не виноваты. И мне интересен ваш взгляд на требования 
информационной безопастности на предприятии. Жду вашу озвучку.

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 18:34:29 Igor Zubkov написал(а):
> В сообщении от Friday 06 April 2007 12:06:57 Dmitriy L. Kruglikov 
написал(а):
> > Если условия не позволяют перейти на безлимитку, или
> > пользование даже безлимиткой невозможно из-за того, что канал забит ЭТИМ,
> > то первоначальный вопрос остается актуальным.
>
> Даже при полной скачке этого файла, но не отдачи его пользователю приведёт
> к тому что в скором времени все просто перестанут тянуть такие вещи.

А ещё лучше подменять такой файл на песню в твоём, сисадмина (я не имею ввиду, 
что именно в твоём личном исполнении, Игорь ... ;) ), исполнении под шофе на 
корпоративной вечеринке или типа того ... :)

> Правда, могут начать просто слушать потоковое радио. :)

А вот и его надо как то резать автоматом ... А как?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Igor Zubkov]

В сообщении от Friday 06 April 2007 17:44:58 Шенцев Алексей Владимирович 
написал(а):
> В сообщении от Friday 06 April 2007 18:34:29 Igor Zubkov написал(а):
> > В сообщении от Friday 06 April 2007 12:06:57 Dmitriy L. Kruglikov
>
> написал(а):
> > > Если условия не позволяют перейти на безлимитку, или
> > > пользование даже безлимиткой невозможно из-за того, что канал забит
> > > ЭТИМ, то первоначальный вопрос остается актуальным.
> >
> > Даже при полной скачке этого файла, но не отдачи его пользователю
> > приведёт к тому что в скором времени все просто перестанут тянуть такие
> > вещи.
>
> А ещё лучше подменять такой файл на песню в твоём, сисадмина (я не имею
> ввиду, что именно в твоём личном исполнении, Игорь ... ;) ), исполнении под
> шофе на корпоративной вечеринке или типа того ... :)

Пользователей на жалко? А то если я спою, у них ушы отвалятся. :)

> > Правда, могут начать просто слушать потоковое радио. :)
>
> А вот и его надо как то резать автоматом ... А как?

Ну так last.fm в первую же очередь в чёрный список.

-- 
icesik

Re: [Sysadmins] запрет скачивания переименованных mp3

[Igor Zubkov]

В сообщении от Friday 06 April 2007 12:36:42 Dmitriy L. Kruglikov написал(а):
> У меня, например, список порносайтов для Режика:
> # cat /usr/local/rejik3/banlists/porno/urls | wc -l
> 22939
>
> При этом, последние пару-тройку сотен я сам добавил...
> А потом надоело ...
>
> Кстати, и не просите, посмотреть не дам... :)

Не просим. Гугл всё равно знает больше. :)

-- 
icesik

Re: [Sysadmins] запрет скачивания переименованных mp3

[Michael Shigorin]

On Fri, Apr 06, 2007 at 07:57:04AM +0300, Serge wrote:
> но некоторые деятели нашли сайт с которого можно скачивать mp3, 
> переименованные расширения в zip, pdf
> можно ли как то бороться с этим?
> если да, то как?

блокировать сайт, создать ИТ-политику, довести до сведения,
прописанные меры (как-то mail only) к деятелям применять 
по назначению

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] администрирование squid'а - SAMS

[Timur Batyrshin]

On Птн, 6 Апрель 2007 18:34, Alexander Volkov wrote:
> ШАВ> > Сервер на сизифе, с ovz ядром, на нем
> же nginx, mysql,
> ШАВ> > sams-server,sams-config. В контейнере с 3.0
> запущен апач с пхп и все
> ШАВ> > пакеты sams.
> ШАВ> Версии укажите. И как что
> настраивали. А вариант виртуального
> сервера меня не
> ШАВ> очень устраивает. Лишнее по мне. А на
> ALC30 и у меня пробные запуски успешно
> ШАВ> проходили.
> А я бы не стал держать sams вне контейнера.
> По соображениям безопасности.
> Ибо в php там и shell_exec включать приходится,
> и safe mode выключать.

Как вариант-полумера можно открыть на
него доступ только с адресов
корпоративных сетей и авторизацию для
админа по паролю средствами апача.

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 957 bytes --]

On Fri, Apr 06, 2007 at 12:52:26PM +0300, Dmitriy L. Kruglikov wrote:

DLK> А если серьезно, то разумная комбинация вышеперечисленного
DLK> позволит максимально приблизиться к желаемому результату,
DLK> но достичь его - это фантастика ... %)

Элементарно. Достаточно дойти до уровня когда время на обход запретов
будет занимать большую часть рабочего дня умников, и тогда они либо
прекратят страдать фигней, либо будут уволены за невыполнение своих
должностных обязанностей.

А ещё в некоторых конторах особо жестких делают проще -- лимит на трафик.
Перерасход оплачивается. Причем цена этого трафика получается такая, что
дешевле себе домой персонально оптику провести через всю Москву, чем
скачать пару mp3-шек. Правда эта мера незаконна.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
sim как jabber-клиент - то еще извращение.
		-- wrar in smoke-room@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1768 bytes --]

On Fri, Apr 06, 2007 at 03:15:57PM +0400, Alexey Morsov wrote:

AM> Значит такие должны быть перечислены в тех самых правилах. И опять же -
AM> это не означает что они могут качать гигабайтами всякую муть.

Как раз таким, вроде тех же трейдеров, доступ с основного рабочего компа
должен быть исключительно по белому списку. И начальство это обычно
понимает.

А вообще -- не забываем, что главное не лимиты на трафик и прочее, а
бизнес. И если сотрудник приносящий мне в месяц тысячи долларов съест
трафика на сотню долларов, и пол дня будет смотреть порнуху, то все что я
попрошу -- это чтобы он делал это так, чтобы не смущать остальных. В конце
концов админ это не полиция нравов, а корпоративная сеть не самоцель.

Да, для такого сотрудника не жаль и поставить второй комп (чтобы с одного
работал, а с другого хренью страдал), и для страданий хренью сделать ему
отдельное подключение к сети.

Понимаешь, если смотреть с позиции начальства, если придет наглый товарищ,
который скажет "значит так, работаю 1 день в месяц, остальное время на
рабочем месте пью водку и смотрю порнуху", и при этом приносит компании
десятки килобаксов, все начальство дружно сделает вид что этого не
замечает. А того админа который заметит могут в тот же день и уволить,
чтобы не мешался.

Баланс должен быть, разумный. И этот баланс решают не IT'шники, а
непосредственные руководители этих людей.

Основная задача IT-отдела -- чтобы все работало, но при этом чтобы
ограничения (без которых никак) не мешали фирме делать свое дело.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
> может, в backports предложить?
Не надо нестабильные версии туда.
		-- zerg in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 672 bytes --]

On Fri, Apr 06, 2007 at 06:25:40PM +0400, Sergey S. Skulachenko wrote:

SSS> системе. А пытался я доказать ему, что нельзя обсуждать вопрос о
SSS> том, как из дома попасть в корпоративную сеть.

"попасть в корпоративную сеть" понятие растяжимое. И бизнес бывает разный.
В IT нет вообще нерушимых правил. Есть подходящие к конкретной ситуации и
не подходящие. И решает это как раз IT'директор, согласовывая с другими
директорами.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Как меня достал этот mc и libgpm.
Mouse, боюсь что на этот раз ты крайним будешь.
		-- ldv in #3867

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1514 bytes --]

On Fri, Apr 06, 2007 at 01:52:34PM +0400, Шенцев Алексей Владимирович wrote:

ШАВ> Они всё равно меняют своё название, расположение. Одна и та же инфа кочует с 
ШАВ> места на место. А то бывает куча названий и оформлениий, а содержимое одно и 
ШАВ> то же. Из-за этого с ними надоедает бороться ...

Кстати эта база элементарно наполяется. Я как-то пытался заняться тем
чтобы удавливать их в массовом количестве, потом оказалось не до того,
забил. Но результаты получились неплохие.

Дело в том, что большинство этих самых сайтов имеют на себя ссылки с
сайтов-каталогов. Причем эти каталоги тоже друг с другом линкуются. Можно
просто обходить роботом и периодически добавлять новые ресурсы автоматом.

Для этого достаточно полчасика гуглинга чтобы найти несколько таких
крупных каталогов, а дальше уже по цепочкам.

Опять же, если борьба идет с конкретным любителем, можно посмотреть как он
ищет (в каких системах, по каким запросам), и ботом симитировать его
поведение, чтобы перекрыть ему его источники информации.

Вообще ботом все это делается легко, потому как на всех этих сайтах очень
ограниченная лексика, и многие ключевые слова нигде кроме подобных сайтов
не встречаются, или встречаются редко.

Так что справится со всем можно, но вот стоит ли эта война такой затраты
ресурсов?

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Тем, кто не хочет думать, нужно нажать "Далее"
		-- zerg in #9896

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] администрирование squid'а - SAMS

[Шенцев Алексей Владимирович]

В сообщении от Friday 06 April 2007 18:34:34 Alexander Volkov написал(а):
> А я бы не стал держать sams вне контейнера. 
Вы не поняли, я не против sams'а в контейнере, я не хочу держать у себя на 
серваке ещё и ALC30. Тем более я намерен установить sams, на машинке, стоящей 
за межсетевым экраном. Доступ к sams'у осуществляется только с разрешённых 
ip-адресов и по логину/паролю. У меня не большое желание - рабочий sams на 
текущем сизифе с прицелом на выходящий дистриб, не более. ... ;)
> По соображениям безопасности. 
> Ибо в php там и shell_exec включать приходится, и safe mode выключать.
Это понятно.
> Щас напишу README.ALT и плюхну пакеты на обозрение.
Ждём-с ... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] запрет скачивания переименованных mp3

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 1710 bytes --]

On Mon, Apr 09, 2007 at 12:00:41AM +0400, Денис Смирнов wrote:
> 
> Как раз таким, вроде тех же трейдеров, доступ с основного рабочего компа
> должен быть исключительно по белому списку. И начальство это обычно
> понимает.
> 
> А вообще -- не забываем, что главное не лимиты на трафик и прочее, а
> бизнес. И если сотрудник приносящий мне в месяц тысячи долларов съест
> трафика на сотню долларов, и пол дня будет смотреть порнуху, то все что я
> попрошу -- это чтобы он делал это так, чтобы не смущать остальных. В конце
> концов админ это не полиция нравов, а корпоративная сеть не самоцель.
> 
> Да, для такого сотрудника не жаль и поставить второй комп (чтобы с одного
> работал, а с другого хренью страдал), и для страданий хренью сделать ему
> отдельное подключение к сети.
> 
> Понимаешь, если смотреть с позиции начальства, если придет наглый товарищ,
> который скажет "значит так, работаю 1 день в месяц, остальное время на
> рабочем месте пью водку и смотрю порнуху", и при этом приносит компании
> десятки килобаксов, все начальство дружно сделает вид что этого не
> замечает. А того админа который заметит могут в тот же день и уволить,
> чтобы не мешался.
> 
> Баланс должен быть, разумный. И этот баланс решают не IT'шники, а
> непосредственные руководители этих людей.
> 
> Основная задача IT-отдела -- чтобы все работало, но при этом чтобы
> ограничения (без которых никак) не мешали фирме делать свое дело.
Во умение узлагать в чем я всегда был косоноязычен. Подписываюсь под этими
словами.


-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: Music is over :(


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 477 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Vladimir V. Kamarzin]

>>>>> On 06 Apr 2007 at 15:36 "DLK" == Dmitriy L Kruglikov writes:

 DLK> У меня, например, список порносайтов для Режика:
 DLK> # cat /usr/local/rejik3/banlists/porno/urls | wc -l
 DLK> 22939

FYI: rejik у нас имеется в сизифе, под именем redirector. dbl-скрипты тоже
упакованы (в отдельном пакете) ;)

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Sergey S. Skulachenko]

On Mon, 9 Apr 2007 00:05:42 +0400
Денис Смирнов wrote:

> "попасть в корпоративную сеть" понятие растяжимое.

Нет, очень конкретное. Это значит получить те же права, что имеет
собственная рабочая станция в корпоративной сети. Уровень
допуска в зависимости от собственной роли может быть очень не
маленьким. Дыра явная.
Если настаивать "мне так удобно", то выйдя утром на работу,
можно обнаружить, что пропуск уже погашен и офисная обувь вместе
с чайной кружкой уже не доступны. Иными словами, что-либо
согласовать со службой (экономической) безопасности уже
невозможно. А в её составе кроме аналитиков есть ещё
подразделение собственной безопасности. С ними вообще не резон
что-либо обсуждать, так как ребята там не приучены повторять
дважды, и вид имеют крайне конкретный. Никакой растяжимости,
уверяю Вас.
Т.е. я с Вами во всём согласен с небольшой поправкой: директор
ДИТа устанавливает правила в пределах своей компетенции. А вот с
другими директорами он ничего не согласовывает. Они для него
остаются простыми пользователями, привыкшими подчиняться.
Ничего не согласовывает и со службой безопасности. Он
_уведомляет_ её о правилах а также о ролях каждого из
пользователей, а СЭЗ принимает эту информацию к действию. 

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Дорогов Николай(computer-service)]

Тема очень актуальна!!
Поскольку у меня обратная ситуация. У нас в компании главбух и генеральный 
хочет
удаленно работать с корпоративной сетью.
Поэтому хотелось бы услышать коментарии на тему как правильно это 
организовать.
Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм.
А приложения уже через Цитрих раздовать.

----- Original Message ----- 
From: "Денис Смирнов" <mithraen@altlinux.ru>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Sent: Monday, April 09, 2007 12:05 AM
Subject: Re: [Sysadmins]Политика информационной безопастности на предприятии


> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
> 

Re: [Sysadmins] запрет скачивания переименованных mp3

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 422 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>>On 06 Apr 2007 at 15:36 "DLK" == Dmitriy L Kruglikov writes:
> 
> 
>  DLK> У меня, например, список порносайтов для Режика:
>  DLK> # cat /usr/local/rejik3/banlists/porno/urls | wc -l
>  DLK> 22939
> 
> FYI: rejik у нас имеется в сизифе, под именем redirector. dbl-скрипты тоже
> упакованы (в отдельном пакете) ;)

  В каком, если не секрет?

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Dmitriy.Borisov]

VPN-сервер - POPTOP, документация на оффсайте как интегрировать в
существующую сеть windows присутствует. Единственная проблема может
возникнуть с Самбой, но тут попытаемся помочь:)

Здравствуйте

Вы писали 9 апреля 2007 г., 13:25:50:

> Тема очень актуальна!!
> Поскольку у меня обратная ситуация. У нас в компании главбух и генеральный
> хочет
> удаленно работать с корпоративной сетью.
> Поэтому хотелось бы услышать коментарии на тему как правильно это 
> организовать.
> Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм.
> А приложения уже через Цитрих раздовать.

> ----- Original Message ----- 
> From: "Денис Смирнов" <mithraen@altlinux.ru>
> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
> Sent: Monday, April 09, 2007 12:05 AM
> Subject: Re: [Sysadmins]Политика информационной безопастности на предприятии


>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>> 

> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

-- 
С уважением,
 Дмитрий Борисов                         mailto:dborisov@datakrat.ru

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Дорогов Николай(computer-service)]

Я думаю что Самбу, все же не стоит выкидывать наружу, по моему 
непросвещенному мнению
кривоватая она и дырявая.

----- Original Message ----- 
From: "Dmitriy.Borisov" <dborisov@datakrat.ru>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Sent: Monday, April 09, 2007 11:37 AM
Subject: Re: [Sysadmins]Политика информационной безопастности на предприятии


> VPN-сервер - POPTOP, документация на оффсайте как интегрировать в
> существующую сеть windows присутствует. Единственная проблема может
> возникнуть с Самбой, но тут попытаемся помочь:)
>
> Здравствуйте
>
> Вы писали 9 апреля 2007 г., 13:25:50:
>
>> Тема очень актуальна!!
>> Поскольку у меня обратная ситуация. У нас в компании главбух и 
>> генеральный
>> хочет
>> удаленно работать с корпоративной сетью.
>> Поэтому хотелось бы услышать коментарии на тему как правильно это
>> организовать.
>> Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм.
>> А приложения уже через Цитрих раздовать.
>
>> ----- Original Message ----- 
>> From: "Денис Смирнов" <mithraen@altlinux.ru>
>> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
>> Sent: Monday, April 09, 2007 12:05 AM
>> Subject: Re: [Sysadmins]Политика информационной безопастности на 
>> предприятии
>
>
>>> _______________________________________________
>>> Sysadmins mailing list
>>> Sysadmins@lists.altlinux.org
>>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>>>
>
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
> -- 
> С уважением,
> Дмитрий Борисов                         mailto:dborisov@datakrat.ru
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
> 

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Sergey S. Skulachenko]

On Mon, 9 Apr 2007 11:25:50 +0400
Дорогов Николай(computer-service) wrote:

> Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм.
> А приложения уже через Цитрих раздовать.

Что значит "раздавать". На слабых каналах до появления оптики мы
так и работали, добросовестно докупая лицензии. Гениальность
этого решения в том, что приложения крутятся на центральном
ресурсе, а удалённый пользователь получает на свой компьютер
только изображение экрана. Трафик минимальный.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Dmitriy.Borisov]

она наружу не выбрасывется, испульзуется только для аутенификации
пользователей используя доменные учетные записи, наружу светит только
1723 порт, хотя если будут подключатся только 2 пользователся, то
можно самбу не использовать/не настраивать...остановиться на
chap-авторизации

Здравствуйте

Вы писали 9 апреля 2007 г., 13:41:27:

> Я думаю что Самбу, все же не стоит выкидывать наружу, по моему 
> непросвещенному мнению
> кривоватая она и дырявая.

> ----- Original Message ----- 
> From: "Dmitriy.Borisov" <dborisov@datakrat.ru>
> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
> Sent: Monday, April 09, 2007 11:37 AM
> Subject: Re: [Sysadmins]Политика информационной безопастности на предприятии


>> VPN-сервер - POPTOP, документация на оффсайте как интегрировать в
>> существующую сеть windows присутствует. Единственная проблема может
>> возникнуть с Самбой, но тут попытаемся помочь:)
>>
>> Здравствуйте
>>
>> Вы писали 9 апреля 2007 г., 13:25:50:
>>
>>> Тема очень актуальна!!
>>> Поскольку у меня обратная ситуация. У нас в компании главбух и 
>>> генеральный
>>> хочет
>>> удаленно работать с корпоративной сетью.
>>> Поэтому хотелось бы услышать коментарии на тему как правильно это
>>> организовать.
>>> Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм.
>>> А приложения уже через Цитрих раздовать.
>>
>>> ----- Original Message ----- 
>>> From: "Денис Смирнов" <mithraen@altlinux.ru>
>>> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
>>> Sent: Monday, April 09, 2007 12:05 AM
>>> Subject: Re: [Sysadmins]Политика информационной безопастности на 
>>> предприятии
>>
>>
>>>> _______________________________________________
>>>> Sysadmins mailing list
>>>> Sysadmins@lists.altlinux.org
>>>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>>>>
>>
>>> _______________________________________________
>>> Sysadmins mailing list
>>> Sysadmins@lists.altlinux.org
>>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>>
>> -- 
>> С уважением,
>> Дмитрий Борисов                         mailto:dborisov@datakrat.ru
>>
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>> 

> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

-- 
С уважением,
 Дмитрий Борисов                         mailto:dborisov@datakrat.ru

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Mon, 9 Apr 2007 00:00:41 +0400
Денис Смирнов wrote:

> А вообще -- не забываем, что главное не лимиты на трафик и
> прочее, а бизнес. И если сотрудник приносящий мне в месяц
> тысячи долларов съест трафика на сотню долларов, и пол дня
> будет смотреть порнуху, то все что я попрошу -- это чтобы он
> делал это так, чтобы не смущать остальных. В конце концов
> админ это не полиция нравов, а корпоративная сеть не самоцель.
> 
> Да, для такого сотрудника не жаль и поставить второй комп
> (чтобы с одного работал, а с другого хренью страдал), и для
> страданий хренью сделать ему отдельное подключение к сети.

Всё сказанное очень зависит от точки зрения. При правильно
организованном процессе сотруднику некогда заниматься хренью.
Сотрудник лишь изредка в течение рабочего дня едва успевает
добежать до конца коридора. Хрень очень отвлекает, сложно
переключаться, ошибки могут стать роковыми. Потому при приёме на
работу я предупреждал сотрудников: никакой хрени. Не идёт
работа, всё валится из рук, пойди подыши свежим воздухом,
развейся. Совсем плохо тебе и прогулка не помогает, отвали с
глаз долой на день-два-три. Подход очень честный, поэтому никто
им не злоупотреблял. И очень помогает, особенно женщинам. Уж
пусть они спокойно, не разрываясь на части, решат свои проблемы,
чем напакостят на работе. Другие же их подстрахуют.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Maxim Britov]

On Mon, 9 Apr 2007 00:19:07 +0400
 Денис Смирнов wrote:

> On Fri, Apr 06, 2007 at 01:52:34PM +0400, Шенцев Алексей Владимирович wrote:
> 
> ШАВ> Они всё равно меняют своё название, расположение. Одна и та же инфа кочует с 
> ШАВ> места на место. А то бывает куча названий и оформлениий, а содержимое одно и 
> ШАВ> то же. Из-за этого с ними надоедает бороться ...

> Опять же, если борьба идет с конкретным любителем, можно посмотреть как он
> ищет (в каких системах, по каким запросам), и ботом симитировать его
> поведение, чтобы перекрыть ему его источники информации.

У меня для самых любителей в rejik/rules/porno2/pcre:
(adult|xxx|anal|porn|teen|fuck|tits|pussy|sex|girls|gay|dirty|tgp|strip|bitch|intim|swingers|gerl).*/.*\.(jpg|avi|swf|gif|png|wmv|ra|rm|mpg|mpeg)$

Мне облегчает борьбу с ними. А странички без картинок это уже не порно :)



-- 
Maxim Britov
Modum.by (http://www.modum.by), system administrator

GnuPG KeyID 0x4580A6D66F3DB1FB xmpp:maxim@modum.by icq 198171258
GnuPG-ru Team (http://lists.gnupg.org/mailman/listinfo/gnupg-ru)

Re: [Sysadmins] администрирование squid'а

[Alexey Shabalin]

06.04.07, Avramenko Andrew<liksx@mail.ru> написал(а):
> Не знаю о существовании свободных комплексных решений такого рода. Могу
> только описать то что знаю из различных компонентов, которые можно связать:
>
>
> > 1. Отображать статистикув html-страницах или (и, что было бы не плохо)
> > записывать её в БД, с возможностью последующей обработкой SQL-запросами.
> Статистику ведь можно не с прокси снимать, а с его порта, верно? Тогда
> можно использовать netams. Другое дело, что тут не будет учитываться
> кэшированность контента.
>
> Либо использовать все тот же sarg, но sql'ем там вроде бы не пахнет.
>
> > 2. Иметь вэб-интерфейс управления.
> Это фантастика
ну почему фантастика?
смотря чем управлять.
посмотрите например gosa. Там про squid совсем не много, но все же.
А еще gosa хорош для организации сервера для (небольших) рабочих
групп, имея удобное администрирование пользователей и сервисов (ldap,
samba,postfix,squid).
конечно есть веши которые мне не нравятся в нём, например свои схемы
для ldap, использование cyrus-imap(хотя ето уже возможно и изменилось)

> > 3. Разграничивать трафик на лимитированный, с автоматическим отключением
> > превысивших лимит, и безлимитный. Ограничивать по объёму, дням недели,
> > рабочим/праздничным дням, времени суток.
> Netams должен уметь, либо крутить squid c радиусом.
>
> > 4. Ограничивать по типам сайтов.
> dansguardian или squidGuard или acl'ки самого squid.
>
> > 5. Проверять проходящий трафик на наличие вирусов и запрещённого контена:
> > запрет на скачивание музыки, фильмов, программ и т.д. и т.п.
> dansguardian+squid или squidGuard + icap+clamav или squidGuard +
> snort+clamav
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>


-- 
Alexey Shabalin

Re: [Sysadmins] администрирование squid'а

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 382 bytes --]

On Fri, Apr 06, 2007 at 03:37:21PM +0400, Avramenko Andrew wrote:
> Это фантастика
/me наваял себе такую фантастику на пыхе (переписать бы на ином надо) -
ничего так. Приятно смотреть.

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: Dream Theater - Stream Of Consciousness


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Vladimir V. Kamarzin]

>>>>> On 09 Apr 2007 at 13:31 "AA" == Aleksey Avdeev writes:

>> FYI: rejik у нас имеется в сизифе, под именем redirector. dbl-скрипты тоже
>> упакованы (в отдельном пакете) ;)
 AA>   В каком, если не секрет?

redirector - rejik3 is a redirector for squid
redirector-dbl - redirector Distributed Banner Lists scripts

Кстати да, возможно стоит вообще переименовать redirector -> rejik. Зачем week
давал такое название, мне не известно :)

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] запрет скачивания переименованных mp3

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 429 bytes --]

On Mon, Apr 09, 2007 at 05:12:57PM +0600, Vladimir V. Kamarzin wrote:
> Кстати да, возможно стоит вообще переименовать redirector -> rejik. Зачем week
> давал такое название, мне не известно :)
А потому что внтури rejik3 архива все называется redirector :)

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: Nest - Renewal


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 3304 bytes --]

On Mon, Apr 09, 2007 at 11:16:19AM +0400, Sergey S. Skulachenko wrote:

>> "попасть в корпоративную сеть" понятие растяжимое.
SSS> Нет, очень конкретное. Это значит получить те же права, что имеет
SSS> собственная рабочая станция в корпоративной сети. Уровень
SSS> допуска в зависимости от собственной роли может быть очень не
SSS> маленьким. Дыра явная.

