• Можно ли в ссылке URL задать имя окна браузера?

    @huwesu
    Ответ написан
    Комментировать
  • Единый сервер доступа ssh, возможно ли?

    nmk2002
    @nmk2002
    работаю в ИБ
    Знаю как решить эту и подобную задачу средствами платного ПО. Поэтому опишу просто подход.
    Сервер доступа и аутентификации предоставляет интерфейс многофакторной (не обязательно) аутентификации, после прохождения которой пользователю становятся доступны ресурсы. Веб ресурсы доступны в браузере, а для классических ресурсов строится VPN-туннель(в вашем случае 22 порта) от клиента до сервера доступа.
    Доступ к бэкэнд-ресурсам (в вашем случае SSH-серверам) есть только с сервера доступа, напрямую клиенты не должны иметь возможность подключиться к этим серверам.
    Дополнительно можно настроить SSO таким образом, что при выборе SSH-сервера у пользователя автоматически запустится putty с указанными учетными записями. По сути сервер доступа и аутентификации будет менеджером паролей к SSH-серверам.
    Ответ написан
    1 комментарий
  • Единый сервер доступа ssh, возможно ли?

    athacker
    @athacker
    Очередной пример того, что сертификация -- это просто процесс получения глупой бумажки, и никакого отношения к реальной безопасности не имеет :(

    Проблема входа решается генерацией запароленых SSH-ключей для КАЖДОГО сотрудника. За утерю ключа и/или пароля от ключа -- анальная кара в виде трёх лет расстрела без права переписки. Учётные записи сотрудником можете создавать с автоматически сгенерированными паролями, для входа по ключу он не нужен.

    Если у вас железо -- юзайте системы управления типа chef/puppet/ansible для централизованного управления процессами разливки/удаления/замены ключей. Либо кастомные скрипты, которые будут подключаться по SSH и управлять ключами командами в shell. Если у вас сервера -- можно юзать те же системы управления (puppet etc), но есть другие системы, типа OpenSSH в связке с LDAP.

    Проблема логирования решается созданием одного syslog-сервера и указанием в настройках всех серверов, что логи нужно хранить не только локально, но и сливать на этот сервер. Модификацию файла syslog.conf на всех серверах -- в мониторинг, чтобы каждый раз при его изменении отправлялся алерт (чтобы не было соблазна выключить по-тихому отгрузку логов).
    Ответ написан
    Комментировать