rionnagel

Без mitm сертификатов никак.

Не давать ни софт, ни образ пользователям. До них должен дойти только сервис, который хостится где-то ещё.

Очевидно вы не создали базу данных либо пользователя, либо ввели название не той бд, которую создавали. На офф. сайте есть мануалы как это делать и скрипт на создание таблиц. Написано конечно так себе - поэтому следовать надо достаточно внимательно. Некоторые вещи там не описаны пошагово. Можете подсмотреть в альтернативных манах из инторнета.

Из записей этой полный скам получится. Dmarc, dkim, sfp записи, не? Вы вообще в курсе, как почта работает? Может рфц почитаете? В грэй лист и блэк лист за считанные дни залетит. Если пользователь сам не подписан на это - туда вам и дорога тем более, натерпелись уже в нулевых спамеров.
Извините уж за эмоциональный фидбек.
А птр запись у провайдера? Успешно забыта? Недолго ваша почта работать будет.

А на чем сейчас работают? На досе?
Если уже есть лицензии на винду - то никак. Клиент-банки, специфичное ПО, онли виндоус ПО с криптографией (особенно привязанное к ИЕ)? Никак. Сложные таблицы в эксель? Никак. Дизайнеры, работающие в корел дро и фотошопе? Никак. Гибкое управление компами через AD? Никак. Зоопарк разных принтеров с протухшими дровами? Никак. Частая смена софта? Мало вероятно.

Если этого всего нет - то ок.

Подобные обоснования надо считать баблом, обслуживанием, амортизацией, рисками и прочими вещами, которые относятся к бизнес-аналитики. Без реальных оснований что-то менять, тратить человеко-часы и генерировать простой специалистов со снижением производительности вам даст только самый поехавший бизнесмен.

От взлома защититься нельзя. Можно только снизить риски. Безопасность можно грейдить бесконечно, вплоть до изолированного острова с пулеметчиками по периметру и оружием массового поражения. Затраты на безопасность не должны превышать ценность защищаемого.
Надо разобраться что защищаем и каков бюджет. Может проще будет не иметь вообще защищаемых данных и/или не пользоваться ничем сложнее микроволновки? Или подойдет отдельный комп без подключения к интернету и сети с зашифрованной файловой системой?

Как писали выше - способов много.

Установить samba, сделать авторизацию (например логин+пароль и ограничения по ip) на одном сервере (мануалов в сети миллиард), на втором создать папку и прописать mount (в эту папку сетевой папки) в /etc/fstab например.

Puppet манифесты можно запускать без сервера, это может быть вариантом.
chef тоже можно запускать локально, это может быть вариантом.
ansible плэйбуки можно запускать с локалхоста по ссш до сервера, это может быть вариантом.
Докер может быть ещё одним вариантом.
bash скрипты могут быть вариантом.
Сохраненные конфиги в гите со структурой каталогов и маленьким скриптиком могут быть вариантом.
gitlab-ci может быть вариантом.
С остальными не работал - не могу сказать.

Выбирайте что сердцу мило)

Я бы именно для вашего варианта рекомендовал бы больше всего ansible+gitlab-ci. В пайплайнах ci описать варианты что ставить, редактируем hosts, делаем пуш и в пайплайнах просто нажимаем кнопку что надо с этим сделать. И получаем полный вывод результата в читабельном виде, в реальном времени (если надо можно цепочку тестов делать например). Гитлаб воркер ставится на машину с ансиблом. Да и сразу версионирование получите и историю.

Через auth.conf вроде можно разрешить.

А до этого через foreman что-либо разворачивали? Там вроде через него надо создавать новый хост с указанием мака, чтобы на нём запустилась установка.

Возможно сертификат на сервере установлен некорректно (нету chain к примеру в сертификате до нужных CA) либо как ответили выше не установлен CA/

Адовый ад. Всё вразброс, мультиспециальность. Я конечно понимаю, что когда очень мелкий штат IT - отвечать надо сразу за всё, но прям "должен" это ппц. Сисадмину общего назначения стоит уметь во всём быстро разбираться, а не знать прям всё-всё-всё, а лучше выбрать конкретную специальность и пойти на работу по ней, чем быть многоруким шивой и отвечать сразу во за всё.

Так можно доводить до абсурда добавляя и скрипты на баше, батче, павершеле, питоне, руби, c#, знания паппета/чифа с умением писать модули и организовать веб-морду со всем подряд, поять проводки, носить сервера на горбу, подметать везде, чинить принтеры и картриджи, быть хорошим 1с-программистом, отвечать за всё материально и заниматься заказами оборудования, разрабатывать интегральные микросхемы, чинить ламповые телеки и готовить пончики... и при этом всём висеть на трубке помогая клиентам пописывая скрипты для микротиков и закупая бетон с оптикой для постройки своего дата-центра с одной линией adsl-интернета незаконно занимая
землю, выслушивая от бухгалтерии, что клиент-банк глючит идипочини.... и опять при этом всем делать абсолютно все монтажные работы и проектирование. ТРЕБУЯ ПРИ ЭТОМ БЫТЬ ДРУЖЕЛЮБНЫМ, ЖИЗНЕРАДОСТНЫМ И СТРЕССОУСТОЙЧИВЫМ, а не превратиться в асоциального психа с абсолютно рассеяным вниманием, который каждый день ходит пить в бар просаживая з.п. из-за сильного напряжения, нервного стресса и переизбытка информации.... ах да еще быть доступным 24/7

Можно конечно просить человека-комбайна, но у разных таких админов разные знания будут и компании, которые будут пытаться ходить таким путём получат it, завязанный на одном человеке с абсолютно непонятной эйфелевой башней костылей т.к. человек будет отвечать за всё по чуть-чуть, а не конкретно за свою область, в которой он уже полностью будет разбираться.

Короче у меня горит от подобного) Я думаю найти человека знающего всё из этого вполне реально, но с требованиями однозначный перебор.

foreman + pxelinux или что хуже виндовый wds, да и рекомендую не использовать tftp - на несколько пк одновременно разворачивать это ппц.