Это не является "попасть в корпоративную сеть". Для "попасть в
корпоративную сеть" достаточно если я могу удаленно получить доступ хотя
бы к одному единственному внутреннему ресурсу.

Так что флейм у тебя начинается видать из-за того что ты подразумеваешь
всего лишь один вариант трактовки термина, который гораздо более
многозначен.

 SSS> Если настаивать "мне так удобно", то выйдя утром на работу,
 SSS> можно обнаружить, что пропуск уже погашен и офисная обувь вместе
 SSS> с чайной кружкой уже не доступны. Иными словами, что-либо
 SSS> согласовать со службой (экономической) безопасности уже
 SSS> невозможно. А в её составе кроме аналитиков есть ещё
 SSS> подразделение собственной безопасности. С ними вообще не резон
 SSS> что-либо обсуждать, так как ребята там не приучены повторять
 SSS> дважды, и вид имеют крайне конкретный. Никакой растяжимости,
 SSS> уверяю Вас.

Зависит от компании, уверяю. Вон я смотрю в ALT хренова туча народу имеет
доступ ко внутренней сети. Кажется даже я имею, по крайней мере к одной
машине.

Боюсь что человека, который попытается это дело запретить просто аккуратно
вынесут за руки/ноги из офиса и порекомендуют до протрезвления в нем не
появляться :)

Видел бы ты инфраструктуру безопасности у меня в компании. Пришлось бы
валерьянку литрами пить. В ней нарушены все правила которые я только знаю,
думаю те что не знаю тоже нарушены. Но в моей ситуации она себя
оправдывает, и при подсчете рисков я решил что это разумнее.

 SSS> Т.е. я с Вами во всём согласен с небольшой поправкой: директор
 SSS> ДИТа устанавливает правила в пределах своей компетенции. А вот с
 SSS> другими директорами он ничего не согласовывает. Они для него
 SSS> остаются простыми пользователями, привыкшими подчиняться.
 SSS> Ничего не согласовывает и со службой безопасности. Он
 SSS> _уведомляет_ её о правилах а также о ролях каждого из
 SSS> пользователей, а СЭЗ принимает эту информацию к действию. 

Опять же зависит от. Насколько я вижу многие грамотные IT-специалисты
нихрена не смыслят в безопасности, и не имеют достаточный уровень
врожденной паранои. Поэтому хотя и вопрос где в корпоративной иерархии
находится таки служба IT-безопасности, и кому она подчинена, но по крайней
мере она не дрлжна быть в прямом подчинении у IT'шников. Мало того, в
крупной не IT'шной компании именно безопасники и дложны решать большинство
вопросов.

А там где это не так мы получаем истории как у американцев, чем авианосец
хрен знает сколько болтался неуправляемым из-за подвисшей винды. Потому
как не было человека своей башкой отвечающего за то что "все должно быть
надежно", и при этом имеющий полномочия сам решать какое ПО будет
закупаться и использоваться.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Это похоже на ошибку, чреватую большими неприятностями.
		-- ldv in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 752 bytes --]

On Mon, Apr 09, 2007 at 11:25:50AM +0400, Дорогов Николай(computer-service) wrote:

ДНcs> Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм.
ДНcs> А приложения уже через Цитрих раздовать.

Только не забыть про то, что citrix позволяет еще локальные диски шарить,
и прочей мутью страдать. Лучше бы как можно больше из этого функционала
удавить.

Еще лучше -- дать такой доступ к отдельной физической или виртуальной
машине с ограниченным доступ в сетку. То есть чтобы работать они могли с
неким минимумом информации.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
В CC у ошибки какой-то UNKNOWN. Это он во всем виноват :-)
		-- zerg in #2674

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 2947 bytes --]

On Mon, Apr 09, 2007 at 12:11:49PM +0400, Sergey S. Skulachenko wrote:

 SSS> Всё сказанное очень зависит от точки зрения. При правильно
 SSS> организованном процессе сотруднику некогда заниматься хренью.
 SSS> Сотрудник лишь изредка в течение рабочего дня едва успевает
 SSS> добежать до конца коридора. Хрень очень отвлекает, сложно
 SSS> переключаться, ошибки могут стать роковыми. Потому при приёме на
 SSS> работу я предупреждал сотрудников: никакой хрени. Не идёт
 SSS> работа, всё валится из рук, пойди подыши свежим воздухом,
 SSS> развейся. Совсем плохо тебе и прогулка не помогает, отвали с
 SSS> глаз долой на день-два-три. Подход очень честный, поэтому никто
 SSS> им не злоупотреблял. И очень помогает, особенно женщинам. Уж
 SSS> пусть они спокойно, не разрываясь на части, решат свои проблемы,
 SSS> чем напакостят на работе. Другие же их подстрахуют.

Все логично, но есть разные должности, с разным стилем работы. А я вот на
рабочем месте ещё и играюсь иногда. Смотрю -- что-то я какой-то
невменяемый, на часик засел порезаться во что-нибудьб глядишь и проснулся.
Ну мне-то хорошо, начальства нет которое докапываться могло бы. Когда было
я им четко объяснил что моя должность подразумевается что "все работает,
админ спит". И если никаких задач нет, и аварий тоже нет, я могу на работу
даже и не выходить, и на любые претензии буду сильно обижаться.

А вобоще, как я уже говорил, в бизнесе есть простая оценка -- сотрудник
либо приносит фирме больше, чем она в него вкладывает, либо не приносит.
Все. Соответственно любые административные решения следует оценивать
именно с этой точки зрения (ну и с точки зрения безопасности, разумеется).
Поэтому при выборе между всем из себя правильным сотрудником, который
приходит ровно за секунду до начала рабочего дня и сваливает ровно через
секунду, и все время тихо работает, но денег приносит мало, и сотрудником
который редкостный разгильдяй, но деньги в контору тащит, причем честными
и законными способами не компрометирующими имидж фирмы -- ясен пень скорее
уж я уволю первого, чем второго. А второму еще отдельный комп с отдельным
подключением к Internet поставлю для развлекушек, чтобы СБ на него не
смотрели злыми глазами и не планировали устроить темную.

А ещё у меня есть сотрдуник, рабочего графика которого я не знаю вообще.
Жутко любопытно, но не признается. Но работу делает и деньги за нее
получает. А делает ли он её сам, или она самозарождается у него в
компьютере мне не интересно. Я человек простой, мне от сотрудника нужно
либо бабло, либо реализация каких-либо концептуальных проектов (пусть и
убыточных), но главное -- результат. Пока он это выполняет и не приносит
мне проблем он сам решает что и как ему делать.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Похоже, что продовольственная программа СССР была написана на
Бейсике...

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Sergey S. Skulachenko]

On Tue, 10 Apr 2007 06:16:10 +0400
Денис Смирнов wrote:

> Так что флейм у тебя начинается

Мне этого достаточно. Продолжай беседовать сам с собой.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Tue, 10 Apr 2007 06:34:58 +0400
Денис Смирнов wrote:

> который редкостный разгильдяй, но деньги в контору тащит

Посмотрите на название листа рассылки. Под сотрудником мы
понимаем не кого угодно, а администратора любого из сервисов или
центральных ресурсов. Администратор-расп...й - это сапоги в
смятку. Не надо, обойдёмся.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Вторник, 10 Апрель 2007 года,
Sergey S. Skulachenko писал(а) в сообщении: 

SSS == Sergey S. Skulachenko

SSS> > который редкостный разгильдяй, но деньги в контору тащит  
SSS> 
SSS> Посмотрите на название листа рассылки. Под сотрудником мы
SSS> понимаем не кого угодно, а администратора любого из сервисов или
SSS> центральных ресурсов.

Не стоит ограничивать тематику обсуждением только сисадминов.
В данном треде обсуждались реакция сисадмина на неуправляемого сотрудника.
Который (сотрудник) пользуясь своим положением, обусловленным деньгами,
которые он приносит фирме, ставит под угрозу безопасность сети и лишает
сисадмина возможности проводить в жизнь, утвержденную явно или устно,
техническую политику.

Эти вопросы рано или поздно поднимает каждый сисадмин, когда вырастает из
коротких штанишек помеси волшебника с электриком, и начинает эту 
самую политику предлагать руководству фирмы для внедрения, либо по 
собственной инициативе начинает ужесточать регламент использования сети
и Интернет.




--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Осторожный редактор. Даже таблицу умножения печатал в дискуссионном порядке.
		-- Э.Кроткий

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Tue, 10 Apr 2007 09:31:08 +0300
Dmitriy L. Kruglikov wrote:

> Не стоит ограничивать тематику обсуждением только сисадминов.
> В данном треде обсуждались реакция сисадмина на неуправляемого
> сотрудника. Который (сотрудник) пользуясь своим положением,
> обусловленным деньгами, которые он приносит фирме, ставит под
> угрозу безопасность сети и лишает сисадмина возможности
> проводить в жизнь, утвержденную явно или устно, техническую
> политику.

Вот тут администратору и приходит на помощь служба экономической
защиты. Их главный инструмент - сервер, на котором фиксируется
вся сетевая активность в большой или очень большой сети.
Анализируют они не всё подряд. Главная их задача - обеспечение
безопасности рабочих станций менеджеров высшего звена, самых
больших разгильдяев, т.е. Бросить машину под паролем и пойти
обедать - это для них совершенно запросто.
Второе, нет ли в сети слишком любопытных, которые пытаются
получить доступ к тем ресурсам, которые не соответствуют
прописанной им роли.
Совсем простая ситуация: в сети появился новый прокси. Это
значит, что кто-то начал самовольно провайдерствовать.
Ну, и совсем специфические задачи, неинтересные нам: например,
предотвращение (прогнозирование) различных схем мошенничества.
Ну, и, наконец, когда "неуправляемым" сотрудникам дяди начинают
задавать вопросы, линяют они очень быстро. Попробуйте ответить
на уклончивый вопрос "что ты имел в виду?"

Ещё одна жизненная ситуация. На заре развития, до появления
ужасного робота, молодая сотрудница прошляпила клиентскую
проводку и клиент понёс огорчение, так как не прошёл налоговый
платёж. Девочка перепугалась и стёрла файл. Она не знала, что
рукописи не горят. Мы вынуждены были её сдать. Не было выбора. В
ином варианте это было бы уже наше служебное преступление.
Уволена была в тот же час.

PS: В качестве просто наблюдения. Высшее звено, разумеется, не
имеет никаких ограничений в трафике. Так вот, остаются подолгу
на работе и смотрят порнушку. Нет ничего тайного :-).

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Вторник, 10 Апрель 2007 года,
Sergey S. Skulachenko писал(а) в сообщении: 

SSS == Sergey S. Skulachenko

SSS> Вот тут администратору и приходит на помощь служба экономической
SSS> защиты. 

Я бы сказал несколько иначе...
"Вот тут администратору и приходит на помощь правильно организованная работа."
То есть, существует утвержденная политика.
В рамках этой политики служба экономической защиты требует от сисадмина
разработку и внедрение технических решений.
Сисадмин, наш компьютерный гений, такое решение находит и внедряет...
А пользуются им - безопасники... 
И анализируют поведение пользователей - безопасники...
И сотрудников на беседу вызывают безопасники...
Хорошо, если в конторе есть такая служба безопасности.

А если первый уровень руководства задерживается на работе с целью
прогуляться по Инету, то можно к нему просто подойти по-человечески, и попросить
просветить в таком вопросе:
"Типа, тут наблюдаю такие вот посещения...
Это несет угрозу, которую я устранить не могу...
В случае чего, вы уж не взыщите, если ваша(!) бухгалтерия накроется тем,
что кто-то с вашей рабочей станции так внимательно разглядывал в такое-то время,
такого-то числа.
Я могу организовать ограничения, если Вы позволите...
А иначе, я не виноват..."
После такого разговора, обычно, все устаканивается... 
Как последний вариант (немного пованивает, конечно) можно дождаться любого,
более-менее серьезного сбоя и преподать как следствие действия трояна, который
попал в систему таким вот образом....
Тут мы геройски все приводим в рабочее состояние, обеспечив 2-3 часа простоя
в рабочее время, после чего нас _обязывают_ ограничить посещение порносайтов...
Не самый честный вариант, и мне он не нравится, но как последнее средство,
должен находиться в обойме решений.

Справедливости ради, я еще ни разу такого не делал...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Старый глюк лучше новых двух!

Re: [Sysadmins] запрет скачивания переименованных mp3

[Nick Gavrikov]

10.04.07, Dmitriy L. Kruglikov<Dmitriy.Kruglikov@orionagro.com.ua> написал(а):

> В данном треде обсуждались реакция сисадмина на неуправляемого сотрудника.
> Который (сотрудник) пользуясь своим положением, обусловленным деньгами,
> которые он приносит фирме, ставит под угрозу безопасность сети и лишает
> сисадмина возможности проводить в жизнь, утвержденную явно или устно,
> техническую политику.

Сисадмин для сотрудников или сотрудники для сисадмина? Сисадмин в 99%
случаев фирме денег не приносит. Это исключительно обслуживающий
персонал, который делает работу сотрудников (всех уровней - вплоть до
директората) конфортнее - и не более того. Работа примерно такая же,
по сути, как и у девочек, которые кофе варят :-)

Если какой-то конкретный сотрудник требует к себе дифференцированного
подхода - обязанность сисадмина обеспечить необходимые условия.
Боитесь что данный сотрудник вирусов нахватается? Сделайте для него
персональный (ограниченный) доступ к LAN, обеспечьте правильный бекап
ему... Если он _действительно_ такой стоящий для фирмы сотрудник.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Tue, 10 Apr 2007 10:51:18 +0300
Dmitriy L. Kruglikov wrote:

> Я бы сказал несколько иначе...

Как правило, в таких случаях всегда можно спросить " а что же
именно Вы сказали иначе?" Действительно, прочтите внимательно
свой и мой текст. Во всяком случае, мне нечего возразить Вам. И
это хорошо.

В качестве легкого комментария: лучше всего не административные
запреты и не наушничество по поводу их нарушения
(отвратительно!) а такая организация, когда пользователя не
вводят в искушение, тогда он ничего и не нарушает. Мысль
понятна?  

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Вторник, 10 Апрель 2007 года,
Nick Gavrikov писал(а) в сообщении: 

NG == Nick Gavrikov

NG> Сисадмин для сотрудников или сотрудники для сисадмина? 
Сисадмин - сотрудник... С правами и обязанностями...
И относиться к нему как-то иначе - глупость.

NG> Сисадмин в 99% случаев фирме денег не приносит. 
Дважды глупость...
Бесперебойная работа системы дает возможность зарабатывать 
деньги остальным сотрудникам.
Внедрение новых технологий позволяет более эффективно работать 
остальным сотрудникам, то есть, деятельность подразделения ИТ
прибыль ПРИНОСИТ. И эту прибыль весьма эффективно можно считать.
Отдел ИТ уже давно относится к категории производственных служб.

NG> Работа примерно такая же, по сути, как и у девочек, которые кофе варят :-)
Тогда и интеллект того же уровня... И отношение к работодателю...
Если работодатель не понимает, что высокоинтеллектуальный труд
требует определенного статуса и отношения, то ему самое место
на порносайтах.

С таким отношением у него будут работать пацаны, способные 
только переустанавливать Винду...
И то не долго, пока другого места себе не найдут...

Оглянитесь вокруг, для приличной конторы, сисадмин - сотрудник отдела ИТ,
должен иметь высшее техническое образование, опыт работы 3-5 лет минимум,
обширную эрудицию...

А вы его к девочкам приравниваете...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
И Бейсик - сын ошибок трудных, и Клиппер Парадоксов друг.

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Tue, 10 Apr 2007 12:59:29 +0400
Nick Gavrikov wrote:

> Сисадмин для сотрудников или сотрудники для сисадмина?

Конечно, первое. Любой самый младший сотрудник честно выполняет
свою работу, тонкостей которой мы, кстати сказать, не знаем.
Поэтому над тем, что "Лена висит" лучше не зубоскалить.

> Если какой-то конкретный сотрудник требует к себе
> дифференцированного подхода - обязанность сисадмина обеспечить
> необходимые условия.

Только не забывайте, что мы рассматриваем одновременно крайние
случаи. Некоторым милы все из себя такие раскованные и
расхристанные расп...и, которые, ну, ужасно талантливы, полезны и
незаменимы.
Когда я работал в оборонном НИИ, директор нашего серийного
завода, старый грузин говорил: "Ребята, если в Вашем коллективе
завёлся незаменимый сотрудник, то первое, что надо сделать, это
немедленно уволить его". Безусловно, в значительной степени это
заводская точка зрения, где должно работать не собрание звёзд, а
неуклонно чёткая организация труда. Но мне эта формула
импонирует, и я считаю её универсальной.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Вторник, 10 Апрель 2007 года,
Sergey S. Skulachenko писал(а) в сообщении: 

SSS == Sergey S. Skulachenko

SSS> On Tue, 10 Apr 2007 10:51:18 +0300
SSS> Dmitriy L. Kruglikov wrote:
SSS> 
SSS> > Я бы сказал несколько иначе...
SSS> 
SSS> Как правило, в таких случаях всегда можно спросить " а что же
SSS> именно Вы сказали иначе?" Действительно, прочтите внимательно
SSS> свой и мой текст. Во всяком случае, мне нечего возразить Вам. И
SSS> это хорошо.
В моей трактовке сисадмин приходит на помощь службе безопасности.
Т.е. заказчиком режима контроля и ограничений, инициатором, является
СБ, которая проводить в жизнь корпоративную политику.
Сисадмин же только дает ИМ инструментарий.
А это, согласитесь, совершенно другая сторона медали.


SSS> В качестве легкого комментария: лучше всего не административные
SSS> запреты и не наушничество по поводу их нарушения
SSS> (отвратительно!) а такая организация, когда пользователя не
SSS> вводят в искушение, тогда он ничего и не нарушает. Мысль
SSS> понятна?  
Вот по этому у меня и организован портал, на котором lightsquid ...
И каждый может посмотреть, кто и куда ходил...
Даже, если вместо "тела" была выведена моя страничка с предупреждением,
запрос зарегистрирован...

Над сотрудником незлобно посмеются, потом может шеф спросить...
Помагает....




--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
ЗАКОН СЭРА УОЛТЕРА
 Вероятность попадания в лицо дыма от сигареты или от костра
 прямо пропорциональна вашей чувствительности к дыму.

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Вторник, 10 Апрель 2007 года,
Sergey S. Skulachenko писал(а) в сообщении: 

SSS == Sergey S. Skulachenko

SSS> Когда я работал в оборонном НИИ, директор нашего серийного
SSS> завода, старый грузин говорил: "Ребята, если в Вашем коллективе
SSS> завёлся незаменимый сотрудник, то первое, что надо сделать, это
SSS> немедленно уволить его". Безусловно, в значительной степени это
SSS> заводская точка зрения, где должно работать не собрание звёзд, а
SSS> неуклонно чёткая организация труда. Но мне эта формула
SSS> импонирует, и я считаю её универсальной.

Мудрый человек, представитель мудрого народа ...
Мудрые слова...

Любой незаменимый сотрудник разлагает коллектив.
Коллектив же силен именно командной работой...
Сведи в одной комнате больше одного незаменимого, 
и получишь серпентарий лучших друзей... 
Со всеми вытекающими...

Вместо работы будет перманентная фалометрия...
И очень редкие, практически бесполезные, всплески активности...

Если директору так уж дорог некий сотрудник, то пусть приглашает его
в кабинет и обхаживает его со всех сторон, на свое усмотрение...
А компьютеру нет разницы, кто давит на кнопки клавиатуры...
Кто втянет вирус, и кому показать BSOD...

И если сисадмин обязан обеспечить работоспособность 7*24, 
то это не значить, что он должен 7*24 выгребать дерьмо после
безответственного идиота с манией величия.
Если кто-либо позволяет себе игнорировать мои требования,
изложенные в рамках моих должностных обязанностей, то этот
кто-либо в Инет не выйдет. Будет доказывать свою исключительность,
я положу сеть, и она будет лежать до беседы в кабинете руководителя.
Если руководитель не поймет, я уйду на другую работу.
Но еще ни разу, ни один руководитель не приказал мне открыть доступ на порнуху
для определенного работника.
Ни разу! Потому что ни один руководитель не станет рисковать своей бухгалтерией
ради супер-пупер зарабатывателя денег с отклонениями психики в сторону порносайтов.

Все... Закрываем пустой треп.
Кому было интересно, уже почерпнули информацию из
предыдущих постов. Дальше конструктива уже не будет.


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Никто не спотыкается, лежа в постели.
		-- Японская пословица

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Tue, 10 Apr 2007 12:29:33 +0300
Dmitriy L. Kruglikov wrote:

> деятельность подразделения ИТ
> прибыль ПРИНОСИТ. И эту прибыль весьма эффективно можно
> считать.

Это многократно доказано. Пример, который я уже приводил здесь.
Когда мы удалённо подключились к торгам на ММВБ, то быстро
обнаружили, что для такого количества рабочих мест канальчик-то
узенький. Установили собственный gw. Это дорогое оборудование
ценой где-то 100 тысяч долларов. Оказалось, что первый же день
работы окупил эти затраты, так как наши диллеры, получив фору в
15 с, легко перехватывали самые выгодные сделки. Моя формула:
любые затраты в IT окупаются.
Ещё пример. Экскаватор оборвал волоконный кабель. Маршрутизатор
тут же перешёл на резервный канал. Если не грузить его
интернетом, то работать вполне можно. Тут же прошу управляющую
прислать мне справку, какие потери понесло бы отделение в случае
простоя (пока сварили кабель), при отсутствии резервного канала.
Для воспитания руководства подаю докладную, где сравниваю эти
цифры со стоимостью резервного канала, который и пригодился-то
первый раз, а до того лежал без дела. Результат поразительный!

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Tue, 10 Apr 2007 12:35:43 +0300
Dmitriy L. Kruglikov wrote:

> В моей трактовке сисадмин приходит на помощь службе
> безопасности. Т.е. заказчиком режима контроля и ограничений,
> инициатором, является СБ, которая проводить в жизнь
> корпоративную политику.

Я уже говорил, что у нас это было несколько не так. При
появлении нового сотрудника в СБ идёт служебная записка с
описании роли, т.е. с перечнем информации, к которой сотрудник
получит доступ (например, этот сотрудник имеет право делать
запросы к базе данных только за месяц, а за год не имеет права;
иначе центральная машина просто ляжет). СБ визирует записку и
возвращает её нам. Это означает не то, что они дали разрешение,
а только то, что они её у себя зарегистрировали.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Вторник, 10 Апрель 2007 года,
Sergey S. Skulachenko писал(а) в сообщении: 

SSS == Sergey S. Skulachenko

SSS> СБ визирует записку и
SSS> возвращает её нам. Это означает не то, что они дали разрешение,
SSS> а только то, что они её у себя зарегистрировали.
Эх ....
Меня бы к вам на работу ....
Если не завернули, значить в области своей компетенции не нашли
возражений...
Далее - ваш отдел...
Если есть аргументированные возражения (например, загрузка сервера),
то пишете встречную СЗ.
Для обеспечения доступа тов. Пупкина к ресурсам "..." необходимо "...".
В случае, если данные требования не удовлетворить, то тов. Васечкин, Петров и т.д.
Останутся с кружкой кофе, но без оперативных данных ...
И вертаете в зад ... 
Копию непосредственному начальнику тов. Пупкина,
копию начальникам тов. Васечкин, Петров и т.д., 
копию в СБ.
Все .... Пока они меж собой не согласуются, можно перекурить...

Когда к вам поступят все, необходимые согласования, можно исполнять предписания...

Потому как если сервер ляжет, спросить надобно не у СБ, 
а у вас ... Технических подробностей СБ не знает...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Дуршлаг шумовке говорит:"У тебя самой девять дыр".
		-- Персидская пословица

Re: [Sysadmins] cyrus-imap

[Timur Batyrshin]

Alexey Shabalin пишет:
> для ldap, использование cyrus-imap(хотя ето уже возможно и изменилось)

Чем плох cyrus-imap? Может быть есть, где-нибудь таблица типа "Сравнение различных IMAP-серверов" и там по
пунктам плюсы и минусы? Из гугла навскидку все ссылки ведут на опеннет, где цырус отсутствует..

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Tue, 10 Apr 2007 13:24:19 +0300
Dmitriy L. Kruglikov wrote:

> Потому как если сервер ляжет, спросить надобно не у СБ, 
> а у вас ... 
Именно.
> Технических подробностей СБ не знает...
Знает, там грамотные ребята. Но у них свои дела. И сколько в
машине оставить процессоров 20 или 24 не они решают.

