АртемЪ:
в win управление доступом к файлам осуществляется на уровне OС; в nix'ах на уровне файловой системы
то есть в случае win имея непосредственный доступ к диску - например, из под другой винды - мы можем переназначить доступ так, как посчитаем нужным, просто заменив владельца файла на любого
в *nix управление доступом к файлам осуществляется на уровне файловой системы - если мы создали пользователя, назначили права на редактирование только этому пользователю, снесли линукс, поставили другой линукс - доступ к этому файлу мы уже не получим, т.к. его ACL закреплён для приказавшего долго жить пользователя на уровне файловой системы.
АртемЪ:
вопрос вот в чём: при холодном доступе к микротику доступ к паролю, отправляемому по ssh, не получить же? я не силён в nix-like ОС и файловых системах, которые они используют, но, кажется, только в fat и ntfs системах ACL хранится на уровне ОС, а не на уровне самой файловой системы?
АртемЪ:
паранойя не зашкаливает, но хотелось бы; принято решение убрать 1с из офиса; мутил вот ovpn, долго разбирался методом проб и ошибок - смог таки реализовать основанное на сертификатах подключение, с работающим crl на базе микротиковской ROS;
что б зашлифовать - хотелось бы пресечь "холодный" доступ к базам.
Только не совсем понимаю как это сделать;
Никогда толком не шифровал ничего битлокерами и Ко, максимум keepass'ом пользуюсь, с базой, зашифрованной сертификатом.
Если прописать подключение тома к системе в шедулер с применением пароля - при холодном доступе будет доступ и к этому самому паролю;
заставлять пользователей вводить пароль для доступа к шифрованному тому при подключении к RDS? К тому же через RemoteApp? Вообще не уверен что это реализуемо
если действительно используется файл ключей - то по-умолчанию он всё таки в програмдата складывается; в данный момент работает нормально работает на RDS.
на счёт копировать - ???
сильно сомневаюсь, что 1с проверяет штамп времени; а по-другому ей никак не узнать копировался ли файл...
на другой компьютер точно не получится перенести, sid никто не отменял; FlexLM, например, ориентируется на sid И mac-адрес; 1ска почти наверняка так же использует sid
в принципе, мог бы статейку на хабр накатать о подробной настройке ovpn сервера с сертификатами на ROS (авось кто нибудь инвайт бы подарил xDDD) но не знаю - стоит ли
Станислав Макаров:
вчера добился таки нормальной работы PKI и OVPN на микротике
Про CN - в принципе, так всегда и везде; но можно указать не в CN, а в поле альтернативного имени; кроме того можно убрать данную проверку в опциях клиента, но не рекомендуется - подрывает безопасность;
а про вариант только сертификат - тоже пофиг, можно добавить параметры:
auth-user-pass pwd.txt
auth-nocache
и общие логин/пароль для всех пользователей, хранящиеся в pwd.txt с двумя строчками:
логин
пароль
пользователю нужно будет только вводить пароль от закрытого ключа при подключении к серверу
учитывая, что crl действительно таки работает - отзыв сертификатов так же работает. НО!
мне не удалось сделать импорт CA сертификата на микротик так, что бы сам микротик воспринимал его как CA, который он, микротик, может использовать и подписывать им сертификаты;
у меня схема с нормальным отзывом работает только с CA сертификатом, который создан на самом микротике; в качестве crl хоста указал 127.0.0.1
АртемЪ:
1) Ну не вполне единый, конечно, я не совсем точно выразился.
2,3) Хорошо, посмотрю, спасибо.
вообще я хотел отправить одинэску вместе с базами на подключаемый vhd и зашифровать нафиг, но что-то мне теперь кажется, что эта наркоманская мысль возникла с недосыпа.
Шифровать то надо, но нафиг всю?) базы достаточно....
1) Хочу получить единый каталог установки, но не на системном разделе.
2) Если речь о системных переменных - не вижу способа.
3) Разные разделы, симлинки, на сколько я знаю, можно использовать только в пределах одной файловой системы.
4) Нежелательный путь.
Не может быть, что бы не существовало "легального" пути.
Ну или полу-легального. В частности, в каталоге с setup.exe лежит так же .msi и ворох .mst; но напрямую с msi 1ска не устанавливается.
это приемлемо только для первого случая; да, оно приемлемо, но если разобраться как быть со вторым случаем - в первом можно просто сделать по аналогии.
Тут в соседнем топике про OSFP говорили, буду пробовать...
Нет. Он про то, что бывает, к примеру, с рабочими столами виртуальных машин. Когда разрешение рабочего стола виртуальной машины 1920х1080, а разрешение реального монитора 1366х768, в результате на виртуальном рабочем столе появляется полоса прокрутки.