Кстати, группа защиты информации появилась в составе отдела
почтовых систем по моей инициативе. Я просто почувствовал, что
не за всё я должен отвечать. Началось всё с выпускника МИФИ из
первого выпуска по этой специальности. За год он не проявил
инициативы и на роль лидера явно не тянул. Потом был приглашён
бывший офицер, закончивший единственное в Союзе училище
шифровальщиков. Дело пошло. Прежде всего сеть приобрела
классические очертания: внешняя сеть - ДМЗ - внутренняя сеть.
Сервисы переместились в нужное место и т.д. А принимал этого
сотрудника начальник отдела кадров, из ФАПСИ. Он быстро
сообразил, что дело-то хорошее, и так возникла под его началом
Служба экономической защиты, куда отдел защиты информации не
вошёл не смотря на самое грубое давление.  
Вроде решили завязывать?..  

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Nick Gavrikov]

10.04.07, Dmitriy L. Kruglikov<Dmitriy.Kruglikov@orionagro.com.ua> написал(а):

> NG> Сисадмин для сотрудников или сотрудники для сисадмина?
> Сисадмин - сотрудник... С правами и обязанностями...
> И относиться к нему как-то иначе - глупость.

Совершенно верно, точно так же как и генеральный директор - он тоже
сотрудник фирмы, тоже с правами и обязанностями (не путайте пожалуйста
директора с хозяином фирмы).

> NG> Сисадмин в 99% случаев фирме денег не приносит.
> Дважды глупость...
> Бесперебойная работа системы дает возможность зарабатывать
> деньги остальным сотрудникам.

...точно так же как и чистый пол в офисе и кофе в чашке.

Понятно, что все работают в одной команде, без какого-то одного звена
весь механизм будет работать плохо или не будет работать вовсе. Но все
же непосредственно денег фирме сисадмины НЕ ПРИНОСЯТ. Исключение -
различные провайдеры и организации, зарабатывающие деньги на
обслуживании компьютеров в других организациях.

Более того, сисадмины у провайдера - это лишь частный случай
работника, которому в свою очередь необходимо обеспечивать рабочее
место, кофе, пиццу и т.д. Т.е. для его нормальной работы необходим
другой системный администратор, организующий сеть и компьютеры в
офисе.

Главная задача сисадмина - ПОМОГАТЬ другим работникам зарабатывать
деньги. Если для этой помощи необходимо запретить доступ к
порно-сайтам - это нужно сделать. Если нужно сделать так, чтобы у
работника была оперативная финансовая информация и больше ничего ему
не требуется - нужно разрешить ему rbc.ru, а все остальное -
запретить. Дабы не отвлекать человека почем зря ненужными вещами.


> Отдел ИТ уже давно относится к категории производственных служб.

Не представляю себе что именно системные администраторы производят :-/

> NG> Работа примерно такая же, по сути, как и у девочек, которые кофе варят :-)
> Тогда и интеллект того же уровня... И отношение к работодателю...
> Если работодатель не понимает, что высокоинтеллектуальный труд
> требует определенного статуса и отношения, то ему самое место
> на порносайтах.

Где я написал что у сисадмина интеллект такой же как и у девочки?
Интеллект его существенно выше, что подтверждается существенно более
высокой зарплатой и существенно более высокими требованиями к его
образованию, эрудиции и т.п., как вы и писали ниже. Но работа у него
точно такая же по сути своей: обеспечивать работникам комфортную
работу. Не более того. Если системный администратор считает что он -
Бог и лучше всех знает как кому работать на компьютере и в сети -
гнать такого сисадмина нужно поганой метлой.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] запрет скачивания переименованных mp3

[Serge Polkovnikov]

Tuesday 10 April 2007 18:24:09 Nick Gavrikov написав:
> Понятно, что все работают в одной команде, без какого-то
> одного звена весь механизм будет работать плохо или не
> будет работать вовсе. Но все же непосредственно денег
> фирме сисадмины НЕ ПРИНОСЯТ.

Следуя вашей логике непосредственно деньги фирме приносят 
только инкассаторы и кассиры...


> Главная задача сисадмина - ПОМОГАТЬ другим работникам
> зарабатывать деньги.
Всегда думал, что главная задача системного администратора - 
обслуживать  систему. Другое дело как эта система 
построена. Но если каждый перец будет считать себя "выше" 
системы, то непонятно для чего эта система вообще нужна...

ПС: Помогать должны - помошники, считать деньги - кассиры, 
оформлять договора - юристы, мыть пол - технички и тд.




-- 
С уважением,
Сергей Полковников

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Вторник, 10 Апрель 2007 года,
Nick Gavrikov писал(а) в сообщении: 

NG == Nick Gavrikov

NG> > Отдел ИТ уже давно относится к категории производственных служб.  
NG> 
NG> Не представляю себе что именно системные администраторы производят :-/
Не системные администраторы, но подразделения ИТ, в штат которых входят
системные администраторы...

А производят они ИНФОРМАЦИЮ... 
Есть такая нематериальная сущность реального мира.
И эта информация стоит денег...
И отсутствие информации приносит убытков гораздо больше, 
чем сомнительная прибыль от сотрудника, просиживающего 
95% рабочего времени на порносайтах.

Если где-то иначе, то руководитель неправильно организовал процесс зарабатывания.

Это был последний мой ответ на эту тему.



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
В нем все чужое. Полон рот 
Вставных зубов, чужих острот.
		-- Э.Кроткий

Re: [Sysadmins] запрет скачивания переименованных mp3

[Nick Gavrikov]

10.04.07, Dmitriy L. Kruglikov<Dmitriy.Kruglikov@orionagro.com.ua> написал(а):

> И если сисадмин обязан обеспечить работоспособность 7*24,
> то это не значить, что он должен 7*24 выгребать дерьмо после
> безответственного идиота с манией величия.

Если данный безответственный идиот приносит организации существенную
прибыль - _обязан_ и дерьмо выгребать после него в том числе. Точно
так же как уборщица будет _обязана_ вымыть за ним пол если он уронит
на него кусок торта. Если организация достаточно большая - у главного
сисадмина есть помощники которые это будут делать. Если у него 10
компов, включая сервер - будет делать сам.

Как вы не понимаете, не все люди способны приходить в офис не позже 9
утра. Есть целый ряд профессий, например различные художники, которые
просто по определению не приемлют ограничения каких бы то ни было
своих свобод. Если эти люди нужны организации - ваша задача как
системного администратора обеспечить им рабочее место.

Вы боитесь что он нахватает вирусов которые поломают вашу сеть?
Выделите его компьютер в отдельный сегмент сети, организуйте ему бекап
чтобы данные не пропали, сделайте "снимок" его жесткого диска с
системой - и все! Путь он гадит на своем компе сколько ему угодно. Как
система рухнет - разворачиваете ее из "снимка", выдаете все его данные
- и пусть себе дальше рисует как ему нравится. Технически никаких
проблем нет. Вопрос исключительно в нужности и в специфике работы
конкретного сотрудника.

> Если кто-либо позволяет себе игнорировать мои требования,
> изложенные в рамках моих должностных обязанностей, то этот
> кто-либо в Инет не выйдет. Будет доказывать свою исключительность,
> я положу сеть, и она будет лежать до беседы в кабинете руководителя.

Ммм... даже сказать нечего...

> Но еще ни разу, ни один руководитель не приказал мне открыть доступ на порнуху
> для определенного работника.
> Ни разу! Потому что ни один руководитель не станет рисковать своей бухгалтерией
> ради супер-пупер зарабатывателя денег с отклонениями психики в сторону порносайтов.

Ну знаете... Если у вас рядовой работник может снести всю бухгалтерию
- фиговый из вас сисадмин... Либо фиговый у вас руководитель,
поскольку не выделяет на ИТ достаточно средств. Помимо вирусов и
порнографии бывают еще, знаете ли, недобросовестные сотрудники,
вооруженные различными эксплоитами.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] запрет скачивания переименованных mp3

[Nick Gavrikov]

10.04.07, Sergey S. Skulachenko<ssskulachenko@gmail.com> написал(а):

> > деятельность подразделения ИТ
> > прибыль ПРИНОСИТ. И эту прибыль весьма эффективно можно
> > считать.
>
> Это многократно доказано. Пример, который я уже приводил здесь.
> Когда мы удалённо подключились к торгам на ММВБ, то быстро
> обнаружили, что для такого количества рабочих мест канальчик-то
> узенький. Установили собственный gw. Это дорогое оборудование
> ценой где-то 100 тысяч долларов. Оказалось, что первый же день
> работы окупил эти затраты, так как наши диллеры, получив фору в
> 15 с, легко перехватывали самые выгодные сделки.

Пример некорректный. В данном случае вы выступаете в роли провайдера,
а мы говорим о системном администраторе, обеспечивающем доступ
сотрудников офиса к локальной сети, интернету и следящему за их
рабочими станциями.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] запрет скачивания переименованных mp3

[Nick Gavrikov]

10.04.07, Serge Polkovnikov<serge@ukr-fin.com.ua> написал(а):

> > Понятно, что все работают в одной команде, без какого-то
> > одного звена весь механизм будет работать плохо или не
> > будет работать вовсе. Но все же непосредственно денег
> > фирме сисадмины НЕ ПРИНОСЯТ.
>
> Следуя вашей логике непосредственно деньги фирме приносят
> только инкассаторы и кассиры...

Нет. Непосредственно фирме приносят деньги:

а) менеджеры/рекламщики/маркетологи, раздобывшие заказ;
б) исполнители, заказ выполнившие;
в) юристы, ведущие договора и судящиеся с клиентами, которые не хотят
условия договора выполнять.

В частности, кассиры и инкассаторы попадают под пункт б.

Задача всех остальных работников - обеспечить выполнение своих работ
этим трем группам.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] запрет скачивания переименованных mp3

[Nick Gavrikov]

10.04.07, Dmitriy L. Kruglikov<Dmitriy.Kruglikov@orionagro.com.ua> написал(а):

> NG> > Отдел ИТ уже давно относится к категории производственных служб.
> NG>
> NG> Не представляю себе что именно системные администраторы производят :-/
> Не системные администраторы, но подразделения ИТ, в штат которых входят
> системные администраторы...

Подразделения ИТ действительно производят, в особенности если в них
есть программисты. Но только НЕ системные администраторы. Системные
администраторы помогают осуществлять доступ к информации, но сами
НИЧЕГО не производят.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Вторник, 10 Апрель 2007 года,
Nick Gavrikov писал(а) в сообщении: 

NG == Nick Gavrikov

NG> Подразделения ИТ действительно производят, в особенности если в них
NG> есть программисты. Но только НЕ системные администраторы. Системные
NG> администраторы помогают осуществлять доступ к информации, но сами
NG> НИЧЕГО не производят.

Вы почитайте хоть одну умную статью на тему информации, 
что это такое по определению, и с чем ее едят.

Если лень, или нет возможности, то я кратко изложу:
Информация, это знания, получаемые нами в нужное нам время,
в нужном нам объеме и в удобной для обработки форме.
Если не выполняется хотя бы один из этих пунктов,
то мы получаем не знания, а информационный шум.

Обеспечивая надежную и бесперебойную работу инфраструктуры,
сисадмин, как раз, и обеспечивает получение знаний в нужное нам время.
Тем самым, сисадмин участвует в производстве продукта "информация".
Если, в следствие простоя, сотрудник, принимающий решение,
получит информацию об изменении котрировок позже, хотя бы на 15 минут,
фирма понесет убытки, потому как в нужное время не получила нужную информацию.

Что может послужить причиной сбоя - заранее неизвестно.
Сисадмин должен предупредить возможные сбои.
Восстанавливать систему из бекапов можно, конечно...
Но время на восстановление будет потеряно...
Информация не будет доставлена ВОВРЕМЯ, следовательно, перейдет в категорию шума.
Виновным в сбое будет не сисадмин, а сотрудник, действия которого повлекли сбой,
потому как в предложенной вами схеме именно такой режим и предусмотрен.
Сотрудник имеет право порушить систему, а сисадмин должен быть готов, постфактум,
последствия этого сбоя устранить, предварительно этот сбой обнаружить, классифицировать,
и потом принять решение о методах восстановления.
Любой бекап отстает от текущего состояния системы, следовательно гарантирует потерю данных,
возникших в системе за время, прошедшее после бекапа.

Объяснять такие прописные истины можно в community@, но в ЭТОЙ рассылке
такое нужно знать и четко понимать.

Мне жаль, что Вы этого не понимаете, и еще более жаль, если именно от Вас зависит
статус сисадмина в какой-нибудь, отдельно взятой сети.

Производство информации - сложный технологический процесс, 
требующий специфических знаний и опыта.
Организация этого процесса, тем более сложна, потому что на выходе получаем
продукт, который сложно измерить и оценить.
Но отсутствие которого начинаем ощущать так же, как и отсутствие воздуха,
присутствие которого как-то не замечаем постоянно.

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
- Где появился танец чечетка?
- Думаем, что в семье рабочего Саакяна, где десять детей и один ночной
  горшок.

Re: [Sysadmins] запрет скачивания переименованных mp3

[Nick Gavrikov]

11.04.07, Dmitriy L. Kruglikov<Dmitriy.Kruglikov@orionagro.com.ua> написал(а):

> NG> Подразделения ИТ действительно производят, в особенности если в них
> NG> есть программисты. Но только НЕ системные администраторы. Системные
> NG> администраторы помогают осуществлять доступ к информации, но сами
> NG> НИЧЕГО не производят.
>
> Информация, это знания, получаемые нами в нужное нам время,
> в нужном нам объеме и в удобной для обработки форме.
> Если не выполняется хотя бы один из этих пунктов,
> то мы получаем не знания, а информационный шум.

Так все же, позвольте спросить, кто именно выполняет задачу по
ПРОИЗВОДСТВУ информации, скажем, о котировках? И в какой момент задача
производителя будет считаться выполненной? В тот момент когда
информация поступит совершенно ко всем вероятным потребителям? Или все
же в тот момент, когда информация будет опубликована?

Вы как системный администратор лишь помогаете ПОТРЕБИТЕЛЮ получить
информацию, точно так же как и, скажем, водитель такси ему помогает
доехать от дома до офиса. Не более того. В чем по вашему мнению
принципиальное отличие системного администратора от водителя такси?

> Обеспечивая надежную и бесперебойную работу инфраструктуры,
> сисадмин, как раз, и обеспечивает получение знаний в нужное нам время.

Точно так же как и водитель обеспечивает получение информации в нужное
потребителю время, поскольку если он не доедет до офиса, информацию он
не получит. (Мобильным интернет не следует вспоминать в данном случае,
поскольку это всего лишь пример, может быть 1001 причина по которой
информацию получить без визита в офис невозможно)

> Тем самым, сисадмин участвует в производстве продукта "информация".

...равно как и таксист

> Если, в следствие простоя, сотрудник, принимающий решение,
> получит информацию об изменении котрировок позже, хотя бы на 15 минут,
> фирма понесет убытки, потому как в нужное время не получила нужную информацию.

Аналогично, если сотрудник задержится в дороге хотя бы на 15 минут,
фирма понесет убытки

> Что может послужить причиной сбоя - заранее неизвестно.

На дороге то же самое

> Сисадмин должен предупредить возможные сбои.

...равно как и таксист тоже должен прогнозировать дорожную ситуацию,
следить за техническим состоянием своей машины и т.д.

> Восстанавливать систему из бекапов можно, конечно...
> Но время на восстановление будет потеряно...

Да, давайте в таком случае вообще ликвидируем в штатном расписании
должность "Художник-дизайнер", потому что ни один соискатель на эту
должность, имеющий достаточную квалификацию, не в состоянии
придерживаться правил внутреннего распорядка.

> Информация не будет доставлена ВОВРЕМЯ, следовательно, перейдет в категорию шума.

Уверяю вас, художник 10-15 минут подождет пока разворачивается система
из бекапа, это не принесет каких-либо существенных затрат. Этим людям
не требуются финансовые сводки.

> Виновным в сбое будет не сисадмин, а сотрудник, действия которого повлекли сбой,
> потому как в предложенной вами схеме именно такой режим и предусмотрен.

Нет, если при этом сотрудник порушит чужие системы - будет виноват
сисадмин, не обеспечивший внутреннюю безопасность при работе в ЛВС.

> Сотрудник имеет право порушить систему, а сисадмин должен быть готов, постфактум,
> последствия этого сбоя устранить, предварительно этот сбой обнаружить, классифицировать,
> и потом принять решение о методах восстановления.

Так оно и есть, поскольку по другому работа сотрудника на данной
конкретной должности невозможна.

> Любой бекап отстает от текущего состояния системы, следовательно гарантирует потерю данных,
> возникших в системе за время, прошедшее после бекапа.

По вашему лучше ничего вообще не делать? Тогда и восстанавливать не придется.

> Мне жаль, что Вы этого не понимаете, и еще более жаль, если именно от Вас зависит
> статус сисадмина в какой-нибудь, отдельно взятой сети.

Вы не понимаете одну простую вещь. НЕ УМЕЮТ программисты рисовать, не
умеют по определению. Те, которые умеют:

а) вероятность 99% - они фиговые программисты;
б) вероятность 1% - они гениальнейшие люди, которым я не в состоянии
платить адекватную зарплату

К пункту б) никого из мне известных людей с ходу причислить не могу.
Были люди, например, М.В.Ломоносов, А.П.Бородин, Леонардо да Винчи, но
они не были программистами, это все же достаточно новая профессия,
хотя суть дела такая же.

Точно так же невозможно требовать от хорошего художника, чтобы он
приходил на работу каждый день в 9 утра, невозможно требовать от него
чтобы он не сидел на форумах, не тусил всю ночь и не звонил в 16:00 на
следующий день со словами: "О, моя голова, она до сих пор болит". А
многие и не позвонят даже.

Невозможно от них требовать, чтобы они не ставили себе на компьютер
всякие разные программулины (читай - вирусы), не скачивали из
интернета MP3 и, более того, фильмы и не ходили по сайтам других
дизайнеров, сделанных целиком во флеше со всеми вытекающими отсюда
последствиями по расходу трафика.

Так вот, резюме. Задача системного администратора - сделать так, чтобы
несмотря на полный тупизм сотрудника в области ИТ, он все равно мог бы
работать, причем мог бы работать максимально эффективно. Более того,
задача сисадмина - выработать индивидуальную стратегию работы с ЭВМ и
сетью для каждого конкретного места в штатном расписании, учитывая
специфику работы сотрудника.

Очень хорошо, конечно, положить сеть всего офиса до выяснения
отношения в кабинете директора. А почему бы проще не поступить?
Заблокируйте замок на входной двери, удалите из его контроллера
информацию о всех карточках всех сотрудников? И пусть все стоят под
дверью, ждут начальство, а сотрудники, которых не пустили вместе с
"провинившимся" пусть высказывают ему свое недовольство в коридоре,
чтобы он имел возможность подумать о своем поведении.

> Производство информации - сложный технологический процесс,
> требующий специфических знаний и опыта.
> Организация этого процесса, тем более сложна, потому что на выходе получаем
> продукт, который сложно измерить и оценить.
> Но отсутствие которого начинаем ощущать так же, как и отсутствие воздуха,
> присутствие которого как-то не замечаем постоянно.

Это относится и к таксисту, и к сантехнику, и к парикмахеру. Если над
вами прорвет канализационную трубу, я не позавидую ни вам, ни вашим
серверам, ни вашему руководству. А между тем, зачем он нужен,
сантехник? В обычной-то жизни?

Все эти люди, как и сисадмины, делают одно общее полезное дело, и если
делают они его хорошо - их работа проходит совершенно незаметно. Но не
следует все же забывать, что требуются они в первую очередь для
организации работоспособности ДРУГИХ людей, непосредственно приносящих
прибыль компании.


P.S. Вообще-то мы действительно отклонились от обсуждения вопросов
технической стороны дела, т.е. как противодействовать скачиванию
MP3...

-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Среда, 11 Апрель 2007 года,
Nick Gavrikov писал(а) в сообщении: 

NG == Nick Gavrikov

Вы действительно на столько невнимательно читаете то, что пишется именно для вас ?

NG> Вы как системный администратор лишь помогаете ПОТРЕБИТЕЛЮ получить
NG> информацию, 
Нифига !!! Я ее доставляю непосредственно пред ясные очи потребителя.
В тот момент, когда она ему нужна (читать определение информации).
Если я доставлю знание о котировках в момент опубликования (4 часа ночи),
а потенциальный потребитель в это время спит, то это будет не информация.

NG> точно так же как и, скажем, водитель такси ему помогает
NG> доехать от дома до офиса.
Он его ДОВОЗИТ... Производя УСЛУГУ по транспортировке...
Пассажир сам руль не крутит, и педали не нажимает.
Очень конкретная услуга, без вариантов...
У нее есть измерения... Расстояние, срочность, 
время подачи к месту посадки и высадки...

По вашей идеологии, к подъезду нужно подавать два такси, на случай, 
если пассажир одно из них изгадит до невозможности применения...
А еще два должно круглосуточно дежурить за углом, на случай, если
пассажиру взбредет в голову что-либо, непредсказуемое заранее,
так же, как и непредсказуемо поведение вируса, который еще не опознается
антивирусами, но который уже подвесили в iframe на сайте с голой ж...

NG> В чем по вашему мнению
NG> принципиальное отличие системного администратора от водителя такси?
В том, что вы не позволите себе в такси гадить на пассажирское сидение,
а если позволите, к вам применят монтировку...
А на рабочее место администратора, которое распространяется на все оборудования сети,
включая и вашу рабочую станцию, и установленный на ней софт,
вы считаете позволительным гадить, аргументируя тем, что без вас, незаменимого,
фирма денег не заработает...

Может быть, не вас, конкретно, но в данном случае вы выступаете от имени того
сотрудника, которому 95% рабочего времени якобы можно пялиться на голую задницу.


NG> Уверяю вас, художник 10-15 минут подождет пока разворачивается система
NG> из бекапа, это не принесет каких-либо существенных затрат. Этим людям
NG> не требуются финансовые сводки.
А все остальные, которым нужно работать именно сейчас ?
Сисадмин должен обеспечить нормальную работу всем, включая этого "ху...".

NG> > Виновным в сбое будет не сисадмин, а сотрудник, действия которого повлекли сбой,
NG> > потому как в предложенной вами схеме именно такой режим и предусмотрен.
NG> 
NG> Нет, если при этом сотрудник порушит чужие системы - будет виноват
NG> сисадмин, не обеспечивший внутреннюю безопасность при работе в ЛВС.
Так вот, внутренняя безопасность ЛВС обеспечивается не быстрым устранением последствий,
а ПРЕДУПРЕЖДЕНИЕМ возникновения сбоев.
Самым надежным способом предупреждения является ограничение возможностей возникновения
этих самых сбоев.


NG> Вы не понимаете одну простую вещь. НЕ УМЕЮТ программисты рисовать, не
NG> умеют по определению. Те, которые умеют:
А вы ничего с пальцем не путаете ?
Программист, системный администратор и ИТ-руководитель, 
это вообще разные области деятельности.

NG> 
NG> Точно так же невозможно требовать от хорошего художника, чтобы он
NG> приходил на работу каждый день в 9 утра, невозможно требовать от него
NG> чтобы он не сидел на форумах, не тусил всю ночь и не звонил в 16:00 на
NG> следующий день со словами: "О, моя голова, она до сих пор болит". А
NG> многие и не позвонят даже.

Не нужно пропагандировать бардак, который у вас возведен на уровень религии.
Если бизнес основан на деятельности человека с непредсказуемым поведением,
то этот бизес весьма ненадежен.

Ваш художник-то в туалете после себя смывает, или вы позволяете ему гадить где попало,
нанимая штат смывальщиц, которые за ним бегают.


P.S.
В следующий раз потрудитесь скрыть мой почтовый адрес при цитировании.
Это является правилом хорошего тона в нашей рассылке.
Считайте, что это так же необходимо, как мыть руки перед едой.

P.P.S.
У нас слишком разные взгляды на вопрос, дальнейшее обсуждение 
ни к какому результату не приведет.

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Все прыгали - прыгнула и черепаха.
		-- Персидская пословица

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Wed, 11 Apr 2007 11:48:01 +0400
Nick Gavrikov wrote:

> Да, давайте в таком случае вообще ликвидируем в штатном
> расписании должность "Художник-дизайнер", потому что ни один
> соискатель на эту должность, имеющий достаточную квалификацию,
> не в состоянии придерживаться правил внутреннего распорядка.

И это тоже неверно. Дизайнера на корпоративный Web-сервер я
искал больше трёх месяцев. Сколько претендентов прошло, и не
упомнишь. Приходили и очень настырные девушки, явно бедствующие,
и довольно самостоятельные молодые люди. Один из них подарил мне
собственную книгу. Со всеми мы беседовали очень мягко, и после
затянувшейся паузы каждый из них признавал сам, что нашим
требованиям, к сожалению, не отвечает. Наконец, пришла девушка,
и с первого взгляда я понял, что вот она-то и будет работать. Я
не ошибся. Оснастили её так, как она пожелала. Ну, а компьютер
для дома был для неё подарком.
Сейчас сама себе хозяйка, владеет дизайнерским бюро. Коллеги по
старой памяти помогают ей.
Мне кажется, обсуждение уже выродилось, что Вы и признали.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 757 bytes --]

On Mon, Apr 09, 2007 at 11:16:27AM +0300, Maxim Britov wrote:

MB> У меня для самых любителей в rejik/rules/porno2/pcre:
MB> (adult|xxx|anal|porn|teen|fuck|tits|pussy|sex|girls|gay|dirty|tgp|strip|bitch|intim|swingers|gerl).*/.*\.(jpg|avi|swf|gif|png|wmv|ra|rm|mpg|mpeg)$
MB> Мне облегчает борьбу с ними. А странички без картинок это уже не порно :)

Глянь логи :) Они уже повадились именовать файлы как
\d+\.(wmv|mpeg|mpg|avi)

Разве что зарезать вообще все видео, но с картинками ты уже ничего
универсальным регекспом не сделаешь :(

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
АКСИОМА КАННА
 Если ничто другое не помогает - прочтите, наконец, инструкцию.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 765 bytes --]

On Tue, Apr 10, 2007 at 09:58:35AM +0400, Sergey S. Skulachenko wrote:

>> который редкостный разгильдяй, но деньги в контору тащит
SSS> Посмотрите на название листа рассылки. Под сотрудником мы
SSS> понимаем не кого угодно, а администратора любого из сервисов или
SSS> центральных ресурсов. Администратор-расп...й - это сапоги в
SSS> смятку. Не надо, обойдёмся.

Обучаю мотать треды. Для постоянных клиентов скидки. Вообще-то это лист
для сисадминов, а сотрудники, с которыми приходится бороться, отнюдь не
всегда админы, и тема была именно об этом.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Спасибо, конечно, но зачем вы мне предлагаете хаки?
		-- ldv in #8121

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Wed, 11 Apr 2007 13:21:42 +0400
Денис Смирнов wrote:

> Обучаю мотать треды. Для постоянных клиентов скидки.

Читайте тред, а спесь поумерьте. Я пока не вижу, что на
менторство Вы имеете основания.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1248 bytes --]

On Tue, Apr 10, 2007 at 01:31:35PM +0400, Sergey S. Skulachenko wrote:

SSS> Когда я работал в оборонном НИИ, директор нашего серийного
SSS> завода, старый грузин говорил: "Ребята, если в Вашем коллективе
SSS> завёлся незаменимый сотрудник, то первое, что надо сделать, это
SSS> немедленно уволить его". Безусловно, в значительной степени это
SSS> заводская точка зрения, где должно работать не собрание звёзд, а
SSS> неуклонно чёткая организация труда. Но мне эта формула
SSS> импонирует, и я считаю её универсальной.

Эта формула абсолютно верна. Только вот какая тонкость... скажем когда
речь идет о некоторых категориях сотрудников они _все_ будут требовать
себе некоторых преференций.

А задача сисадмина не облегчить себе жизнь, а обеспечить функционирование
IT-инфраструктуры предприятия, да ещё и так, чтобы пользователям это не
мешало. И если гендир скажет "воооот этим можно все", значит им можно все.
А задача сисадмина так исхитриться, чтобы при этом вот эти самые не смогли
навредить безопасности организации.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Шампунь Panteine-ProV Intel Inside с про-витамином P6 для
программистов.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 3717 bytes --]

On Tue, Apr 10, 2007 at 12:29:33PM +0300, Dmitriy L. Kruglikov wrote:

NG>> Сисадмин в 99% случаев фирме денег не приносит. 
DLK> Дважды глупость...
DLK> Бесперебойная работа системы дает возможность зарабатывать 
DLK> деньги остальным сотрудникам.
DLK> Внедрение новых технологий позволяет более эффективно работать 
DLK> остальным сотрудникам, то есть, деятельность подразделения ИТ
DLK> прибыль ПРИНОСИТ. И эту прибыль весьма эффективно можно считать.
DLK> Отдел ИТ уже давно относится к категории производственных служб.

К сведению -- сотрудники делятся на 4 группы:
 - те кто делают нечто продающееся;
 - те кто продают;
 - те кто руководят;
 - те кто создают инфраструктуру для первых трех. К ним относятся и
   уборщицы, и админы, и даже программисты в не-ITшных конторах;

Так вот деньги зарабатывают только 1-е и 2-е. Остальные сами по себе это
статья расходов. Это очень важно понимать.

Всем известно что security для организации очень важно. И ограничения
многие нужны и важны. Но принимает решение -- руководство. И если гендир
скажет что "доступ к порнухе быть дожен, а вот если данные бухгалтерии
утекут тебе голову открутим", то задача грамотного админа решить этот
конфликт интересов. При этом соответствующие методы, которые это
позволяют, известны.

NG>> Работа примерно такая же, по сути, как и у девочек, которые кофе варят :-)
DLK> Тогда и интеллект того же уровня... И отношение к работодателю...
DLK> Если работодатель не понимает, что высокоинтеллектуальный труд
DLK> требует определенного статуса и отношения, то ему самое место
DLK> на порносайтах.
DLK> С таким отношением у него будут работать пацаны, способные 
DLK> только переустанавливать Винду...
DLK> И то не долго, пока другого места себе не найдут...
DLK> Оглянитесь вокруг, для приличной конторы, сисадмин - сотрудник отдела ИТ,
DLK> должен иметь высшее техническое образование, опыт работы 3-5 лет минимум,
DLK> обширную эрудицию...
DLK> А вы его к девочкам приравниваете...

А требования к безопасникам часто еще повыше будут. А при этом они точно
такой же обслуживающий персонал, только с расширеными полномочиями.

Есть известное определение идеального админа -- это человек, которого
никто из сотрудников не узнает. Потому как не видели ни разу, все работает
:)

При условии что руководство идет на встречу все это организовать можно.

А наличие вообще выхода в интернет кроме как по белому списку с машин
бухгалтерии это либо несоответствие занимаемой должности, либо очень
глупое и жадное руководство. На первом же своем месте работы я
потребовал от руководства вынести бухов:

а) в отдельный сегмент сети с отдельным роутером;
б) этот роутер позволял соединяться только с Internet-шлюзом;
в) список серверов, на которые был доступ из бухгалтерии утверждался
генеральным директором;
г) предложил если бухи хотят фигней страдать, поставить им в комнате ещё
одну машинку, которая не будет подключена к корпоративной сети вообще, но
будет иметь доступ в Internet;

Первые 3 пункта были утверждены, 4-й не был -- там решили что бухам
некогда по интернету шариться :)

А у меня у самого локальный софт, который как-либо связан с деньгами живет
в отдельных образах VMWare. И бэкапить удобнее, и  безопасность повыше.
Аналогично никто не мешает поставить на рабочие машины виртуалки, которые
будут иметь доступ к Internet и внутри которых сотрудники творят что
хотят.

Любая проблема имеет решение, надо только захотеть ее решать :)

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
[...] Так что надо будет честно постараться наступить на эти грабли :]
		-- mike in #4340

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1880 bytes --]

On Tue, Apr 10, 2007 at 07:24:09PM +0400, Nick Gavrikov wrote:

>> Сисадмин - сотрудник... С правами и обязанностями...
>> И относиться к нему как-то иначе - глупость.
NG> Совершенно верно, точно так же как и генеральный директор - он тоже
NG> сотрудник фирмы, тоже с правами и обязанностями (не путайте пожалуйста
NG> директора с хозяином фирмы).

Причем точно также как и сисадмин, это сотрдуник хотя и с огромными
полномочиями, но по сути денег не зарабатывающий и поэтому также
относящийся к _обеспечению инфраструктуры бизнеса_, а никак не к тем кто
деньги делает.

А каких ему пинков достается бывает от инвесторов... :)

>> Отдел ИТ уже давно относится к категории производственных служб.
NG> Не представляю себе что именно системные администраторы производят :-/

Байты? :)

NG> Где я написал что у сисадмина интеллект такой же как и у девочки?
NG> Интеллект его существенно выше, что подтверждается существенно более
NG> высокой зарплатой и существенно более высокими требованиями к его
NG> образованию, эрудиции и т.п., как вы и писали ниже. Но работа у него
NG> точно такая же по сути своей: обеспечивать работникам комфортную
NG> работу. Не более того. Если системный администратор считает что он -
NG> Бог и лучше всех знает как кому работать на компьютере и в сети -
NG> гнать такого сисадмина нужно поганой метлой.

Вообще я скажу что "админ царь и бог в компании" очень распространенное
мнение у IT'шников. Сам этой болезнью переболел. Полное выздоровление
наступило тогда, когда передо мной стала именно таки задача "вот есть
деньги, теперь надо сделать из них больше денег, да ещё и не забывать при
этом что-то полезное для общества сотворить".

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
И с этим надо что-то фиксить.
		-- rider in #1772

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 769 bytes --]

On Tue, Apr 10, 2007 at 07:08:24PM +0300, Dmitriy L. Kruglikov wrote:

DLK> А производят они ИНФОРМАЦИЮ... 

В не IT-компаниях они ее очень редко производят. Их работа обычно
обеспечивать ее сохранность и оперативную доставку.

DLK> И отсутствие информации приносит убытков гораздо больше, 
DLK> чем сомнительная прибыль от сотрудника, просиживающего 
DLK> 95% рабочего времени на порносайтах.

Вопрос -- тебе завидно что какой-то сотрудник может зарабатывать много для
фирмы и при этом пол дня развлекаться, или просто лень поставить ему
второй компьютер?

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Мда.. есть такое поле в RPM... Packager ;-)
		-- rider in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 2363 bytes --]

On Tue, Apr 10, 2007 at 06:55:09PM +0300, Serge Polkovnikov wrote:
>> Понятно, что все работают в одной команде, без какого-то
>> одного звена весь механизм будет работать плохо или не
>> будет работать вовсе. Но все же непосредственно денег
>> фирме сисадмины НЕ ПРИНОСЯТ.
SP> Следуя вашей логике непосредственно деньги фирме приносят 
SP> только инкассаторы и кассиры...

Ее реально приносят продавцы, и те кто делают продукт. Остальные (включая
кассиров, инкассаторов и руководителей всех разновидностей) помогают им
выполнять эту работу.

>> Главная задача сисадмина - ПОМОГАТЬ другим работникам
>> зарабатывать деньги.
SP> Всегда думал, что главная задача системного администратора - 
SP> обслуживать  систему. Другое дело как эта система 
SP> построена. Но если каждый перец будет считать себя "выше" 
SP> системы, то непонятно для чего эта система вообще нужна...
SP> ПС: Помогать должны - помошники, считать деньги - кассиры, 
SP> оформлять договора - юристы, мыть пол - технички и тд.

Понимаешь в чем дело... Вообще-то в любой компании есть жесткая иерархия.
А именно:

1 -- клиент. Вот он и является руководителем всей компании. Это тот, ради
кого она вообще существует, и без кого не имеет никакого смысла. От него
зависит будет ли компания лидером рынка, или загнется вскоре. Все для
него, все ради него.

2 -- те кто производят. Это те, кто создает товар или услугу, оказываемую
клиенту.

3 -- те кто продает. Во многих компаниях кажется что это переставлено
местами с предыдущим пунктом, но на самом деле это не так, просто
продаваемый товар может быть, например, не товаром а брендом. И тогда
именно те кто формируют бренд и есть сами что ни на есть производители :)

4 -- руководящий состав. Это люди которые выбирают направление движения.
От них зависит пытаемся ли мы продать снег эскимосам, или нет, и
соответственно крупные выигрыши и просчеты на рынке.

5 -- обслуживающий персонал.

Это же просто :) Это то, до чего пока руководитель компании не дойдет сам
(или не прочитает где) его компания обречена на провал.

В этой схеме можно разве что спорить о порядке 2 и 3 пункта. Остальное это
простая логика :)

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
 * gvy не настолько тормоз, как иногда кажется ;) 


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 2490 bytes --]

On Tue, Apr 10, 2007 at 08:21:11PM +0400, Nick Gavrikov wrote:

NG> в) юристы, ведущие договора и судящиеся с клиентами, которые не хотят
NG> условия договора выполнять.

И даже с этим уже можно поспорить. Потому как это все обеспечение продажи.

NG> В частности, кассиры и инкассаторы попадают под пункт б.

Не-а. Нифига. Собственно добавленную стоимость (то на чем живет фирма)
создают люди какими-либо своими способностями. Простая проверка -- можно
ли этого сотрудника заменить машиной. Эти две категории можно, они всего
лишь обеспечивают движение денежных среддств. В той же мере в которой
сисадмины обеспечивают движение байтиков.

NG> Задача всех остальных работников - обеспечить выполнение своих работ
NG> этим трем группам.

Обеспечить выполнение своих работ _всем остальным_ группам сотрудников.
Поверь, если уборщица не будет убирать рабочее место админа -- он
обидится, и сильно. Вся группа обеспечения вынуждена обеспечивать не
только остальную фирму, но и себя. Кстати оттуда в основном растут ноги у
лимита на максимальный размер жизнеспособной группы работающей над одной
задачи -- в какой-то момент обслуживающий персонал обслуживает сам себя и
начинает расти в геометрической прогрессии -- любая бюрократия тому
хороший пример :)

А вообще эта 5-и звенная схема которую я расписал более универсальна.
Примерно такое же деление происходит и внутри команд.

Берем команду программеров, у нас точно также есть:

1. клиент (сама фирма);
2. те кто производит (собственно кодеры);
3. те кто "продают" (чаще всего это руководитель группы), люди которые
пытаются понять что фирма на самом деле хочет от этой команды, и
доказывают руководству что то что они написали это круто а не бредятина
кривая, как они думают;
4. руководители (архитекторы и менеджеры);
5. группа обеспечения (например команда занимающаяся документированием
кода, тестеры, QA);

И точно также иногда кажется что в серьезном проекте QA должен быть "самым
главным". А вот нифига, несмотря на то что они могут иметь полномочия
вплоть до "завернуть весь проект и лишить всех остальных премии", это
именно обслуживающий проект персонал. И точно также должны понимать что их
задача не построить всех по стойке смирно, а выпустить надежный релиз.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
так... следующий блок бесперебойного пищания надо покупать с USB.
		-- mike in #5211


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Среда, 11 Апрель 2007 года,
Денис Смирнов писал(а) в сообщении: 

 == Денис Смирнов

> On Tue, Apr 10, 2007 at 07:08:24PM +0300, Dmitriy L. Kruglikov wrote:
> 
> DLK> А производят они ИНФОРМАЦИЮ... 
> 
> В не IT-компаниях они ее очень редко производят. Их работа обычно
> обеспечивать ее сохранность и оперативную доставку.
Вот это и есть процесс производства информации...
Сбор, обработка и доставка _знаний_ с тем, чтобы потенциальный потребитель
имел возможность получить нужные ему знания в нужной форме, в нужное время.

Можно пользователю и HTML а чистом виде показать, там знания содержатся,
только в неудобочитаемой форме.
Можно ему в самом красивом виде показать, но уже после того, как денежки уплыли...
В любом случае эти знания не нужны, так как перестали быть информацией.

Не путайте теплое и мягкое...
Тут профессионалы, или где ?!??!?!

> 
> DLK> И отсутствие информации приносит убытков гораздо больше, 
> DLK> чем сомнительная прибыль от сотрудника, просиживающего 
> DLK> 95% рабочего времени на порносайтах.
> 
> Вопрос -- тебе завидно что какой-то сотрудник может зарабатывать много для
> фирмы и при этом пол дня развлекаться, или просто лень поставить ему
> второй компьютер?
> 
Мне не завидно... Мне пофиг, чем он занимается до тех пор,
пока его занятия не входят в область моей компетенции.

Я сам могу целыми днями заниматься тем, что мне интересно, 
но фирме денег не приносит.

Потому как основная работа сделана, сеть работает, 
пользователи обеспечены возможностью выполнять свою работу.

Но мои занятия на рабочем месте не несут угрозу работоспособности
инфраструктуры.
Этого я не позволяю себе, в первую очередь, и всем остальным,
в такой же точно мере, как и себе.

Пусть вышеупомянутый "художник" принесет с собой 256 журналов
с порнухой, и смотрит их, задрав ноги на стол...
Системе это угрозы не несет...
Пусть поставят ему DVD-плеер, телевизор на всю стену и кучу кассет...
Меня это не интересует...

Пусть поставят отдельный комп и организуют ему
отдельный канал, я ему настрою все, поставлю Linux,
и пусть серфит себе в свое эротическое удовольствие...

Это все будет реализацией политики компании.
Это все не будет нести угрозы работоспособности сети в целом.

Но пока рабочий компьютер пользователя подключен к общей сети 
и сёрфинг по порнухе может нести потенциальную угрозу сети 
и может остановить работу фирмы,
такой пользователь должен быть ограничен в возможности принести вред.
Акцентирую внимание особо_сексуально_озабоченных:
НЕ смотреть порнуху, а ПРИНОСИТЬ ВРЕД.

В любом случае, финансирование отдельного рабочего места
будет проводиться не из моего кармана, и уж явно не партизанскими методами,
которыми сегодня пользователи пытаются прорваться через запреты и заслоны.

Надеюсь, теперь все понятно, и можно эту тему закрыть, к некоторой фене ???

Кстати, кто-нибудь еще помнит, как определить тип содержимого файла,
без полного его скачивания, таким образом, чтобы это можно было применить
в наших proxy-серверах ?



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
У нас нет пpогpаммного обеспечения, зато есть беспечное
пpогpаммиpование.

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 6026 bytes --]

On Wed, Apr 11, 2007 at 11:15:38AM +0300, Dmitriy L. Kruglikov wrote:

DLK> По вашей идеологии, к подъезду нужно подавать два такси, на случай, 
DLK> если пассажир одно из них изгадит до невозможности применения...
DLK> А еще два должно круглосуточно дежурить за углом, на случай, если
DLK> пассажиру взбредет в голову что-либо, непредсказуемое заранее,
DLK> так же, как и непредсказуемо поведение вируса, который еще не опознается
DLK> антивирусами, но который уже подвесили в iframe на сайте с голой ж...

Нет. Это означает что если курящему директору крупной компании подадут
машину без пепельницы, он открутит кому-то голову, а по дороге бычки может
и на пол кидать. Потому что безопасники открутят голову водителю, если тот
забудет предварительно заблокировать стеклоподъемники в закрытом
состоянии.

А перевозка VIP-персон на нескольких машинах это вообще обычная практика,
в случае каких-либо проблем с одной из машин (за что техникам открутят
головы скорее всего) он всегда может пересесть в другую (а безопасники в
этот момент заколебутся развертывать перед этим над этими машинами шатер).

Кстати курьерская служба и штат водителей это по сути полный аналог IT
инфраструктуры по своей логике и значимости.

NG>> В чем по вашему мнению
NG>> принципиальное отличие системного администратора от водителя такси?
DLK> В том, что вы не позволите себе в такси гадить на пассажирское сидение,
DLK> а если позволите, к вам применят монтировку...
DLK> А на рабочее место администратора, которое распространяется на все оборудования сети,
DLK> включая и вашу рабочую станцию, и установленный на ней софт,
DLK> вы считаете позволительным гадить, аргументируя тем, что без вас, незаменимого,
DLK> фирма денег не заработает...

Ошибочка. Рабочие места сотрудников это рабочие места сотрудников. И админ
к ним имеет ровно такое же отношение как и уборщица. А вот если сотрудник
притронулся к коммутатору хотя бы (не говоря уж о сервере), то тут да, это
для него скорее всего плохо кончится.

DLK> Может быть, не вас, конкретно, но в данном случае вы выступаете от имени того
DLK> сотрудника, которому 95% рабочего времени якобы можно пялиться на голую задницу.

Если он при этом будет приносить моему бизнесу десятки килобаксов, он
вправе делать все, что не противоречит законодательству РФ, и не вредит
никак другим людям, в том числе сотрудникам фирмы. То бишь если он будет
этим заниматься в своем кабинете, и не провоцировать других сотрудников на
такое же поведение -- это его личное право.

До тех пор пока сотрудник приносит деньги, и при этом не мешает остальным
-- меня не волнует что он делает. А если админ неспособен оградить сеть от
действий одного сотрудника, то он скорее всего будет уволен в тот же день
как это выяснится. И если он ко мне не придет с докладной на тему "воооон
тот порнуху качает, зарезать али от сети изолировать?" тоже.

NG>> Уверяю вас, художник 10-15 минут подождет пока разворачивается система
NG>> из бекапа, это не принесет каких-либо существенных затрат. Этим людям
NG>> не требуются финансовые сводки.
DLK> А все остальные, которым нужно работать именно сейчас ?
DLK> Сисадмин должен обеспечить нормальную работу всем, включая этого "ху...".

Если хоть один сотрудник своими действиями может навердить
работоспособности сетевой инфраструктуры в целом, то я даже не знаю о чем
уж тот говорить. Это означает либо что админ несоответствует занимаемой
должности, либо что руководство игнорирует его запросы на необходимое ПО и
оборудование. И кто-то из этих двоих должен покинуть организацию
немедленно.

NG> >> Виновным в сбое будет не сисадмин, а сотрудник, действия которого повлекли сбой,
NG> >> потому как в предложенной вами схеме именно такой режим и предусмотрен.
NG>> Нет, если при этом сотрудник порушит чужие системы - будет виноват
NG>> сисадмин, не обеспечивший внутреннюю безопасность при работе в ЛВС.
DLK> Так вот, внутренняя безопасность ЛВС обеспечивается не быстрым устранением последствий,
DLK> а ПРЕДУПРЕЖДЕНИЕМ возникновения сбоев.
DLK> Самым надежным способом предупреждения является ограничение возможностей возникновения
DLK> этих самых сбоев.

Разумеется. Но ЛВС котоую можно порушить скомпрометировав один
единственный компьютер это детский сад.

NG>> Точно так же невозможно требовать от хорошего художника, чтобы он
NG>> приходил на работу каждый день в 9 утра, невозможно требовать от него
NG>> чтобы он не сидел на форумах, не тусил всю ночь и не звонил в 16:00 на
NG>> следующий день со словами: "О, моя голова, она до сих пор болит". А
NG>> многие и не позвонят даже.
DLK> Не нужно пропагандировать бардак, который у вас возведен на уровень религии.
DLK> Если бизнес основан на деятельности человека с непредсказуемым поведением,
DLK> то этот бизес весьма ненадежен.

Закон больших чисел, однако, работает.

DLK> Ваш художник-то в туалете после себя смывает, или вы позволяете ему гадить где попало,
DLK> нанимая штат смывальщиц, которые за ним бегают.

Если этот художник будет рисовать картины ценой в миллион долларов за
штуку -- таки найму. Правда скорее всего найму инженеров, который смогут
сделать  автосмыв в сортире, это практичнее.

Дмитрий, неужто ты не согласен с тем что возможна организация в компании
рабочих мест без каких-либо ограничений, так чтобы это не подвергало
опасности остальную инфраструктуру? А вот есть ли в этом необходимость или
нет для данного сотрудника -- решать его прямому руководителю и только.

Да, по-умолчанию запрещено вообще все. Но если руководство согласно что
данный сотрудник имеет право делать то-то и то-то, задача IT отдела
реализовать это без негативных последствий. В их обязанности входит
сделать анализ рисков и сформировать несколько вариантов решения проблемы,
и положить это все на стол руководителю данного сотрудника.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Documentation - The worst part of programming.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 4086 bytes --]

On Wed, Apr 11, 2007 at 01:34:46PM +0300, Dmitriy L. Kruglikov wrote:

>> В не IT-компаниях они ее очень редко производят. Их работа обычно
>> обеспечивать ее сохранность и оперативную доставку.
DLK> Вот это и есть процесс производства информации...
DLK> Сбор, обработка и доставка _знаний_ с тем, чтобы потенциальный потребитель
DLK> имел возможность получить нужные ему знания в нужной форме, в нужное время.
DLK> Можно пользователю и HTML а чистом виде показать, там знания содержатся,
DLK> только в неудобочитаемой форме.
DLK> Можно ему в самом красивом виде показать, но уже после того, как денежки уплыли...
DLK> В любом случае эти знания не нужны, так как перестали быть информацией.
DLK> Не путайте теплое и мягкое...
DLK> Тут профессионалы, или где ?!??!?!

Собственно этот кусок это терминологический спор, я с тобой не согласен по
терминологии но полностью согласен по сути, так что можем закрыть это,
если не возражаешь.

>> Вопрос -- тебе завидно что какой-то сотрудник может зарабатывать много для
>> фирмы и при этом пол дня развлекаться, или просто лень поставить ему
>> второй компьютер?

[skip]

DLK> Пусть поставят отдельный комп и организуют ему
DLK> отдельный канал, я ему настрою все, поставлю Linux,
DLK> и пусть серфит себе в свое эротическое удовольствие...

Собственно в обязанности IT'шников и входит при появлении такой ситуации
прийти к руководству и сказать "у нас есть два варианта -- либо вы ему
отрываете голову за это, либо мы отключаем его компьютер нафиг от ЛВС,
либо мы ставим ему второй компьютер где он пусть творит что хочет, до
получения от вас ответа вся ответственность за любые проблемы связаные с
этим фактом нарушения правил использования ПЭВМ будут лежать на вас (как
непосредственном руководителе) и на нем".

DLK> Это все будет реализацией политики компании.
DLK> Это все не будет нести угрозы работоспособности сети в целом.

Разумеется. Вот задача IT и предложить решение, при котором будут и волки
сыты и овцы целы. А дальше уж руководство пусть думает -- покупать им
второй комп для этого любителя страдать фигней, или просто дать ему по
голове. Это уже решение в их компетенции, но никак не в компетенции
IT'шников.

DLK> Но пока рабочий компьютер пользователя подключен к общей сети 
DLK> и сёрфинг по порнухе может нести потенциальную угрозу сети 
DLK> и может остановить работу фирмы,
DLK> такой пользователь должен быть ограничен в возможности принести вред.
DLK> Акцентирую внимание особо_сексуально_озабоченных:
DLK> НЕ смотреть порнуху, а ПРИНОСИТЬ ВРЕД.

Безувсловно. Поэтому IT'шник до покупки второго компьютера _обязан_ или
отключить товарища от ЛВС, или перекрыть ему доступ к порнухе.

DLK> В любом случае, финансирование отдельного рабочего места
DLK> будет проводиться не из моего кармана, и уж явно не партизанскими методами,
DLK> которыми сегодня пользователи пытаются прорваться через запреты и заслоны.

Безусловно, это решение должен принимать руководитель этого человека, и
фанансируется это из средств соответствующего отдела, или уж он сам пусть
хоть из своего кармана финансирует -- он руководитель, пущай это будет его
проблема. А уж заменять сотрудника, строить его, или финансировать его
развлечения (а потом объясняться перед своим начальством) это уже его
работа, пущай он её и делает.

DLK> Надеюсь, теперь все понятно, и можно эту тему закрыть, к некоторой фене ???

Собственно весь флейм был между "пользователь не должен создавать угроз" и
"пользователь может творить что угодно, а задача IT'шников чтобы это не
создавало угроз, минимизируя ограничения для пользователей (ежу ясно что
вообще без ограничений никак)".

DLK> Кстати, кто-нибудь еще помнит, как определить тип содержимого файла,
DLK> без полного его скачивания, таким образом, чтобы это можно было применить
DLK> в наших proxy-серверах ?

:)

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
> +10
Бывает только +1... разве что у тебя такая шиза %)
		-- mike in smoke-room@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Wed, 11 Apr 2007 13:34:46 +0300
Dmitriy L. Kruglikov wrote:

> В любом случае, финансирование отдельного рабочего места
> будет проводиться не из моего кармана, и уж явно не
> партизанскими методами, которыми сегодня пользователи пытаются
> прорваться через запреты и заслоны.

Здесь изложено очень важное положение, которое следует
осознавать, когда, например, появляются желающие обсудить
вопрос об удалённом доступе к сети. Для особо ценного
администратора можно и оптику бросить до дома, установить
маршрутизатор, управляемый из центра. Иными словами принять все
стандартные меры безопасности, реализуемые в организации, при
подключении, скажем, небольшого отделения на 6-8 машин. Однако,
на мой взгляд, это всё равно дыра. Есть ещё понятие
ограниченного круга лиц, либо неограниченного. Иными словами,
никогда не ясно, кто сидит за клавиатурой - админ или он же с
ножом, приставленном к горлу. В том же отделении иная ситуация.
Там есть охранник, и следовательно круг лиц теоретически всегда
ограничен, либо они устанавливаемы.
Другое дело, когда удалённым доступом озадачился уже упомянутый
всуе Максим Отставнов. Ему плевать на шифрованные туннели и
прочие мешающие жить обстоятельства. Ему хочется, и это главное.
Поэтому он установит модем на своей рабочей станции и будет
ломиться, безопасность его не колышет.
Кстати у нас действовала придуманная мною формула:
обнаружение на рабочем месте пользователя модема равносильно
зафиксированной попытке взлома сети. Уверяю, вышучивать никто
не брался.   
> 
> Надеюсь, теперь все понятно, и можно эту тему закрыть, к
> некоторой фене ???

Как бы хотелось, честно. Именно к это самой фене.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Nick Gavrikov]

11.04.07, Dmitriy L. Kruglikov написал(а):

Между тем, разговор все продолжается :-)

> > DLK> А производят они ИНФОРМАЦИЮ...
> >
> > В не IT-компаниях они ее очень редко производят. Их работа обычно
> > обеспечивать ее сохранность и оперативную доставку.
> Вот это и есть процесс производства информации...
> Сбор, обработка и доставка _знаний_ с тем, чтобы потенциальный потребитель
> имел возможность получить нужные ему знания в нужной форме, в нужное время.

В данном случае, доставка подразумевает собой ПУБЛИКАЦИЮ - и все.
Каким образом пользователи этой информации будут ее забирать -
ПРОИЗВОДИТЕЛЯ информации (т.е., например, информационное агенство) не
колышит. Его даже вообще не интересует, заберут ли данный конкретный
бит информации и если заберут - то сколько раз и кто.

После того как продукт ИЗГОТОВЛЕН (т.е. информация опубликована)
вторично его доизготовить уже невозможно. Дальше продукт можно
ДОСТАВЛЯТЬ и УПОТРЕБЛЯТЬ. Все.

> Можно пользователю и HTML а чистом виде показать, там знания содержатся,
> только в неудобочитаемой форме.

Это уже вопрос употребления продукта, а не вопрос его производства.

> Можно ему в самом красивом виде показать, но уже после того, как денежки уплыли...
> В любом случае эти знания не нужны, так как перестали быть информацией.

Можно и хлеб пользователю черствый показать, но от этого он не
перестанет быть хлебом. Если пользователь не успел этот хлеб съесть
вовремя - к производителю никаких претензий быть не может. В конце
концов, из хлеба можно и сухари сделать.

И информация, даже после того как она потеряла свою сиюминутную
актуальность, не перестает быть информацией. В противном случае как
минимум не было бы такой науки как История со всеми ее гигантскими
подразделами. Информацию тоже можно по разному употреблять.

> Но мои занятия на рабочем месте не несут угрозу работоспособности
> инфраструктуры.
> Этого я не позволяю себе, в первую очередь, и всем остальным,
> в такой же точно мере, как и себе.

Не позволять себе в ТОЧНО такой же мере как и другим - совершенно не
правильный подход. К сожалению, невозможно сделать так, чтобы у
администратора не было рутовского пароля. Таким образом, запретить
что-то делать себе иначе чем административными мерами, невозможно.
Можно запретить руту ходить на порносайты, но невозможно запретить ему
этот самый запрет снять.

Что касается других пользователей - извините, тут дела обстоят
совершенно по другому. Им запрещать можно - и нужно. Причем не только
доступ из/в интернет, но и вообще доступ по локальной сети вцелом.
Если ресурс А не нужен пользователю Б для работы - он доступа туда
иметь НЕ ДОЛЖЕН не потому, что он может вирусов нахватать и они убьют
А, а просто потому что не должен и все. Гораздо опаснее вирусов
недобросовестные сотрудники.

> Пусть вышеупомянутый "художник" принесет с собой 256 журналов
> с порнухой, и смотрит их, задрав ноги на стол...
> Системе это угрозы не несет...

Угрозу системе вообще-то и порносайты не особо несут. Гораздо большую
угрозу системе несут программы, которые "художник" скачал неизвестно
откуда и поставил на своем компе - хотя бы просто с целью посмотреть
на них. Вот чего лично я опасаюсь в первую очередь. А ставить эти
программы на отдельном компьютере невозможно, поскольку они же ему для
работы нужны а не для... расслабления :-)

> Но пока рабочий компьютер пользователя подключен к общей сети
> и сёрфинг по порнухе может нести потенциальную угрозу сети
> и может остановить работу фирмы,
> такой пользователь должен быть ограничен в возможности принести вред.

Ничего подобного. Любой пользователь должен быть В ПРИНЦИПЕ ограничен
в возможности принести вред. ЛЮБОЙ пользователь. НЕ ЗАВИСИМО от того,
серфит он по порнухе или нет. И ограничения должны накладываться в
соответствии со спецификой работы каждого конкретного сотрудника.

> Кстати, кто-нибудь еще помнит, как определить тип содержимого файла,
> без полного его скачивания, таким образом, чтобы это можно было применить
> в наших proxy-серверах ?

К сожалению, проблема стеганографии при наших мощностях не разрешима.
По этому достоверно определить тип содержимого файла невозможно. Я
лично, кроме фильтрации по имени.расширению, само собой, отправляю
просто все файлы размером больше 3 мегобайт на постмодерацию. С
дальнейшим административным воздействием на человека, если он скачал
что-то запрещенное, а именно компенсацией затрат по трафику в
десятикратном размере из зарплаты. Но это, конечно, применимо только к
маленькому офису.

-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Среда, 11 Апрель 2007 года,
Nick Gavrikov писал(а) в сообщении: 

NG == Nick Gavrikov

NG> 11.04.07, Dmitriy L. Kruglikov написал(а):
NG> 
NG> Между тем, разговор все продолжается :-)
Последний раз отвечаю в эту ветку и, вероятно, лично Вам.

NG> В данном случае, доставка подразумевает собой ПУБЛИКАЦИЮ - и все.
NG> Каким образом пользователи этой информации будут ее забирать -
NG> ПРОИЗВОДИТЕЛЯ информации (т.е., например, информационное агенство) не
NG> колышит. Его даже вообще не интересует, заберут ли данный конкретный
NG> бит информации и если заберут - то сколько раз и кто.
В данном случае Вы, в который раз, путаете теплое с мягким...
Информационное агентство опубликовало не информацию, а некоторые _знания_.
Информацией это станет только тогда, когда будет доставлено по вашему запросу,
в нужное вам время и в удобном для вас виде.
Читайте учебник, в конце концов...
Это базовое понятие науки "Информатика"...
Без понимания этого, с вами говорить на технические темы 
в рассылке для системных администраторов - б-е-с-п-о-л-е-з-н-о.


NG> Угрозу системе вообще-то и порносайты не особо несут.
Вы это .... Хоть популярную литературу почитайте,
как в скрытых фреймах размещаются трояны, особенно из
семейства загрузчиков...
Откуда и как на компьютерах появляются addware...
Хоть немного поднимите свой технический уровень для понимания того,
что и как происходит в Интеренте...

А то смеяться будут пионэры из школьного кружка юных хакеров...

А программы на рабочую станцию должен ставить администратор сети, и только...
Если у вас этим занимается каждый пользователь, по собственному усмотрению,
то мне жалко и вашу сеть, и вашего сисадмина. 
Ну и немного директора с хозяином...
Ну, недалекие люди... Их нужно пожалеть...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Истинно щедр тот, кто дает из того, что принадлежит ему самому.
	-- Сенека Младший

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1443 bytes --]

On Wed, Apr 11, 2007 at 03:16:03PM +0400, Sergey S. Skulachenko wrote:

SSS> подключении, скажем, небольшого отделения на 6-8 машин. Однако,
SSS> на мой взгляд, это всё равно дыра. Есть ещё понятие
SSS> ограниченного круга лиц, либо неограниченного. Иными словами,
SSS> никогда не ясно, кто сидит за клавиатурой - админ или он же с
SSS> ножом, приставленном к горлу. В том же отделении иная ситуация.
SSS> Там есть охранник, и следовательно круг лиц теоретически всегда
SSS> ограничен, либо они устанавливаемы.

Я уже говорил о том, что доступ к сети необязательно неограниченый.
Разумеется ты этого читать не стал, и продолжаешь считать что доступ к
сети всегда неограниченый. То что доступ может быть к отдельным
ресурсам в ести ты упорно не хочешь замечать.

SSS> Кстати у нас действовала придуманная мною формула:
SSS> обнаружение на рабочем месте пользователя модема равносильно
SSS> зафиксированной попытке взлома сети. Уверяю, вышучивать никто
SSS> не брался.   

А это разумно. Без разрешения безопасников пользователь не имеет права
прикоснуться ни к одному разъему на корпусе, а когда я проходил обучение
на эту тему нам вообще рекомендовали USB клеем заливать, если не ставить
ПО которое блокирует подобное хамство.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Хочешь стать бесконечно значительным, раздели себя на ноль.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

Добрый день.

Могу поделиться своим опытом в организации работы и безопасности в
частности в небольшой организации. Правда тут есть некоторые
немаловажные подробности, которые невозможно реализовать чисто со
стороны IT, но может быть послушать будет интересно, а может быть
кто-нибудь внесет и какие-нибудь дельные усовершенствования.

В компании есть три территориально разнесенных офиса:

Офис 1. Здесь работает отдел продаж, стоит выставочный стенд с
товарами, которые продают, сюда приходят покупатели, здесь сидят
менеджеры занимающиеся непосредственно общением с клиентами. В этом
офисе трафик не считают, никаких специальных ограничений менеджерам на
скачивание из интернета не вводится. Все менеджеры работают за
проценты, соотв. они могут работать хоть один день в неделю - если они
при этом получат достаточное количество заказов никого не будет
волновать что именно они делают. С другой стороны, они понимают все
же, что если они убьют свой комп - работать они не смогут и возможно
сорвется хороший клиент, так что специально они и не гадят.

Здесь действует правило: любой винчестер может быть переформатирован
в любое время. Все работают с централизованной базой. Заказы, с
которыми работа не ведется дольше месяца, отправляются в архив, куда
менеджеры доступ не имеют. Удалять информацию по заказу менеджеры не
могут. Только добавлять новое (либо с нуля добавлять новый заказ, либо
на основании уже существующего заказа - это нужно если они хотят
что-то подправить).

Оплаченные заказы соответствующим образом помечаются, менеджеры
выписывают на них первичные бух. документы (собственно, документы сами
выписываются на основании подготовленного заказа)

Типовые договора менеджеры заключают самостоятельно по заранее
утвержденной схеме. Если клиент придумал какой-то новый пункт
договора, который еще не обговаривали, кусок договора отправляется по
почте или по телефону юристам, после чего согласовывается и в
дальнейшем вносится в типовую схему.

Офис 2. Бухгалтерия, юр.отдел.

Работают с той же базой данных что и менеджеры. С их рабочих мест
доступ к базе осуществляется через интернет по шифрованному протоколу.
На компьютерах стоит почта, доступ по IMAP4/SMTP разрешен только до
сервера. Письма с аттачами идут в /dev/null. Никакого интернета на их
компьютерах нет.

В интернет в случае надобности ходят с консоли их сервера под гостевым
паролем, где крутятся иксы и firefox. Доступа с сервера на их
компьютеры для гостя нет. При необходимости пересылки текстовой
информации, они могут послать себе письмо с этого компьютера на свою
рабочую машину.

Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный
сервис-центр.

Хитрая система: локальные компьютеры доступа к интернету напрямую не
имеют. Если им нужен интернет - они включают на своем компе X-сервер,
после чего ходят в интернет с удаленных терминалов с сервера. (Криво
сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на
свою рабочую машину - они копируют данные в определенную папку,
которая в свою очередь видна с их компов через FTP.

Папка по FTP доступна только для чтения, т.е. "вынести" информацию из
офиса через интернет они не могут - только получить. Почему именно
FTP, а не самба - не помню уже... что-то с правами доступа там не
получалось...

Если консоль не нужна одновременно нескольким людям, кто-то один может
работать на локальной консоли сервера. Все же иксы по сети виндошные -
это не так удобно как настоящая консоль. В общем, кто как. Есть люди
которые любят свою мышу, свою клаву, свой стул и свой стол и никуда
переться не хотят чтобы почту проверить.

Есть некоторые тонкости организации безопасности канала по которому
работают иксы, пришлось немного KDM подпатчить. Если интересуют
подробности - расскажу.

На сервере имеется папка для бекапа, куда ежедневно все сотрудники
уходя с рабочего места обязаны клать исходный код проекта, над которым
они сегодня работали. В 5 утра включается скрипт, который проверяет,
если в папке должно лежать и ничего не лежит - идет пинок с
дальнейшими административными взысканиями в случае повторения в
размере оплаты одного рабочего дня.

Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на
чтение, таким образом испортить они ничего не могут. Бекапы выборочно
проверяются на предмет, не лежит ли в них мусор вместо работы. В
случае выявления подобных проделок - человек увольняется в 24 часа без
зарплаты (пока что только один раз было такое).

Доступ к чужим бекапам имеет только начальство. Если нужно передать
что-либо с компьютера разработчика наружу (например, схемы или готовые
программы) - это делается через начальство. Если несколько человек
ведут работу над одним проектом и им необходимо регулярно обмениваться
данными - они могут делать это, опять же без возможности выноса данных
за пределы рабочей группы.

USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
них нет. Все флешки, диски и прочая фигня проносятся только через
начальство.

Во всех офисах ведется видеонаблюдение.

Вот, вкратце... Кажется ничего не забыл. Comments please.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

11.04.07, Nick Gavrikov написал(а):

> Могу поделиться своим опытом в организации работы и безопасности в
> частности в небольшой организации.

Ах да, вот еще что, забыл. Удаленная/домашняя работа для разработчиков
запрещена. Дома отдыхать нужно а не работать. Если дома человек
отдыхать не будет - он будет спать на рабочем месте, что совершенно
недопустимо.

Где и как работают менеджеры никого не колышит. Собственно, они
довольно часто ездят к заказчикам, на переговоры и т.д., по этому
контролировать их нахождение на рабочем месте глупо. Да и зарплата у
них по другому считается.

Программисты и инженеры ездят к заказчикам только в исключительных
случаях. Это во-первых, слишком дорого, во-вторых, нечего заказчикам
позволять засирать им мозги, как они обожают это делать. Все общение
менеджеров и заказчиков с разработчиками, если оно необходимо, ведется
в по электронной почте в режиме off-line.

ICQ у разработчиков крайне не приветствуется, поскольку очень
отвлекает от работы.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Wed, 11 Apr 2007 17:42:08 +0400
Денис Смирнов wrote:

> Я уже говорил о том, что доступ к сети необязательно
> неограниченый. Разумеется ты этого читать не стал, и
> продолжаешь считать что доступ к сети всегда неограниченый. То
> что доступ может быть к отдельным ресурсам в ести ты упорно не
> хочешь замечать.

С чего ТЫ это взял, откуда это следует? Ещё раз: поубавь спесь.
Я и другие участвуют в обсуждении чисто добровольно. А с хамами
нет резона общаться. С какой стати ТЫ присвоил себе право
изрекать прописные истины, усиленно подчёркивая, что другим они
неизвестны? 

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1549 bytes --]

On Wed, Apr 11, 2007 at 06:13:28PM +0400, Sergey S. Skulachenko wrote:

>> Я уже говорил о том, что доступ к сети необязательно
>> неограниченый. Разумеется ты этого читать не стал, и
>> продолжаешь считать что доступ к сети всегда неограниченый. То
>> что доступ может быть к отдельным ресурсам в ести ты упорно не
>> хочешь замечать.
SSS> С чего ТЫ это взял, откуда это следует? Ещё раз: поубавь спесь.
SSS> Я и другие участвуют в обсуждении чисто добровольно. А с хамами
SSS> нет резона общаться. С какой стати ТЫ присвоил себе право
SSS> изрекать прописные истины, усиленно подчёркивая, что другим они
SSS> неизвестны? 

С того что ты уже которое письмо в чрезмерно эмоциональной форме
высказываешься о великих ужасах удаленного доступа, при том что никаких
этих ужасов нет при частичном доступе. А полный доступ ко всем ресурсам
сети даже внтури офиса это недопустимо даже для начинающего. И в этом
контексте твои слова о недопустимости внешнего доступа к сети однозначно
трактуются как нечто явно несоответствующее истине. Соответственно либо ты
говоришь бред, либо забыл о том что доступ может быть частичный.

Извини что подумал о тебе хорошо, и решил что ты это забыл. Значит
все-таки помнишь, и с совершенно непонятной мне мотивацией откровенно
говоря лжешь говоря о недопустимости внешнего доступа к сети.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
ПРАВИЛО ТОЧНОСТИ РЭЯ
 Измеряй микрометром. Отмечай мелом. Отрубай топором.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Sergey S. Skulachenko]

On Wed, 11 Apr 2007 18:22:29 +0400
Денис Смирнов wrote:

> Извини что подумал о тебе хорошо, и решил что ты это забыл.
> Значит все-таки помнишь, и с совершенно непонятной мне
> мотивацией откровенно говоря лжешь говоря о недопустимости
> внешнего доступа к сети.

Я ведь привожу доводы, а не декларации. Как бы ТЕБЯ так помягче
послать? Одним словом посылаю. Дойдёшь? Поскольку обсуждение ТЫ
уже засрал, дальше оно мне не интересно.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] запрет скачивания переименованных mp3

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1373 bytes --]

On Wed, Apr 11, 2007 at 03:01:58PM +0300, Dmitriy L. Kruglikov wrote:

NG>> Угрозу системе вообще-то и порносайты не особо несут.
DLK> Вы это .... Хоть популярную литературу почитайте,
DLK> как в скрытых фреймах размещаются трояны, особенно из
DLK> семейства загрузчиков...
DLK> Откуда и как на компьютерах появляются addware...
DLK> Хоть немного поднимите свой технический уровень для понимания того,
DLK> что и как происходит в Интеренте...

Думаю ты прекрасно в курсе что конкретно эта угроза предотвразается точно
теми же методами, что и сабж :)

DLK> А то смеяться будут пионэры из школьного кружка юных хакеров...
DLK> А программы на рабочую станцию должен ставить администратор сети, и только...

А вот это безусловно. Или, опять же, на выделеной машине не подключенной к
ЛВС. Жаль что до сих пор ни в одной системе нет штатных удобных методов
перекрыть такие возможности тем умникам, которые это не понимают.

DLK> Если у вас этим занимается каждый пользователь, по собственному усмотрению,
DLK> то мне жалко и вашу сеть, и вашего сисадмина. 
DLK> Ну и немного директора с хозяином...
DLK> Ну, недалекие люди... Их нужно пожалеть...

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
ПРАВИЛО ТОЧНОСТИ РЭЯ
 Измеряй микрометром. Отмечай мелом. Отрубай топором.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 6754 bytes --]

On Wed, Apr 11, 2007 at 05:48:19PM +0400, Nick Gavrikov wrote:

NG> Здесь действует правило: любой винчестер может быть переформатирован
NG> в любое время. Все работают с централизованной базой. 

Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут
лежать какие-то документы, и который тоже backup'иться. "My Documents"
указывала на сетевой диск, так что все было в этом смысле нормально. Но
это нужно только в том случае, если не вся работа менеджеров может быть
четко сформулирована в рамках этой базы (например если они изобретают
какой-нибудь способ раскрутки, связываются со сторонними компаниями
предоставляющими клиентов, или ещё что хитрое и не предусмотреное при
создании базы творят).

Единственное что -- совсем полезно таки сделать образы диска, и реально
раз в неделю-две разворачивать систему с образа. Чтобы не повадно было.

NG> Заказы, с
NG> которыми работа не ведется дольше месяца, отправляются в архив, куда
NG> менеджеры доступ не имеют. Удалять информацию по заказу менеджеры не
NG> могут. Только добавлять новое (либо с нуля добавлять новый заказ, либо
NG> на основании уже существующего заказа - это нужно если они хотят
NG> что-то подправить).

Кстати это автоматом делается? Жутко интересно попытать тебя на предмет
какая вообще информация о заказе хранится. У меня сейчас заказ == данные
требуемые для подготовки первички + ссылка на заказчика, в  инфе о котором
все реквизиты, всевозможные контакты и несколько полей для комментариев.

NG> Оплаченные заказы соответствующим образом помечаются, менеджеры
NG> выписывают на них первичные бух. документы (собственно, документы сами
NG> выписываются на основании подготовленного заказа)
NG> Типовые договора менеджеры заключают самостоятельно по заранее
NG> утвержденной схеме. Если клиент придумал какой-то новый пункт
NG> договора, который еще не обговаривали, кусок договора отправляется по
NG> почте или по телефону юристам, после чего согласовывается и в
NG> дальнейшем вносится в типовую схему.

Договора ручками заполняются, или тоже по темплейтам?

NG> Офис 2. Бухгалтерия, юр.отдел.
NG> Работают с той же базой данных что и менеджеры. С их рабочих мест
NG> доступ к базе осуществляется через интернет по шифрованному протоколу.
NG> На компьютерах стоит почта, доступ по IMAP4/SMTP разрешен только до
NG> сервера. Письма с аттачами идут в /dev/null. Никакого интернета на их
NG> компьютерах нет.

Кстати о базе -- они работают с тамошней базой, или ты не поленился
сделать репликацию?

NG> В интернет в случае надобности ходят с консоли их сервера под гостевым
NG> паролем, где крутятся иксы и firefox. Доступа с сервера на их
NG> компьютеры для гостя нет. При необходимости пересылки текстовой
NG> информации, они могут послать себе письмо с этого компьютера на свою
NG> рабочую машину.

А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов,
вроде mosnalog.ru и прочих аналогичных?

NG> Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный
NG> сервис-центр.
 NG> Хитрая система: локальные компьютеры доступа к интернету напрямую не
 NG> имеют. Если им нужен интернет - они включают на своем компе X-сервер,
 NG> после чего ходят в интернет с удаленных терминалов с сервера. (Криво
 NG> сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на
 NG> свою рабочую машину - они копируют данные в определенную папку,
 NG> которая в свою очередь видна с их компов через FTP.

Бухам не стал такое делать, потому как  "для них это слишком хайтек", или
были ещё причины?

NG> Если консоль не нужна одновременно нескольким людям, кто-то один может
NG> работать на локальной консоли сервера. Все же иксы по сети виндошные -
NG> это не так удобно как настоящая консоль. В общем, кто как. Есть люди
NG> которые любят свою мышу, свою клаву, свой стул и свой стол и никуда
NG> переться не хотят чтобы почту проверить.

Кстати, а им почему не разрешили почту локально? Чтобы не придумали
способов таки послать через эту почту файлик (ююками хотябы)? Хотя все это
тоже не гарантировано. Если икссервер умеет copy&paste, если найдется
более-менее квалифицированый товарищ который захочет вынести -- вынесет :(

В SecretNet для этого мандатный контроль используют, который в том числе
буфер тоже контролирует, и данные не позволит скопипастить из ценного
файлика в какое-либо приложение, кроме имеющего право на работу с этой
информацией.

NG> Есть некоторые тонкости организации безопасности канала по которому
NG> работают иксы, пришлось немного KDM подпатчить. Если интересуют
NG> подробности - расскажу.

Безусловно.
Шлите патчи (c) :)

NG> На сервере имеется папка для бекапа, куда ежедневно все сотрудники
NG> уходя с рабочего места обязаны клать исходный код проекта, над которым
NG> они сегодня работали. В 5 утра включается скрипт, который проверяет,
NG> если в папке должно лежать и ничего не лежит - идет пинок с
NG> дальнейшими административными взысканиями в случае повторения в
NG> размере оплаты одного рабочего дня.

Логично. А просто заставить их в добровольно принудительном порядке класть
все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их?

NG> Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на
NG> чтение, таким образом испортить они ничего не могут. Бекапы выборочно
NG> проверяются на предмет, не лежит ли в них мусор вместо работы. В
NG> случае выявления подобных проделок - человек увольняется в 24 часа без
NG> зарплаты (пока что только один раз было такое).

Разумно. Естественно приемка работы происходит именно по содержимому
бэкапа?

NG> Доступ к чужим бекапам имеет только начальство. Если нужно передать
NG> что-либо с компьютера разработчика наружу (например, схемы или готовые
NG> программы) - это делается через начальство. Если несколько человек
NG> ведут работу над одним проектом и им необходимо регулярно обмениваться
NG> данными - они могут делать это, опять же без возможности выноса данных
NG> за пределы рабочей группы.

Каким образом их взаимодействие организовано? Шареные папки, или более по
человечески?

NG> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
NG> них нет. Все флешки, диски и прочая фигня проносятся только через
NG> начальство.

А куда суются разрешенные флешки если USB-порты опечатаны?

NG> Во всех офисах ведется видеонаблюдение.
NG> Вот, вкратце... Кажется ничего не забыл. Comments please.

Параноя рулез.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
 * ott хочет lisp machine 
 * gvy hands emacs to ott 
<ott> gvy это не машинаа
<gvy> ott, самосвал? ;-)
<ott> gvy это тормоз

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 375 bytes --]

On Wed, Apr 11, 2007 at 05:48:19PM +0400, Nick Gavrikov wrote:
> Добрый день.
> 
> Могу поделиться своим опытом в организации работы и безопасности в

Мда.. я думал у меня параноя...
Ужос какой-то.

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: Music is over :(


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Alexey Morsov написал(а):

> > Могу поделиться своим опытом в организации работы и безопасности в
>
> Мда.. я думал у меня параноя...
> Ужос какой-то.

До того как это все было введено, то что у меня творилось можно было
назвать одним словом: бардак. По мере роста штата сотрудников бардак
рос в экспоненциальной зависимости. В конце концов, после некоторых
инцидентов, все же потратили некоторые деньги/усилия чтобы сделать все
именно так.

Впрочем, система обусловлена конкретными гео-политическими
обстоятельствами, в частности наличием и расположением офисов. Так что
в другой ситуации вероятно придется вводить некоторые коррективы. Но в
любом случае, политика максимальной изоляции сотрудников друг от друга
и от интернета вцелом, я считаю, просто обязана быть.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 478 bytes --]

On Thu, Apr 12, 2007 at 11:17:26AM +0400, Nick Gavrikov wrote:
> в другой ситуации вероятно придется вводить некоторые коррективы. Но в
> любом случае, политика максимальной изоляции сотрудников друг от друга
> и от интернета вцелом, я считаю, просто обязана быть.
depends. Причем очень сильно depends.

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: Music is over :(


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 463 bytes --]

On Wed, Apr 11, 2007 at 05:48:19PM +0400, Nick Gavrikov wrote:
> проверяются на предмет, не лежит ли в них мусор вместо работы. В
> случае выявления подобных проделок - человек увольняется в 24 часа без
> зарплаты (пока что только один раз было такое).
А вот это еще кстати и не законно.

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: Music is over :(


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] cyrus-imap

[Anton Kvashin]

Timur Batyrshin пишет:
> Alexey Shabalin пишет:
>> для ldap, использование cyrus-imap(хотя ето уже возможно и изменилось)
> 
> Чем плох cyrus-imap? Может быть есть, где-нибудь таблица типа "Сравнение различных IMAP-серверов" и там по
> пунктам плюсы и минусы? Из гугла навскидку все ссылки ведут на опеннет, где цырус отсутствует..

по cyrus-imap:

- свой формал maildir, поэтому возможно применение только родного 
MDA: через вызов программы-доставщика deliver и через протокол LMTP 
(через unix-sockets, либо через TCP, либо оба варианта сразу);

- при использовании локальной доставки через протокол LMTP поверх 
TCP можно создавать кластерны конфигурации с несколькими 
SMTP-серверам и одним хранилищем почты;

- возможность создания изолированных виртуальных доменов с 
назначением в каждый домен своего администратора, полномочия которых 
ограничиваются только подконтрольным доменом;

- механизм ACL как для пользовательских папок, так и для shared-folders;

- возможность представления определенных (по префиксу) 
shared-folders в виде usenet groups, а равно представление news в 
виде папок (есть режим работы в качестве простого nntp-прокси);

- наличие проксирующих серверов позволяет создавать конфигурации с 
несколькими frond-end'ами и одним хранилищем почты, таким образом, 
чтобы балансировать нагрузку;

- поддержка SIEVE, что позволяет осуществлять обработку входящей 
почты на сервере без участия клиента автоматически (фильтрация 
спама, стортировка почты по папкам, пересылка на другие ящики и тд).

-- 
Anton Kvashin

Re: [Sysadmins] cyrus-imap

[Dmitriy L. Kruglikov]

На календаре было: Четверг, 12 Апрель 2007 года,
Anton Kvashin писал(а) в сообщении: 

AK == Anton Kvashin

AK> - поддержка SIEVE, что позволяет осуществлять обработку входящей 
AK> почты на сервере без участия клиента автоматически (фильтрация 
AK> спама, стортировка почты по папкам, пересылка на другие ящики и тд).
Безумно удобно, кстати... И KMail ими управляет...

Добавить сюда еще
- квоты на отдельные папки. 

- POP3, POP3S, IMAP, IMAPS. В любой комбинации, например, только POP3S и IMAPS.

- база пользователей в LDAP через SASL ...





--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Любимая, таких, как ты, не было, нет и не надо

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Alexey Sidorov]

Alexey Morsov пишет:
> On Wed, Apr 11, 2007 at 05:48:19PM +0400, Nick Gavrikov wrote:
>> проверяются на предмет, не лежит ли в них мусор вместо работы. В
>> случае выявления подобных проделок - человек увольняется в 24 часа без
>> зарплаты (пока что только один раз было такое).
> А вот это еще кстати и не законно.
> 
Мне кажется порой, что в данной ветке идёт обсуждение политики безопасности ну как минимум какое-то
супер-пупер секретное КБ работающее на оборонку...
ну или центра запуска атомных ракет...
Иначе такой жесткач выглядит как минимум странно.
Знаю, что в некоторых банках (надо сказать ведущих банках) всё намного проще.
И ведь ничего. Не разорились ещё :)

-- 
Alexey Sidorov
	mailto:alex@reutman.ru
	JID: alex@reutman.ru
	ICQ: 5052225

Re: [Sysadmins] cyrus-imap

[Serge]

> - поддержка SIEVE, что позволяет осуществлять обработку входящей
> почты на сервере без участия клиента автоматически (фильтрация
> спама, стортировка почты по папкам, пересылка на другие ящики и тд).
а к связке postfix + cyrus-imap можно прикрутить SIEVE?

Re: [Sysadmins] cyrus-imap

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 353 bytes --]

On Thu, Apr 12, 2007 at 10:58:01AM +0300, Serge wrote:
> а к связке postfix + cyrus-imap можно прикрутить SIEVE?
а sieve часть цироза. (я им как раз рассылки по папкам распихиваю)

-- 

С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"

Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

NP: Music is over :(


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Денис Смирнов написал(а):

> NG> Здесь действует правило: любой винчестер может быть переформатирован
> NG> в любое время. Все работают с централизованной базой.
>
> Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут
> лежать какие-то документы, и который тоже backup'иться. "My Documents"
> указывала на сетевой диск, так что все было в этом смысле нормально. Но
> это нужно только в том случае, если не вся работа менеджеров может быть
> четко сформулирована в рамках этой базы (например если они изобретают
> какой-нибудь способ раскрутки, связываются со сторонними компаниями
> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при
> создании базы творят).

К сожалению, рядовые менеджеры ничего этого делать не могут :-(
Если у них есть какие-то мысли, они обмениваются ими по почте (лежит
на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им
голову всякой фигней.

А если есть возможность сохранять MyDocuments - сразу начинается
левак, кривые сметы, составленные не через общую базу а в экселе и
т.д. В общем, лучше не искушать людей :-)

> Единственное что -- совсем полезно таки сделать образы диска, и реально
> раз в неделю-две разворачивать систему с образа. Чтобы не повадно было.

Ну вот это не знаю... Все-таки они как минимум винду подстраивают под
себя. Ставят размер шрифта, картинку на десктопе... и т.д. А
морочиться с контроллером домена и общими настройками ради такого дела
не хочется.

> NG> Заказы, с
> NG> которыми работа не ведется дольше месяца, отправляются в архив, куда
> NG> менеджеры доступ не имеют.
> Кстати это автоматом делается?

Как как? По крону, разумеется :-)
Если у заказчика ничего не менялось и не добавлялось в течении месяца
- туды его, в качель.

> Жутко интересно попытать тебя на предмет
> какая вообще информация о заказе хранится. У меня сейчас заказ == данные
> требуемые для подготовки первички + ссылка на заказчика, в  инфе о котором
> все реквизиты, всевозможные контакты и несколько полей для комментариев.

Ну во-первых, реквизиты заказчика, контактные лица, далее составленные
коммерческие предложения (на основании которых формируется первичка) и
договора - в виде отдельных вордовских файлов. К сожалению,
автоматизировать составление договора не представляется возможным,
поскольку договор отсылается заказчику по почте, а он в свою очередь
обязательно в нем что-нибудь поправит: запятую где-нибудь переставит
на другое место и т.п. То есть исправления могут быть совсем
незначительные, но раз уж он так хочет - пусть будет. По этому
максимум что можно сделать - это сохранять все версии договора в виде
вордовских файлов и внутрь их не лезть.

Хорошо бы еще, конечно, сделать diff двух файлов, но это уже задача
более сложного порядка :-)

> NG> Офис 2. Бухгалтерия, юр.отдел.
>
> Кстати о базе -- они работают с тамошней базой, или ты не поленился
> сделать репликацию?

Поленился :-)
К счастью, интернет работает достаточно стабильно, а трафик ни у
менеджеров, ни у бухов никто не считает.

> NG> В интернет в случае надобности ходят с консоли их сервера под гостевым
> NG> паролем, где крутятся иксы и firefox. Доступа с сервера на их
> NG> компьютеры для гостя нет. При необходимости пересылки текстовой
> NG> информации, они могут послать себе письмо с этого компьютера на свою
> NG> рабочую машину.
>
> А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов,
> вроде mosnalog.ru и прочих аналогичных?

В связи с тем, что это им не нужно. Чтобы не задавали глупых вопросов
"а почему mosnalog можно а xyz нельзя". Или "а почему я нажала на
ссылку (банер) а она не работает". Помимо этого, точный список сайтов,
к которым следует разрешить доступ, мне не известен. А еще, в
бухгалтерии у нас работают люди... м.... старшего возраста, увидевшие
компьютер не очень много лет назад. Со всеми вытекающими отсюда
последствиями. Так получилось.

> NG> Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный
> NG> сервис-центр.
>  NG> Хитрая система: локальные компьютеры доступа к интернету напрямую не
>  NG> имеют. Если им нужен интернет - они включают на своем компе X-сервер,
>  NG> после чего ходят в интернет с удаленных терминалов с сервера. (Криво
>  NG> сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на
>  NG> свою рабочую машину - они копируют данные в определенную папку,
>  NG> которая в свою очередь видна с их компов через FTP.
>
> Бухам не стал такое делать, потому как  "для них это слишком хайтек", или
> были ещё причины?

Опять же, им это не нужно. Помимо этого, я не уверен, что наш главбух
разберется в иксах, работающих под виндой, да еще и по сети со своими
заморочками :-) А еще нефиг из интернета всякие проги устанавливать и
вирусов таскать. Пусть на линухе попробуют :-)

А то, блин, дали уже как-то в пенсионном фонде дискету с прогой
зараженной. Хорошо что последний дисковод сломался года этак два назад
:-)

> NG> Если консоль не нужна одновременно нескольким людям, кто-то один может
> NG> работать на локальной консоли сервера. Все же иксы по сети виндошные -
> NG> это не так удобно как настоящая консоль. В общем, кто как. Есть люди
> NG> которые любят свою мышу, свою клаву, свой стул и свой стол и никуда
> NG> переться не хотят чтобы почту проверить.
>
> Кстати, а им почему не разрешили почту локально? Чтобы не придумали
> способов таки послать через эту почту файлик (ююками хотябы)?

Именно. Чтобы максимально усложнить жизнь желающим вынести что-либо за
пределы офиса

> Хотя все это
> тоже не гарантировано. Если икссервер умеет copy&paste, если найдется
> более-менее квалифицированый товарищ который захочет вынести -- вынесет :(

Про эту дырку я знаю, как ее закрыть - хз. Поставил X-сервер, не
умеющий copy&paste :-)

> В SecretNet для этого мандатный контроль используют, который в том числе
> буфер тоже контролирует, и данные не позволит скопипастить из ценного
> файлика в какое-либо приложение, кроме имеющего право на работу с этой
> информацией.

Немного не понятно, он это делает на стороне x-server? Или на стороне
работающих приложений? Если на стороне иксов - не годится, поскольку
программистам необходим администраторский доступ для работы. Если на
стороне приложений - а что мешает тем же сервером вбить содержимое
клипбоарда как будто текст на клавиатуре набрали? Кстати, по-моему он
так и делает.

> NG> Есть некоторые тонкости организации безопасности канала по которому
> NG> работают иксы, пришлось немного KDM подпатчить. Если интересуют
> NG> подробности - расскажу.
>
> Безусловно.
> Шлите патчи (c) :)

В кратце - при логине юзверя поднимается правило файрвола, которое
разрешает ему доступ, при выходе - правило опускается. Подробнее
искать надо...

> NG> На сервере имеется папка для бекапа, куда ежедневно все сотрудники
> NG> уходя с рабочего места обязаны клать исходный код проекта, над которым
> NG> они сегодня работали.
>
> Логично. А просто заставить их в добровольно принудительном порядке класть
> все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их?

Тогда они не смогут смотреть свой бекап по датам. Когда смотришь и
видишь, что реально за последнюю неделю ты ничего полезного не сделал
- очень стимулирует мыслительный процесс :-)

> NG> Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на
> NG> чтение, таким образом испортить они ничего не могут. Бекапы выборочно
> NG> проверяются на предмет, не лежит ли в них мусор вместо работы. В
> NG> случае выявления подобных проделок - человек увольняется в 24 часа без
> NG> зарплаты (пока что только один раз было такое).
>
> Разумно. Естественно приемка работы происходит именно по содержимому
> бэкапа?

Само собой.

> NG> Доступ к чужим бекапам имеет только начальство. Если нужно передать
> NG> что-либо с компьютера разработчика наружу (например, схемы или готовые
> NG> программы) - это делается через начальство. Если несколько человек
> NG> ведут работу над одним проектом и им необходимо регулярно обмениваться
> NG> данными - они могут делать это, опять же без возможности выноса данных
> NG> за пределы рабочей группы.
>
> Каким образом их взаимодействие организовано? Шареные папки, или более по
> человечески?

Здесь я особо проблем безопасности не вижу - так что все делается через самбу.

> NG> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
> NG> них нет. Все флешки, диски и прочая фигня проносятся только через
> NG> начальство.
>
> А куда суются разрешенные флешки если USB-порты опечатаны?

В мой личный комп :-)
Сам понимаешь, флешка, попавшая в мой USB-разъем, будет как минимум
скопирована ко мне на винчестер :-) Флешки объемом больше 1 гига не
принимаются :-)))


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] cyrus-imap

[Dmitriy L. Kruglikov]

На календаре было: Четверг, 12 Апрель 2007 года,
Serge писал(а) в сообщении: 

S == Serge

S> а к связке postfix + cyrus-imap можно прикрутить SIEVE?
Можно, и даже без postfix...

Пример скрипта:
+++++++++
if allof (header :contains "subject" "[Oo-discuss]") {
	fileinto "OSDN.OO-Discuss";
}
if allof (header :contains "subject" "[Samba]") {
	fileinto "OSDN.Samba";
}
if allof (header :contains "subject" "[Sysadmins]") {
	fileinto "OSDN.Sysadmin";
}
if allof (header :contains "subject" "[Sisyphus]") {
	fileinto "OSDN.Sisyphus";
}
if allof (header :contains "subject" "[Hardware]") {
	fileinto "OSDN.Hardware";
}
if allof (header :contains "subject" "[Comm]") {
	fileinto "OSDN.Community";
}
if allof (header :contains "subject" "[Room]") {
	fileinto "OSDN.Smoke-Room";
}
if allof (header :contains "subject" "[devel]") {
	fileinto "OSDN.Devel";
}
+++++++
В вашей почтовой папке должны быть созданы
соответствующие...
Автоматическое создание не проверял...
Хотя, основные создаются ...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Оригинал, ты потускнел от копий!
		-- Игорь Северянин

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Alexey Morsov написал(а):

> > В
> > случае выявления подобных проделок - человек увольняется в 24 часа без
> > зарплаты (пока что только один раз было такое).
> А вот это еще кстати и не законно.

Да, я догадываюсь. Вроде это как-то обошли путем составления
"правильного" трудового договора с работником. Но, поскольку я не
юрист, ничего тут прокомментировать не могу. Единственно, могу сказать
что уволили так человека только один раз (за бекап в виде
запароленного архива) и никаких судебных последствий этого действия не
было.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Alexey Sidorov написал(а):

> Мне кажется порой, что в данной ветке идёт обсуждение политики безопасности ну как минимум какое-то
> супер-пупер секретное КБ работающее на оборонку...
> ну или центра запуска атомных ракет...
> Иначе такой жесткач выглядит как минимум странно.
> Знаю, что в некоторых банках (надо сказать ведущих банках) всё намного проще.
> И ведь ничего. Не разорились ещё :)

Видите ли... Мое КБ работает не на оборонку, и я не ведущий банк... Но
моя фирма - это МОИ деньги. Не какого-то дяди, не государственные, не
оборонные - а МОИ ЛИЧНЫЕ. И я не намерен позволить кому бы то ни было
их у меня своровать.

У меня нет службы безопасности, которая сможет в случае чего эти
деньги выбить. И адвокатов у меня нет, которые будут потом судиться
годами. Я предпочитаю принять превентивные меры.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Alexey Morsov написал(а):

> > в другой ситуации вероятно придется вводить некоторые коррективы. Но в
> > любом случае, политика максимальной изоляции сотрудников друг от друга
> > и от интернета вцелом, я считаю, просто обязана быть.
> depends. Причем очень сильно depends.

Вы доверяете своим сотрудникам? Я лично - доверяю, но далеко не всем.
По пальцам пересчитать можно людей, со мной работающих, которым я
доверяю. И ни один из них не работает на должности рядового
сотрудника. Тех кому я доверяю, ограничивать, естественно,
бессмысленно. А вот всех остальных...

-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1554 bytes --]

On Thu, Apr 12, 2007 at 11:45:11AM +0400, Alexey Morsov wrote:

>> проверяются на предмет, не лежит ли в них мусор вместо работы. В
>> случае выявления подобных проделок - человек увольняется в 24 часа без
>> зарплаты (пока что только один раз было такое).
AM> А вот это еще кстати и не законно.

Вообще есть замечательный способ сделать это законно. Подходишь к человеку
и объясняешь, что его действия это по сути:
1. вредительство;
2. попытка обмана руководства;

После чего можно согласиться забыть об этом инцеденте, и не рассказывать
детали причин увольнения другим работодателям этого товарища, если он
напишет заявление об увольнении и не будет мозолить глаза.

Если человек будет выпендриваться, то он элементарным образом увольняется
в 24 часа следующим законным способом:

1. ему выплачивается зарплата в том числе за следующие 2 недели как будто
он работал;
2. его аккаунты аннулируются, включая аккаунты на его локальной машине;
3. он продолжает присутствовать в офисе (если он не выходит подряд 3 дня
на работу, насколько я помню, в этом случае он увольняется мгновенно легко
и непринужденно);

Таким образом единственная проблема которую он создает -- то что он таки
присутствует физически в офисе, и надо заплатить ему зарплату за 2 недели.
Но человека после _таких_ действий подпускать к работе больше нельзя.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Если программа полностью отлажена, ее нужно будет скорректировать.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1598 bytes --]

On Thu, Apr 12, 2007 at 11:55:54AM +0400, Alexey Sidorov wrote:

AS> Знаю, что в некоторых банках (надо сказать ведущих банках) всё намного проще.
AS> И ведь ничего. Не разорились ещё :)

У банков, как это ни смешно, куда меньше информации (кроме данных
клиентов) утечка которых фатальна для бизнеса. У любой девелоперской
компании их куда больше. Это раз.

Если сотрудник допустит утечку клиентских данных, ему:
а) оторвет голову СБ;
б) оторвет голову сам клиент (который может быть куда менее добрым, нежным
и ласковым чем СБ, и в отличии от СБ запросто может прибегнуть к
незаконным методам воздействия);
в) он уже никогда и никуда не устроится работать по своей специальности;

Самое смешное, что описаная Николаем структура безопасности является
крайне дешевой в реализации. У меня есть подозрение что общее время на
реализацию этой системы было пару дней если она была придумана сразу, и
более если она строилась постепенно. Там самая сложная часть это несколько
шелл-скриптиков :)

Проблема у этой системы -- очень ограниченая масштабируемость. Потому как
везде есть слишком высокий уровень доверия к начальству. Если бы я был
инвестором а не руководителем, мне бы очень непонравилось то, что
какой-нибудь техдир может спокойно спереть и унести все данные. Но в Linux
без использованеи SELinux/RSBAC обеспечить тот уровень паранои что я желал
бы видеть попросту невозможно.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Повесьте что-нибудь на пакет zsh.
		-- ldv in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Sergey S. Skulachenko]

On Thu, 12 Apr 2007 11:55:54 +0400
Alexey Sidorov wrote:

> Знаю, что в некоторых банках (надо сказать ведущих банках) всё
> намного проще. И ведь ничего. Не разорились ещё :)

Всё впереди:-). Банк иногда приводился в качестве примера
потому, что это (как правило!) высоко организованное хозяйство,
минута простоя которого очень дорого стоит. И цифра, поверьте,
очень впечатляющая. Если это такой банк, в котором ежедневно
открывается 2000 новых счетов. Если там всего десяток клиентов
(домашний банк), то всё выглядит несколько иначе. Мой пример
показывает, что в таком IT-хозяйстве не может быть разгильдяев
и, ну, очень талатливых гастролёров, а сеть должна быть
многократно резервирована. Например, за счёт многосвязности,
когда к каждому узлу подходит более одного маршрута. За счёт
наличия у аппаратуры холодного и горячего резерва. Наконец, за
счёт продуманных мер безопасности, когда даже ведущим
администраторам запрещается удалённый доступ в сеть, а проблема
её диагностики решается наличием ночной дежурной смены. Для двух
территорий, где находятся централизованные ресурсы, всего-то 12
человек нужно. И будьте покойны, группу быстрого реагирования
поднимут ночью в лучшем виде. А там каждый сам решает, нужно ли
срочно ехать или достаточно приехать к шести, чтобы в десять
встретить первого клиента. Не нужно всё это? Ну-ну. Почтовая
служба у нас была шестикратно резервирована, а с учётом SWIFT
семикратно. Такую систему теоретически невозможно сломать.
Поверьте, в таком хозяйстве очень приятно работать, и каждый
очень дорожит своим рабочим местом. Операционистке уйти на 5
минут раньше?. Извините, ей и в голову не придёт. 

В учреждениях попроще, где задолго до 18 часов выстраивается
очередь, нетерпеливо ждущих, когда бабка с пистолетом откроет
турникет, ничего этого не нужно. Возможно, если у них есть
сеть :-), им достаточно услуг девушки из mo.job, которая
приедет через час на скутере и всё починит. Если Вы к ней не
будете сексуально приставать.  

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 10934 bytes --]

On Thu, Apr 12, 2007 at 12:04:45PM +0400, Nick Gavrikov wrote:

>> Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут
>> лежать какие-то документы, и который тоже backup'иться. "My Documents"
>> указывала на сетевой диск, так что все было в этом смысле нормально. Но
>> это нужно только в том случае, если не вся работа менеджеров может быть
>> четко сформулирована в рамках этой базы (например если они изобретают
>> какой-нибудь способ раскрутки, связываются со сторонними компаниями
>> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при
>> создании базы творят).
NG> К сожалению, рядовые менеджеры ничего этого делать не могут :-(

В смысле не имеют полномочий, или квалификации чтобы что-нибудь изобрести?

NG> Если у них есть какие-то мысли, они обмениваются ими по почте (лежит
NG> на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им
NG> голову всякой фигней.

Кстати о почте в IMAP, как вы решили проблему с тем, чтобы:
а) почта хранилась вечно;
б) была доступна через IMAP;

То бишь чтобы юзверя могли таскать почту между папками хоть до полного
офигения, но при попытке удалить/переместить в thrash были посланы очень
далеко и надолго, с конкретным указанием места куда они должны идти :)

При этом сохранность почты имеет оборотную медаль -- сохранность спама :(
И отличный способ скрыть какое-либо письмо просто пометив его как спам.

NG> А если есть возможность сохранять MyDocuments - сразу начинается
NG> левак, кривые сметы, составленные не через общую базу а в экселе и
NG> т.д. В общем, лучше не искушать людей :-)

Понятно :)

>> Единственное что -- совсем полезно таки сделать образы диска, и реально
>> раз в неделю-две разворачивать систему с образа. Чтобы не повадно было.
NG> Ну вот это не знаю... Все-таки они как минимум винду подстраивают под
NG> себя. Ставят размер шрифта, картинку на десктопе... и т.д. А
NG> морочиться с контроллером домена и общими настройками ради такого дела
NG> не хочется.

А, действительно. Хотя это тоже в общем-то можно бэкапить, но это видимо
не так уж и оправданый гемор. Хотя при большом штате менеджеров я бы
все-таки предпочел делать именно так, и чистить машинки даже не периодично
(в любой момент приезжает эникейщик и проходится по всем машинкам с norton
ghost, который грузится естественно не с CD а по сети, ибо CD в машинах и
не было никогда).

> NG>> Заказы, с
> NG>> которыми работа не ведется дольше месяца, отправляются в архив, куда
> NG>> менеджеры доступ не имеют.
>> Кстати это автоматом делается?
NG> Как как? По крону, разумеется :-)

Перловый скриптик по крону мувает часть базы в отдельный архив? Я вот
думал на эту тему просто флажок ставить. Ну у меня пока не те объемы чтобы
об этом думать, но на будущее уже начинаю думать как это сделать красиво.

>> Жутко интересно попытать тебя на предмет
>> какая вообще информация о заказе хранится. У меня сейчас заказ == данные
>> требуемые для подготовки первички + ссылка на заказчика, в  инфе о котором
>> все реквизиты, всевозможные контакты и несколько полей для комментариев.
NG> Ну во-первых, реквизиты заказчика, контактные лица, далее составленные
NG> коммерческие предложения (на основании которых формируется первичка) и

Кстати о, архив не подтвержденных заказчиком коммерческих предложений
ведется? Если в них были внесены изменения, то это фомирование нового
предложение или таки редактирование старого?

NG> договора - в виде отдельных вордовских файлов. К сожалению,
NG> автоматизировать составление договора не представляется возможным,
NG> поскольку договор отсылается заказчику по почте, а он в свою очередь
NG> обязательно в нем что-нибудь поправит: запятую где-нибудь переставит
NG> на другое место и т.п. То есть исправления могут быть совсем
NG> незначительные, но раз уж он так хочет - пусть будет. По этому
NG> максимум что можно сделать - это сохранять все версии договора в виде
NG> вордовских файлов и внутрь их не лезть.
NG> Хорошо бы еще, конечно, сделать diff двух файлов, но это уже задача
NG> более сложного порядка :-)

Я все хочу формировать договора тоже как html, чтобы иметь набор пунктов
которые включаются/отключаются по желанию. У меня отдельные клиенты любят
задалбывать тем что договор под них фактически переписывается :( А вот
многие просто добавляют один-два пункта, которые могут быть полезны и для
других клиентов.

> NG>> Офис 2. Бухгалтерия, юр.отдел.
>> Кстати о базе -- они работают с тамошней базой, или ты не поленился
>> сделать репликацию?
NG> Поленился :-)
NG> К счастью, интернет работает достаточно стабильно, а трафик ни у
NG> менеджеров, ни у бухов никто не считает.

Я все думаю о распределенке нормальной. Мне совсем-совсем не нравится идея
с одной базой, но написать распределенку мне оказалось пока слабо.

Смысл распределенки может быть, например в том, что в офисе вообще нет
того же архива. Физически. Он удаляется. И есть этот архив только у меня
на магнитооптике.

Я пытаюсь совместить полезное с полезной -- оперативные данные с которыми
я работаю должны быть даже на моем нутбуке, но при этом если этот ноутбук
я где-то забуду чтобы рвать волосы пришлось только на тему "жаба душит
новый покупать", а не на тему "ой блин сколько там было инфы".

>> А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов,
>> вроде mosnalog.ru и прочих аналогичных?
NG> В связи с тем, что это им не нужно. Чтобы не задавали глупых вопросов
NG> "а почему mosnalog можно а xyz нельзя". Или "а почему я нажала на
NG> ссылку (банер) а она не работает". Помимо этого, точный список сайтов,
NG> к которым следует разрешить доступ, мне не известен. А еще, в
NG> бухгалтерии у нас работают люди... м.... старшего возраста, увидевшие
NG> компьютер не очень много лет назад. Со всеми вытекающими отсюда
NG> последствиями. Так получилось.

А, понятно. Там где я это вводил было проще: "можно все, что разрешит
генеральный -- хотите на что-то ходить, спрашивайте разрешение у него".

Но там молодежь была, потому боялись больше ни что данные куда-то
перешлют, а что банально вирусняк на очередном развлекательном сайте
поймают. Собственно разрешено мне было так сделать именно после того как я
показал начальству по каким именно сайтам они ходят в рабочее время, и
куда отправится их бухгалтерия в случае чего.

>> Бухам не стал такое делать, потому как  "для них это слишком хайтек", или
>> были ещё причины?
NG> Опять же, им это не нужно. Помимо этого, я не уверен, что наш главбух
NG> разберется в иксах, работающих под виндой, да еще и по сети со своими
NG> заморочками :-) А еще нефиг из интернета всякие проги устанавливать и
NG> вирусов таскать. Пусть на линухе попробуют :-)
NG> А то, блин, дали уже как-то в пенсионном фонде дискету с прогой
NG> зараженной. Хорошо что последний дисковод сломался года этак два назад
NG> :-)

То бишь "для них это слишком хайтек, да и вообще нефиг", понятно :)

>> Хотя все это
>> тоже не гарантировано. Если икссервер умеет copy&paste, если найдется
>> более-менее квалифицированый товарищ который захочет вынести -- вынесет :(
NG> Про эту дырку я знаю, как ее закрыть - хз. Поставил X-сервер, не
NG> умеющий copy&paste :-)

Ну, разработчик найдет как событие в него передать :) Но боюсь немало
времени у него это займет.

>> В SecretNet для этого мандатный контроль используют, который в том числе
>> буфер тоже контролирует, и данные не позволит скопипастить из ценного
>> файлика в какое-либо приложение, кроме имеющего право на работу с этой
>> информацией.
NG> Немного не понятно, он это делает на стороне x-server? Или на стороне
NG> работающих приложений? Если на стороне иксов - не годится, поскольку
NG> программистам необходим администраторский доступ для работы. Если на
NG> стороне приложений - а что мешает тем же сервером вбить содержимое
NG> клипбоарда как будто текст на клавиатуре набрали? Кстати, по-моему он
NG> так и делает.

На стороне иксов :( Вернее на стороне машинки с которой человек работает.
Иксы для этой штуки всего лишь одно из приложений, у которого есть уровень
доступа. Соответственно можно сказать что всю инфу с грифом "ДСП" слать
туда низя, а все создаваемые в используемом для разработки ПО по-умолчанию
имеют гриф ДСП (да, понизить гриф пользователь не может).

С разработчиками которые под администратором бороться сложно :(
Гарантированых мер кроме как "выход в сеть только со второго компа" нет, а
эта мера дороговата.

А из негаратнированых тут могут помочь элементарно квоты на размер
письма/их количество. Причем не жесткие, а все что выходит за квоты -- к
начальству/СБ на премодерацию.

> NG>> Есть некоторые тонкости организации безопасности канала по которому
> NG>> работают иксы, пришлось немного KDM подпатчить. Если интересуют
> NG>> подробности - расскажу.
>> Безусловно.
>> Шлите патчи (c) :)
NG> В кратце - при логине юзверя поднимается правило файрвола, которое
NG> разрешает ему доступ, при выходе - правило опускается. Подробнее
NG> искать надо...

Будет время -- стоит оформить в виде отдельного патчика в git.

> NG>> На сервере имеется папка для бекапа, куда ежедневно все сотрудники
> NG>> уходя с рабочего места обязаны клать исходный код проекта, над которым
> NG>> они сегодня работали.
>> Логично. А просто заставить их в добровольно принудительном порядке класть
>> все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их?
NG> Тогда они не смогут смотреть свой бекап по датам. Когда смотришь и
NG> видишь, что реально за последнюю неделю ты ничего полезного не сделал
NG> - очень стимулирует мыслительный процесс :-)

:)

А почему по датам смотреть-то не смогут? MyDocuments автоматом в эти самые
backup по датам и копируется. Мне для этой цели очень bontmia нравится,
суперская штука. Если на сервере SCSI, то можно себе позволить делать
кроме ежедневных еще и хоть ежеминутные снапшоты. Она их хардлинками
делает.

>> Каким образом их взаимодействие организовано? Шареные папки, или более по
>> человечески?
NG> Здесь я особо проблем безопасности не вижу - так что все делается через самбу.

В смысле шареные папки на сервере, или они шарят ресурсы прямо на своих
компах? За второе откручивать голову, IMHO.

> NG>> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
> NG>> них нет. Все флешки, диски и прочая фигня проносятся только через
> NG>> начальство.
>> А куда суются разрешенные флешки если USB-порты опечатаны?
NG> В мой личный комп :-)
NG> Сам понимаешь, флешка, попавшая в мой USB-разъем, будет как минимум
NG> скопирована ко мне на винчестер :-) Флешки объемом больше 1 гига не
NG> принимаются :-)))

Параноик! :)

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Если вы точно не знаете, что ваша программа должна делать, надо ли ее начинать?

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Alexey Sidorov]

Sergey S. Skulachenko пишет:
> On Thu, 12 Apr 2007 11:55:54 +0400
> Alexey Sidorov wrote:
> 
>> Знаю, что в некоторых банках (надо сказать ведущих банках) всё
>> намного проще. И ведь ничего. Не разорились ещё :)
> 
> Всё впереди:-). Банк иногда приводился в качестве примера
> потому, что это (как правило!) высоко организованное хозяйство,
> минута простоя которого очень дорого стоит. И цифра, поверьте,
> очень впечатляющая. Если это такой банк, в котором ежедневно
> открывается 2000 новых счетов. Если там всего десяток клиентов
> (домашний банк), то всё выглядит несколько иначе. Мой пример
> показывает, что в таком IT-хозяйстве не может быть разгильдяев
> и, ну, очень талатливых гастролёров, а сеть должна быть
> многократно резервирована. Например, за счёт многосвязности,
> когда к каждому узлу подходит более одного маршрута. За счёт
> наличия у аппаратуры холодного и горячего резерва. Наконец, за
> счёт продуманных мер безопасности, когда даже ведущим
> администраторам запрещается удалённый доступ в сеть, а проблема
> её диагностики решается наличием ночной дежурной смены. Для двух
> территорий, где находятся централизованные ресурсы, всего-то 12
> человек нужно. И будьте покойны, группу быстрого реагирования
> поднимут ночью в лучшем виде. А там каждый сам решает, нужно ли
> срочно ехать или достаточно приехать к шести, чтобы в десять
> встретить первого клиента. Не нужно всё это? Ну-ну. Почтовая
> служба у нас была шестикратно резервирована, а с учётом SWIFT
> семикратно. Такую систему теоретически невозможно сломать.
> Поверьте, в таком хозяйстве очень приятно работать, и каждый
> очень дорожит своим рабочим местом. Операционистке уйти на 5
> минут раньше?. Извините, ей и в голову не придёт. 
> 
Ну я имел ввиду именно крупный банк. Я ничего не говорил про резервирование, вы всё правильно пишете.
И естественно не об операционистках, а о нормальных служащих.
Которые и в аське сидят, и по сайтам лазают,и на болванки фотки кидают принесённые на флэшке из
дома. Да ещё умудряются на этих болванках цветным принтером лейблы печатать.
И естественно, при всём при этом у них НЕТ возможности стырить служебную информацию.
Вернее наверняка такая возможность есть. Её не может не быть.
Но тут уж вступают в действие и СБ и УК.
-- 
Alexey Sidorov
	mailto:alex@reutman.ru
	JID: alex@reutman.ru
	ICQ: 5052225

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1728 bytes --]

On Thu, Apr 12, 2007 at 01:21:48PM +0400, Alexey Sidorov wrote:

AS> Ну я имел ввиду именно крупный банк. Я ничего не говорил про резервирование, вы всё правильно пишете.
AS> И естественно не об операционистках, а о нормальных служащих.
AS> Которые и в аське сидят, и по сайтам лазают,и на болванки фотки кидают принесённые на флэшке из
AS> дома. Да ещё умудряются на этих болванках цветным принтером лейблы печатать.
AS> И естественно, при всём при этом у них НЕТ возможности стырить служебную информацию.
AS> Вернее наверняка такая возможность есть. Её не может не быть.
AS> Но тут уж вступают в действие и СБ и УК.

Я скорее сторонник того чтобы разориться на a-la "интернет кафе" для
собственных сотрудников, чем позволить им творить черт знает что со своего
рабочего места".

Хотя опять же все зависит от. Рабочее место человека, который работает над
OpenSource проектами и больше ничем вообще не имеет смысла как-либо
ограничивать (кроме как по доступу к ЛВС), ибо ве равно вся его работа
будет завтра же выложена в public, и если он выложит ее сам -- только
другим меньше работы :)

А флешки в банке... гм. Ой не знаю. Я бы не месте СБ'шников вежливо
попросил немедленно убрать эту гадость из помещения банка. А попытка
вынести с территории болванку кончилась бы для сотрудника лишением премии
(если на ней только фотка) или визитом в милицию (если на ней не только
фотки).

Банк это банк. А разгильдяйство в банках уже приводит к тому что
внутренняя информация банков продается в ларьках на каждом углу.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
LATER наступило.  Патчи в аттачах.
		-- raorn in #5429

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Денис Смирнов написал(а):

> >> четко сформулирована в рамках этой базы (например если они изобретают
> >> какой-нибудь способ раскрутки, связываются со сторонними компаниями
> >> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при
> >> создании базы творят).
> NG> К сожалению, рядовые менеджеры ничего этого делать не могут :-(
>
> В смысле не имеют полномочий, или квалификации чтобы что-нибудь изобрести?

Хороший менеджер достаточно часто выплевывает различные бредовые идеи
по привлечению клиента. Процентов 90 из них уходит сразу в помойку/на
додумывание. Оставшиеся идеи могут быть реализованы, но только
менеджеры это делать все равно не будут. Таким образом, менеджерам не
нужно хранить никакой информации. Идеи - они все равно в голове, а
обсуждаются как правило по почте, реже по телефону или при личном
контакте.

> NG> Если у них есть какие-то мысли, они обмениваются ими по почте (лежит
> NG> на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им
> NG> голову всякой фигней.
>
> Кстати о почте в IMAP, как вы решили проблему с тем, чтобы:
> а) почта хранилась вечно;
> б) была доступна через IMAP;

Вся почта, проходящая через сервер, копируется в специальный почтовый
ящик. Раз в определенный период времени оттуда почта выгребается
скриптом, индексируется и архивируется. К базе почтовых сообщений есть
доступ через веб-морду, которая позволяет искать письма, просматривать
и присылать их по новой на ящик оператора веб-морды (с MIME и
аттачеными файлами я особо не морочался).

> То бишь чтобы юзверя могли таскать почту между папками хоть до полного
> офигения, но при попытке удалить/переместить в thrash были посланы очень
> далеко и надолго, с конкретным указанием места куда они должны идти :)

Поскольку я уже скопировал все себе - это их почта, пусть хоть обудаляются.

> При этом сохранность почты имеет оборотную медаль -- сохранность спама :(
> И отличный способ скрыть какое-либо письмо просто пометив его как спам.

Спам я тоже сохраняю :-)
На самом деле в запакованном виде почта занимает не особо много. У
меня с августа 2003 года архив - что-то около 30 гигов всего лишь.

> > NG>> Заказы, с
> > NG>> которыми работа не ведется дольше месяца, отправляются в архив, куда
> > NG>> менеджеры доступ не имеют.
> >> Кстати это автоматом делается?
> NG> Как как? По крону, разумеется :-)
>
> Перловый скриптик по крону мувает часть базы в отдельный архив?

Нет, флажок ставит в SQL: уродцам не показывать :-)

> >> Жутко интересно попытать тебя на предмет
> >> какая вообще информация о заказе хранится. У меня сейчас заказ == данные
> >> требуемые для подготовки первички + ссылка на заказчика, в  инфе о котором
> >> все реквизиты, всевозможные контакты и несколько полей для комментариев.
> NG> Ну во-первых, реквизиты заказчика, контактные лица, далее составленные
> NG> коммерческие предложения (на основании которых формируется первичка) и
>
> Кстати о, архив не подтвержденных заказчиком коммерческих предложений
> ведется? Если в них были внесены изменения, то это фомирование нового
> предложение или таки редактирование старого?

Ничего старое не редактируется. Только создается новое на основании
старого (все поля из старого копируются в новое, потом можно это
править до тех пор пока не нажмешь кнопку "Готово"). С новым номером и
т.д.

> Я все хочу формировать договора тоже как html, чтобы иметь набор пунктов
> которые включаются/отключаются по желанию. У меня отдельные клиенты любят
> задалбывать тем что договор под них фактически переписывается :( А вот
> многие просто добавляют один-два пункта, которые могут быть полезны и для
> других клиентов.

Вот именно из-за таких которые договор переписывают я и не стал делать
систему "включить пункт - выключить пункт", поскольку с этими
клиентами все равно как-то работать придется, а делать ни для кого
исключения я не хочу.

> Я все думаю о распределенке нормальной. Мне совсем-совсем не нравится идея
> с одной базой, но написать распределенку мне оказалось пока слабо.

Опять же, ежечасный бекап базы в МОЕМ случае проблему решает. Я не
банк, работа у меня другая и соответственно этому затрачиваемые
средства другие.

> Смысл распределенки может быть, например в том, что в офисе вообще нет
> того же архива. Физически. Он удаляется. И есть этот архив только у меня
> на магнитооптике.

Я своему карману, честно говоря, доверяю не больше чем своему офису.
Если данные действительно важные - только шифрация. Ну а зашифрованные
архивы (мои) ломать нереентабельно. Так что нет никакого резона
что-либо стирать :-)

> А из негаратнированых тут могут помочь элементарно квоты на размер
> письма/их количество. Причем не жесткие, а все что выходит за квоты -- к
> начальству/СБ на премодерацию.

Ну ты, наверное, представляешь что файлы можно не только через SMTP
передавать :-) есть еще такая весьма неудобная вещь как HTTP и еще
более неудобная: HTTPS.

> >> Каким образом их взаимодействие организовано? Шареные папки, или более по
> >> человечески?
> NG> Здесь я особо проблем безопасности не вижу - так что все делается через самбу.
>
> В смысле шареные папки на сервере, или они шарят ресурсы прямо на своих
> компах? За второе откручивать голову, IMHO.

Поскольку я не могу кроме как административнами мерами запретить
шарить папки у себя - пусть шарят. Мне пофиг. Все равно они все сидят
за линуксовским файрволом и доступ между разными группами не имеют.
Только внутри группы. А за что голову-то откручивать?


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Sergey S. Skulachenko]

On Thu, 12 Apr 2007 13:21:48 +0400
Alexey Sidorov wrote:

> Ну я имел ввиду именно крупный банк.

Я тем временем придумал полезный пример для оценок. Импэксбанк
некоторое время назад был продан Группе Райффайзен за 600
миллионов долларов (по памяти). Если такой банк простоит 2 дня,
он исчезнет. Клиенты перебегут к другим. Отсюда минута простоя = 
На самом деле считается иначе, по размеру дневной прибыли, а не
стоимости активов. 

> Которые и в аське сидят, и по сайтам лазают

Аська была запрещена, а чаты категорически. Статистика показала,
что чаты создают, трудно поверить, заметный трафик. Запрещены
все виды хрени, включая потоковое вещание. Авторизация на прокси
и ограниченная ширина канала на каждого пользователя (в
зависимости от роли :-). 

В качестве анекдота. За несколько минут до срока передачи в ЦБ
заключительного файла прибегает с жуткими глазами начальница
операционного отдела и сообщает, что связи с центральной машиной
практически нет. Быстро выясняются две машины, создающие в сети
жуткий трафик. Они тут же блокируются. Файл тут же создаётся,
дежурный запускает свои скрипты. Всё, протолкнули, рабочий день
закончен. Я тут же пишу докладную о необходимости расследования.
Оно выясняет, что наш начальник управления развития филиальной
сети принял вызов директора процессингового центра в пластиковых
картах и они резались в Doom. Всего этого я не знал. Иначе бы
догадался, что виноваты мы сами. Какая-то путаница возникла с
сетевыми сегментами, но администраторы в этом так и не
признались. А я получил нахлобучку за то что выставил двух
страдальцев на хорошую сумму. Так можно в игры играть?   

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1119 bytes --]

On Thu, Apr 12, 2007 at 06:53:00PM +0700, Vyatcheslav Perevalov wrote:
>> А попытка
>> вынести с территории болванку кончилась бы для сотрудника лишением премии
>> (если на ней только фотка) или визитом в милицию (если на ней не только
>> фотки).
VP> Есть способ обнаружить болванку, лежащую в кармане?

Законный только один -- отсутствие резаков на рабочих местах и залитые
клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе.

Обыски и прочий кошмар допустимы исключительно на предприятиях работающих
с гостайной для сотрудников которые непосредственнно с ней работают. Тут
уж извините, такова жизнь :( В любых других случаях следует организовывать
безопасность так, чтобы сотрудник не мог вынести физически что-либо, а не
проверять вынес или нет, тем более что это весьма унизительная процедура,
которой мало кому хочется подвергаться. А унижать собственных сотрудников
это несколько... э... более чем аморально.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
fixed in забыл когда
		-- zerg in #6750

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Vyatcheslav Perevalov]

В сообщении от 12 апреля 2007 16:28 Денис Смирнов написал(a):
> А попытка
> вынести с территории болванку кончилась бы для сотрудника лишением премии
> (если на ней только фотка) или визитом в милицию (если на ней не только
> фотки).
Есть способ обнаружить болванку, лежащую в кармане?
-- 
Всего хорошего
		/vip

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 7930 bytes --]

On Thu, Apr 12, 2007 at 01:50:11PM +0400, Nick Gavrikov wrote:

> >>> четко сформулирована в рамках этой базы (например если они изобретают
> >>> какой-нибудь способ раскрутки, связываются со сторонними компаниями
> >>> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при
> >>> создании базы творят).
> NG>> К сожалению, рядовые менеджеры ничего этого делать не могут :-(
>> В смысле не имеют полномочий, или квалификации чтобы что-нибудь изобрести?
 NG> Хороший менеджер достаточно часто выплевывает различные бредовые идеи
 NG> по привлечению клиента. Процентов 90 из них уходит сразу в помойку/на
 NG> додумывание. Оставшиеся идеи могут быть реализованы, но только
 NG> менеджеры это делать все равно не будут. Таким образом, менеджерам не
 NG> нужно хранить никакой информации. Идеи - они все равно в голове, а
 NG> обсуждаются как правило по почте, реже по телефону или при личном
 NG> контакте.

Ясно, логично.

> NG>> Если у них есть какие-то мысли, они обмениваются ими по почте (лежит
> NG>> на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им
> NG>> голову всякой фигней.
>> Кстати о почте в IMAP, как вы решили проблему с тем, чтобы:
>> а) почта хранилась вечно;
>> б) была доступна через IMAP;
NG> Вся почта, проходящая через сервер, копируется в специальный почтовый
NG> ящик. Раз в определенный период времени оттуда почта выгребается
NG> скриптом, индексируется и архивируется. К базе почтовых сообщений есть
NG> доступ через веб-морду, которая позволяет искать письма, просматривать
NG> и присылать их по новой на ящик оператора веб-морды (с MIME и
NG> аттачеными файлами я особо не морочался).

Удобно, однако. С аттачами ты не морочился, как я понимаю, просто потому
что ты же их и запрещаешь?

>> То бишь чтобы юзверя могли таскать почту между папками хоть до полного
>> офигения, но при попытке удалить/переместить в thrash были посланы очень
>> далеко и надолго, с конкретным указанием места куда они должны идти :)
NG> Поскольку я уже скопировал все себе - это их почта, пусть хоть обудаляются.

Логично.

>> При этом сохранность почты имеет оборотную медаль -- сохранность спама :(
>> И отличный способ скрыть какое-либо письмо просто пометив его как спам.
NG> Спам я тоже сохраняю :-)
NG> На самом деле в запакованном виде почта занимает не особо много. У
NG> меня с августа 2003 года архив - что-то около 30 гигов всего лишь.

30 гиг бэкапить без ленточки неудобно :( И даже DDS-4 ленточки уже
маловато. Ты забил, или инкрементальный бэкап делаешь?

> > NG>>> Заказы, с
> > NG>>> которыми работа не ведется дольше месяца, отправляются в архив, куда
> > NG>>> менеджеры доступ не имеют.
> >>> Кстати это автоматом делается?
> NG>> Как как? По крону, разумеется :-)
>> Перловый скриптик по крону мувает часть базы в отдельный архив?
NG> Нет, флажок ставит в SQL: уродцам не показывать :-)

:)

Я вот думал кроме этого флажка еще и в другую таблицу переносить. Удобно в
плане производительности весьма, когда основная табличка с которой идет
работа маааааленькая.

> >>> Жутко интересно попытать тебя на предмет
> >>> какая вообще информация о заказе хранится. У меня сейчас заказ == данные
> >>> требуемые для подготовки первички + ссылка на заказчика, в  инфе о котором
> >>> все реквизиты, всевозможные контакты и несколько полей для комментариев.
> NG>> Ну во-первых, реквизиты заказчика, контактные лица, далее составленные
> NG>> коммерческие предложения (на основании которых формируется первичка) и
>> Кстати о, архив не подтвержденных заказчиком коммерческих предложений
>> ведется? Если в них были внесены изменения, то это фомирование нового
>> предложение или таки редактирование старого?
NG> Ничего старое не редактируется. Только создается новое на основании
NG> старого (все поля из старого копируются в новое, потом можно это
NG> править до тех пор пока не нажмешь кнопку "Готово"). С новым номером и
NG> т.д.

Понял.

>> Я все хочу формировать договора тоже как html, чтобы иметь набор пунктов
>> которые включаются/отключаются по желанию. У меня отдельные клиенты любят
>> задалбывать тем что договор под них фактически переписывается :( А вот
>> многие просто добавляют один-два пункта, которые могут быть полезны и для
>> других клиентов.
NG> Вот именно из-за таких которые договор переписывают я и не стал делать
NG> систему "включить пункт - выключить пункт", поскольку с этими
NG> клиентами все равно как-то работать придется, а делать ни для кого
NG> исключения я не хочу.

Понял.

>> Я все думаю о распределенке нормальной. Мне совсем-совсем не нравится идея
>> с одной базой, но написать распределенку мне оказалось пока слабо.
NG> Опять же, ежечасный бекап базы в МОЕМ случае проблему решает. Я не
NG> банк, работа у меня другая и соответственно этому затрачиваемые
NG> средства другие.

А, у меня была именно цель организовать распределенку из-за того что
хочется единую систему, но при этом клиенты могут и через web сами себе
заказы формировать. При этом ясен пень что на хостинге держать _всю_
систему ой как не хочется. Только необработаные заказы от клиентов,
которые их заказали через Web. Остальное -- во внутренний архив.

>> Смысл распределенки может быть, например в том, что в офисе вообще нет
>> того же архива. Физически. Он удаляется. И есть этот архив только у меня
>> на магнитооптике.
 NG> Я своему карману, честно говоря, доверяю не больше чем своему офису.
 NG> Если данные действительно важные - только шифрация. Ну а зашифрованные
 NG> архивы (мои) ломать нереентабельно. Так что нет никакого резона
 NG> что-либо стирать :-)

Ну, конкретно в моем случае я сейчас могу своему карману неплохо доверять,
кроме того бэкапы хранить что дома, что в офисе считаю неразумным -- для
этого есть более надежные места.

>> А из негаратнированых тут могут помочь элементарно квоты на размер
>> письма/их количество. Причем не жесткие, а все что выходит за квоты -- к
>> начальству/СБ на премодерацию.
NG> Ну ты, наверное, представляешь что файлы можно не только через SMTP
NG> передавать :-) есть еще такая весьма неудобная вещь как HTTP и еще
NG> более неудобная: HTTPS.

Я о том же -- гарантированых методов нет, кроме отсутствия интернета в
здании :) А геморроя создать, а лучше даже чтобы все выглядело полностью
открытым без ограничения, но чуть что подошел безопасник с добрым лицом и
вежливо сказал что сотруднику пора писать заявление об увольнении :)

Раньше я был активным сторонником технических методов ограничения. Сейчас
также, но там где нельзя ограничить все -- надо просто сделать метод чтобы
реальная безопасность была выше чем видимая, что может упростить поимку
злонамереного сотрудника. А таких надо не штрафовать, не строить, а просто
увольнять.

> >>> Каким образом их взаимодействие организовано? Шареные папки, или более по
> >>> человечески?
> NG>> Здесь я особо проблем безопасности не вижу - так что все делается через самбу.
>> В смысле шареные папки на сервере, или они шарят ресурсы прямо на своих
>> компах? За второе откручивать голову, IMHO.
 NG> Поскольку я не могу кроме как административнами мерами запретить
 NG> шарить папки у себя - пусть шарят. Мне пофиг. Все равно они все сидят
 NG> за линуксовским файрволом и доступ между разными группами не имеют.
 NG> Только внутри группы. А за что голову-то откручивать?

А, ну раз ты их по разным группам без доступа друг к другу раскидал -- Ok.

Если продолжать параною то можно ещё вспомнить что  и внутри группы есть
такая сущность как "проект". Соответственно к информации каждого
конкретного проекта имеют доступ те, кто над ним работают в настоящий
момент. Если работали вчера -- уже не имеют.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
И не говорите потом, что я вас не предупреждал.
		-- ldv in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Vyatcheslav Perevalov]

В сообщении от 12 апреля 2007 18:49 Денис Смирнов написал(a):
> VP> Есть способ обнаружить болванку, лежащую в кармане?
>
> Законный только один -- отсутствие резаков на рабочих местах и залитые
> клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе.
Это не "способ обнаружить болванку, лежащую в кармане", а мероприятия, 
предотвращающие утечку информации. Не полный перечень, надо сказать.
-- 
Всего хорошего
		/vip

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1062 bytes --]

On Thu, Apr 12, 2007 at 07:17:31PM +0700, Vyatcheslav Perevalov wrote:
> VP>> Есть способ обнаружить болванку, лежащую в кармане?
>> Законный только один -- отсутствие резаков на рабочих местах и залитые
>> клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе.
VP> Это не "способ обнаружить болванку, лежащую в кармане", а мероприятия, 
VP> предотвращающие утечку информации. Не полный перечень, надо сказать.

Это мероприятие, которое полностью заменяет поиск болванки в кармане --
ибо позволяет удостовериться что её не будет.

А так это естественно не тянет даже на "неполный перечень", а так, всего
лишь одно из моря обязательных мероприятий, которые проводятся там где
вынос информации недопустим в принципе, и где одного единственного факта
выноса информации достаточно для увольнение поголовно всего руководства
СБ.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Если вы точно не знаете, что ваша программа должна делать, надо ли ее начинать?

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Денис Смирнов написал(а):
> > NG>> Если у них есть какие-то мысли, они обмениваются ими по почте (лежит
> > NG>> на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им
> > NG>> голову всякой фигней.
> >> Кстати о почте в IMAP, как вы решили проблему с тем, чтобы:
> >> а) почта хранилась вечно;
> >> б) была доступна через IMAP;
> NG> Вся почта, проходящая через сервер, копируется в специальный почтовый
> NG> ящик. Раз в определенный период времени оттуда почта выгребается
> NG> скриптом, индексируется и архивируется. К базе почтовых сообщений есть
> NG> доступ через веб-морду, которая позволяет искать письма, просматривать
> NG> и присылать их по новой на ящик оператора веб-морды (с MIME и
> NG> аттачеными файлами я особо не морочался).
>
> Удобно, однако. С аттачами ты не морочился, как я понимаю, просто потому
> что ты же их и запрещаешь?

Я их только в бухгалтерию запрещаю - чтобы вирусов не таскали. А всем
остальным можно. Не морочался, поскольку это особо не нужно было.
Сообщение можно просмотреть через веб-морду, а так же поставить
галочку "получить это сообщение". При нажатии на Submit помеченные
сообщения отправляются на e-mail оператору (в зависимости от того, под
каким паролем вошел в веб-морду) и он уже может с помощью своей
почтовой программы открывать аттачи, перекодировать (если надо) и т.д.
Просто писать свой webmail в моих планах не стояло - только самый
минимум.


> >> При этом сохранность почты имеет оборотную медаль -- сохранность спама :(
> >> И отличный способ скрыть какое-либо письмо просто пометив его как спам.
> NG> Спам я тоже сохраняю :-)
> NG> На самом деле в запакованном виде почта занимает не особо много. У
> NG> меня с августа 2003 года архив - что-то около 30 гигов всего лишь.
>
> 30 гиг бэкапить без ленточки неудобно :( И даже DDS-4 ленточки уже
> маловато. Ты забил, или инкрементальный бэкап делаешь?

Раз в сутки новые бандлы с почтой копируются на другой сервак по сети.
Они же не изменяются, только новые добавляются, что их на ленточку
класть?

> Я вот думал кроме этого флажка еще и в другую таблицу переносить. Удобно в
> плане производительности весьма, когда основная табличка с которой идет
> работа маааааленькая.

Ну у меня и основная таблица не настолько большая :-) по крайней мере
тормозов пока нет.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Vyatcheslav Perevalov<vip0@seversk.ru> написал(а):

> > VP> Есть способ обнаружить болванку, лежащую в кармане?
> >
> > Законный только один -- отсутствие резаков на рабочих местах и залитые
> > клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе.
> Это не "способ обнаружить болванку, лежащую в кармане", а мероприятия,
> предотвращающие утечку информации. Не полный перечень, надо сказать.

Не, заливать клеем разъемы - это не наш метод, поскольку:
а) мать накрылась - негарантийный случай
б) клей вообще-то как правило можно выковырять. Было бы желание
в) к сожалению, существуют такие вещи как принтер, сканер, мышь и
прочие USB-устройства. Их все равно надо как-то подключать.

Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в
него что-то воткнуто - тогда на кабель+заднюю стенку компа. Номера все
переписаны (вроде) но сам их вид отпугивает народ, попыток подлезть к
USB пока не зафиксировано :-)

А какие еще должны быть мероприятия?

-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Gennadiy Redko]

Nick Gavrikov пишет:

> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в
Мне нравится :)
А выключить драйвер юсбстореджа - не проще?

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 506 bytes --]

On Thu, Apr 12, 2007 at 06:35:24PM +0300, Gennadiy Redko wrote:

>> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в
GR> Мне нравится :)
GR> А выключить драйвер юсбстореджа - не проще?

У юзверя -- проще. А у разработчика с правами админа на машинке -- что не
выключай, все равно включат.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Ценность программы прямо пропорциональна весу ее "выдачи".

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1663 bytes --]

On Thu, Apr 12, 2007 at 07:20:22PM +0400, Nick Gavrikov wrote:

>>> Законный только один -- отсутствие резаков на рабочих местах и залитые
>>> клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе.
>> Это не "способ обнаружить болванку, лежащую в кармане", а мероприятия,
>> предотвращающие утечку информации. Не полный перечень, надо сказать.
NG> Не, заливать клеем разъемы - это не наш метод, поскольку:
NG> а) мать накрылась - негарантийный случай

По словам тех безопасников с которыми общался, во многих конторах это не
проблема. А жесткие диски, например, в них вообще никто в гарантию не
сдает -- их уничтожают :)

NG> б) клей вообще-то как правило можно выковырять. Было бы желание

У меня большие сомнения в возможности заклееный суперклеем разъем привести
в живое состояние. А некоторые маньяки, по их словам, даже дорожки лезвием
перерезают.

NG> в) к сожалению, существуют такие вещи как принтер, сканер, мышь и
NG> прочие USB-устройства. Их все равно надо как-то подключать.
NG> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в
NG> него что-то воткнуто - тогда на кабель+заднюю стенку компа. Номера все
NG> переписаны (вроде) но сам их вид отпугивает народ, попыток подлезть к
NG> USB пока не зафиксировано :-)

Логично. Правда именно как отпугивающий фактор а не защищающий.

А вообще все уже придумано для нас и терминалы рулез. Только для
небольшого офиса дорого это :(

 NG> А какие еще должны быть мероприятия?

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
fixed in забыл когда
		-- zerg in #6750

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1894 bytes --]

On Thu, Apr 12, 2007 at 07:10:28PM +0400, Nick Gavrikov wrote:

NG> Я их только в бухгалтерию запрещаю - чтобы вирусов не таскали. А всем
NG> остальным можно. Не морочался, поскольку это особо не нужно было.
NG> Сообщение можно просмотреть через веб-морду, а так же поставить
NG> галочку "получить это сообщение". При нажатии на Submit помеченные
NG> сообщения отправляются на e-mail оператору (в зависимости от того, под
NG> каким паролем вошел в веб-морду) и он уже может с помощью своей
NG> почтовой программы открывать аттачи, перекодировать (если надо) и т.д.
NG> Просто писать свой webmail в моих планах не стояло - только самый
NG> минимум.

А, ну раз оператор можнт получить письмо себе, то остальное уже и не
важно.

>> 30 гиг бэкапить без ленточки неудобно :( И даже DDS-4 ленточки уже
>> маловато. Ты забил, или инкрементальный бэкап делаешь?
NG> Раз в сутки новые бандлы с почтой копируются на другой сервак по сети.
NG> Они же не изменяются, только новые добавляются, что их на ленточку
NG> класть?

А, ну так и получается инкрементальный бэкап этими бандлами.

>> Я вот думал кроме этого флажка еще и в другую таблицу переносить. Удобно в
>> плане производительности весьма, когда основная табличка с которой идет
>> работа маааааленькая.
NG> Ну у меня и основная таблица не настолько большая :-) по крайней мере
NG> тормозов пока нет.

Если не делать fullscan, то думаю таблица может очень крупно вырасти перед
тем как это понадобится :) И боюсь что столь мелкая компания (всего 3
офиса с  максимум 2-3 десятками сотрудников, как это выглядит из твоего
описания) за несколько лет не сможет так забить базу, чтобы это тормозило.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
ПРИНЦИП БЕНЕДИКТА (РАНЕЕ 9-Е СЛЕДСТВИЕ МЕРФИ)
 В природе всегда сокрыт тайный порок.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Денис Смирнов написал(а):

> NG> а) мать накрылась - негарантийный случай
>
> По словам тех безопасников с которыми общался, во многих конторах это не
> проблема. А жесткие диски, например, в них вообще никто в гарантию не
> сдает -- их уничтожают :)

Ну, для меня это все же черезчур расточительно :-) хотя чисто
теоретически для важных данных - поддерживаю :-)

> NG> б) клей вообще-то как правило можно выковырять. Было бы желание
>
> У меня большие сомнения в возможности заклееный суперклеем разъем привести
> в живое состояние.

В живое - вряд ли. В рабочее - без проблем. Выковыриваешь клей,
паяльником подчищаешь контакты, облуживаешь, разрезаешь USB-кабель
пополам, припаиваешь отрезанный конец в разъем. Там всего 4 проводка,
причем реально из них нужны только два. Еще два - питание и земля, их
можно взять откуда угодно (хоть от внешнего китайского блока питания,
землю только соедини с корпусом). Подлезть можно при желании.

> А некоторые маньяки, по их словам, даже дорожки лезвием
> перерезают.

Если перережешь дорожки - точно негарантийный случай. Если выпаять
аккуратно разъем - потом его можно так же аккуратно впаять. Возможно,
в гарантию плату примут. (По поводу выпаивания разъема - некоторое
время так делали, работает реально). Правда, надо иметь
соответствующих специалистов, умеющий держать в руках паяльник и фен
:-)

> NG> в) к сожалению, существуют такие вещи как принтер, сканер, мышь и
> NG> прочие USB-устройства. Их все равно надо как-то подключать.
> NG> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в
> NG> него что-то воткнуто - тогда на кабель+заднюю стенку компа. Номера все
> NG> переписаны (вроде) но сам их вид отпугивает народ, попыток подлезть к
> NG> USB пока не зафиксировано :-)
>
> Логично. Правда именно как отпугивающий фактор а не защищающий.

Как гарантирующий отсутствие взлома. Не защищающий, разумеется.

В любом случае, если ты так или иначе выводишь из строя USB - как
тогда подсоединять принтеры-сканеры? В принципе, это можно
подсоединить к отдельному компьютеру, куда доступ админа никому не
давать, а все пусть печатают и сканируют по сети. Но это, конечно,
связано с некоторыми неудобствами для работников. Кроме того, возможно
найдутся и другие USB-устройства, с которыми необходимо работать. В
частности, у меня программатор USB.

В общем, полностью сносить USB мне кажется нецелесообразно.
Ограничения вполне достаточно.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

On Thu, Apr 12, 2007 at 10:25:49PM +0400, Nick Gavrikov wrote:

> NG>> а) мать накрылась - негарантийный случай
>> По словам тех безопасников с которыми общался, во многих конторах это не
>> проблема. А жесткие диски, например, в них вообще никто в гарантию не
>> сдает -- их уничтожают :)
NG> Ну, для меня это все же черезчур расточительно :-) хотя чисто
NG> теоретически для важных данных - поддерживаю :-)

Те безопасники из одной нефтяной компании, с которыми я на эту тему
трепался, делали это первым делом после покупки компьютеров. Сам
понимаешь, нефтяникам стоимость этих компьютеров и наличие гарантии вообще
не интересна.

> NG>> б) клей вообще-то как правило можно выковырять. Было бы желание
>> У меня большие сомнения в возможности заклееный суперклеем разъем привести
>> в живое состояние.
 NG> В живое - вряд ли. В рабочее - без проблем. Выковыриваешь клей,
 NG> паяльником подчищаешь контакты, облуживаешь, разрезаешь USB-кабель
 NG> пополам, припаиваешь отрезанный конец в разъем. Там всего 4 проводка,
 NG> причем реально из них нужны только два. Еще два - питание и земля, их
 NG> можно взять откуда угодно (хоть от внешнего китайского блока питания,
 NG> землю только соедини с корпусом). Подлезть можно при желании.

Я представил себе как он это делает в помещении, где он не единственный
кто работает. Боюсь ты успеешь даже из другого офиса за это время приехать
с каким-нибудь тяжелым аргументом для вразумления :)

>> А некоторые маньяки, по их словам, даже дорожки лезвием
>> перерезают.
 NG> Если перережешь дорожки - точно негарантийный случай. Если выпаять
 NG> аккуратно разъем - потом его можно так же аккуратно впаять. Возможно,
 NG> в гарантию плату примут. (По поводу выпаивания разъема - некоторое
 NG> время так делали, работает реально). Правда, надо иметь
 NG> соответствующих специалистов, умеющий держать в руках паяльник и фен
 NG> :-)

Маньяк!

> NG>> в) к сожалению, существуют такие вещи как принтер, сканер, мышь и
> NG>> прочие USB-устройства. Их все равно надо как-то подключать.
> NG>> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в
> NG>> него что-то воткнуто - тогда на кабель+заднюю стенку компа. Номера все
> NG>> переписаны (вроде) но сам их вид отпугивает народ, попыток подлезть к
> NG>> USB пока не зафиксировано :-)
>> Логично. Правда именно как отпугивающий фактор а не защищающий.
NG> Как гарантирующий отсутствие взлома. Не защищающий, разумеется.

Ну, _гарантирующий_ отсутствие взлома есть только один метод -- не
нанимать сотрудников, сжечь все компьютеры.

NG> В любом случае, если ты так или иначе выводишь из строя USB - как
NG> тогда подсоединять принтеры-сканеры? В принципе, это можно
NG> подсоединить к отдельному компьютеру, куда доступ админа никому не
NG> давать, а все пусть печатают и сканируют по сети. Но это, конечно,
NG> связано с некоторыми неудобствами для работников. Кроме того, возможно
NG> найдутся и другие USB-устройства, с которыми необходимо работать. В
NG> частности, у меня программатор USB.
NG> В общем, полностью сносить USB мне кажется нецелесообразно.
NG> Ограничения вполне достаточно.

Как обычно -- применимость любого метода зависит от конкретной задачи.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
И Бейсик - сын ошибок трудных, и Клиппер Парадоксов друг.

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Dmitriy L. Kruglikov поступило следующее:

> Кстати, кто-нибудь еще помнит, как определить тип содержимого файла,
> без полного его скачивания, таким образом, чтобы это можно было применить
> в наших proxy-серверах ?

К примеру:

head -b512 some_file | file -

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 13 Апрель 2007 года,
Вадим Илларионов писал(а) в сообщении: 

 == Вадим Илларионов

> > Кстати, кто-нибудь еще помнит, как определить тип содержимого файла,
> > без полного его скачивания, таким образом, чтобы это можно было применить
> > в наших proxy-серверах ?  
> 
> К примеру:
> 
> head -b512 some_file | file -

А дальше?
Как это прицепить к редиректорам всяким, или просто ACL написать ?



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Талант на одну треть состоит из инстинкта, на одну треть - из памяти и 
на одну треть - из воли.
		-- К.Досси

Re: [Sysadmins] cyrus-imap

[Denis Kuznetsov]

[-- Attachment #1: Type: text/plain, Size: 1368 bytes --]

В сообщении от Thursday 12 April 2007 03:55:40 Dmitriy L. Kruglikov 
написал(а):
> На календаре было: Четверг, 12 Апрель 2007 года,
> Anton Kvashin писал(а) в сообщении:
>
> AK == Anton Kvashin
>
> AK> - поддержка SIEVE, что позволяет осуществлять обработку входящей
> AK> почты на сервере без участия клиента автоматически (фильтрация
> AK> спама, стортировка почты по папкам, пересылка на другие ящики и тд).
> Безумно удобно, кстати... И KMail ими управляет...
>
> Добавить сюда еще
> - квоты на отдельные папки.
>
> - POP3, POP3S, IMAP, IMAPS. В любой комбинации, например, только POP3S и
> IMAPS.
>
> - база пользователей в LDAP через SASL ...
>
Дык вроде как и напрямую, бэз саслов умеет... :)
хотя не пробовал, лень, однако.
>
>
>
>
> --
> Best regards,
>  Dmitriy L. Kruglikov                     .--.
>  Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
>  DKR6-RIPE                               |!_/ |
>  XMPP:dkr6@jabber.ru                    //   \ \
>                                        (|     | )
>                                       /'\_   _/`\
> Powered by Linux                      \___)=(___/
>
> -- Мысль --
> Любимая, таких, как ты, не было, нет и не надо
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



-- 
Denis Kuznetsov


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] запрет скачивания переименованных mp3

[Вадим Илларионов]

От Dmitriy L. Kruglikov поступило следующее:

>> > Кстати, кто-нибудь еще помнит, как определить тип содержимого файла,
>> > без полного его скачивания, таким образом, чтобы это можно было применить
>> > в наших proxy-серверах ?
>> 
>> К примеру:
>> 
>> head -b512 some_file | file -
> 
> А дальше?
> Как это прицепить к редиректорам всяким, или просто ACL написать ?

А дальше думать надо. Пока вариантов не нашёл.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00

Re: [Sysadmins] запрет скачивания переименованных mp3

[Eugene Ostapets]

14.04.07, Вадим Илларионов<master usib.irkps.ru> написал(а):
> От Dmitriy L. Kruglikov поступило следующее:
>
> >> > Кстати, кто-нибудь еще помнит, как определить тип содержимого файла,
> >> > без полного его скачивания, таким образом, чтобы это можно было применить
> >> > в наших proxy-серверах ?
> >>
> >> К примеру:
> >>
> >> head -b512 some_file | file -
> >
> > А дальше?
> > Как это прицепить к редиректорам всяким, или просто ACL написать ?
>
> А дальше думать надо. Пока вариантов не нашёл.
Нужно писать(править существующий) редиректор, который будет скачивать
512 байт и проверять тип файла перед разрешением скачать его...

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [Sysadmins] cyrus-imap

[Sergey]

On Thursday 12 April 2007, Alexey Morsov wrote:

> > а к связке postfix + cyrus-imap можно прикрутить SIEVE?

> а sieve часть цироза. (я им как раз рассылки по папкам распихиваю)

Только надо помнить, что проверка будет производиться на этапе локальной
доставки. Что, на самом деле, не всегда хорошо.

-- 
С уважением, Сергей
a_s_y@sama.ru