https://www.opennet.ru/openforum/vsluhforumID1/94484.html Здравствуйте.<br><br>В кратце обрисую задачу.<br>В наличие имеется ЛВС из определенного количества компов (около 300), доступ у пользователей к данной сетке организован исключительно внутренний - сетевые принтеры, файлохранилище, корпоративная почта, чат, документооборот итд, никакого доступа в интернет по режимным соображениям им не разрешено. Также имеется вторая группа пользователей, которым инет позволен (ходят через сквид), но речь не о них. <br>Возникло предложение организовать сервер с какой-нибудь убунтой, поднять там иксы, насоздавать на нем учетных записей для первой категории лиц, и дать им доступ через VNC к раб-столу сервера, а сервер выпустить в инет. Таким образом они смогут пользоваться интернетом, при этом, непосредственно их рабочие станции, остаются с ограниченным доступом. <br>Теперь вопрос: как лучше организовать ведение логов (кто и что посмотрел в инете) для этого сервера? Ведь сквид увидит только IP сервера, а из под какой учетной записи сделан конкретный запрос сквид никак не догадается. Полага https://www.opennet.ru/openforum/vsluhforumID1/94484.html#19 Tue, 19 Mar 2013 13:33:52 GMT &gt;&gt; Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали <br>&gt; Ныне модно гордиться тупостью. Тебе павлин - реально есть чем по-гордиться.<br><br>После таких коментов совершенно не хочется объяснять требования <br>и причины создания каждой сессии в виртуалке. <br><br>Напишу просто - ты раз в 100 более тупее, чем думаешь обо мне. :D<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/94484.html#18 Tue, 19 Mar 2013 07:10:23 GMT &gt;&gt; В кратце обрисую задачу.<br>&gt; PS: Как только дашь любой доступ юзеру к юниксу подключенному в интернет <br>&gt; ... натянут твой режим - ПО САМЫЕ ГЛАНДЫ НАТЯНУТ.<br><br>Пускай натягивают. Один хрен ничего кроме хттп им не разрешено, даже с этого удаленного сервера (и то, проксированного, а не напрямую порт 80). Над любителями поднимать туннели и подключаться к проксям угорали неоднократно уже.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/94484.html#17 Tue, 19 Mar 2013 07:08:44 GMT &gt;&gt; В кратце обрисую задачу.<br>&gt;&gt; ... никакого доступа в интернет по режимным соображениям им не разрешено.<br>&gt; Тут слово "режимным" - так для красного словца?<br>&gt; Или мы в реале наблюдаем идиота с азартом зарабатывающего срок?<br><br>Внутренний по предприятию режим, а не тот за который мальчики и девочки в форме нагибают.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/94484.html#16 Tue, 19 Mar 2013 07:07:27 GMT &gt; VNC ваще корявый протокол, на фулскрине 3-4 fps, больше не потянет.<br>&gt; А при 4-5 юзерах, работа ваще не возможна.<br><br>Сделал вместо VNC xrdp+x11rdp, потестил на пяти подключения к виртуальной машине - вроде все ок. Осталось только логирование прикрутить<br> https://www.opennet.ru/openforum/vsluhforumID1/94484.html#15 Tue, 19 Mar 2013 06:03:09 GMT &gt;&gt; Если есть AD (а при 'из определенного количества компов (около 300)' он <br>&gt;&gt; должен быть) настройте интеграцию с AD, тогда в логах будете видеть <br>&gt;&gt; имя. Но это лишь http. А все остальное вас не интересует?<br>&gt; Никаких доменов нет в связи с тем, что политика ограничения пользовательских рабочих <br>&gt; мест не требуется - мы просто отсекли их от инета, а <br>&gt; у себя на компах делают что хотят.<br><br> И это вы называете "режимные соображения". Вы не последовательны.<br> Если ужимать с точки зрения "режимности" так уже комплексно. Кстати АД вы рассматриваете как нечто, повышабщее безопаснсоть. Вы ошибаетесь. Это скорее удобство администрирования для вас, от которого вы отказываетесь.<br> https://www.opennet.ru/openforum/vsluhforumID1/94484.html#14 Tue, 19 Mar 2013 02:02:39 GMT &gt; В кратце обрисую задачу.<br>&gt; ... никакого доступа в интернет по режимным соображениям им не разрешено. <br><br>Тут слово "режимным" - так для красного словца? <br>Или мы в реале наблюдаем идиота с азартом зарабатывающего срок? <br><br>PS: Как только дашь любой доступ юзеру к юниксу подключенному в интернет ... натянут твой режим - ПО САМЫЕ ГЛАНДЫ НАТЯНУТ. <br>Dante\StyxProxy\100500 других, да хоть даже connect.c с сайта одного широко известного в узких кругах японца :)<br>Ну а какого хрена ты хотел боец? 40 лет лучшие хакеры делали в нём сеть - а ты типо всё перекроешь. VNC-ёй - ага. Сухари суши да беломором запасайся.<br> https://www.opennet.ru/openforum/vsluhforumID1/94484.html#13 Tue, 19 Mar 2013 01:46:55 GMT &gt; Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали <br><br>Ныне модно гордиться тупостью. Тебе павлин - реально есть чем по-гордиться.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/94484.html#12 Tue, 19 Mar 2013 00:10:46 GMT VNC ваще корявый протокол, на фулскрине 2-3 мегабита, больше не потянет.<br>При 4-5 юзерах, работа ваще не возможна.<br> https://www.opennet.ru/openforum/vsluhforumID1/94484.html#11 Mon, 18 Mar 2013 23:49:27 GMT &gt; Возникло предложение организовать сервер с какой-нибудь убунтой, поднять там иксы,<br>&gt; насоздавать на нем учетных записей для первой категории лиц, и дать им <br>&gt; доступ через VNC к раб-столу сервера, а сервер выпустить в инет. <br><br>Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали и там он пускался!<br>Авторизация была по смарт-карте, на спец.-терминале. При вынимании карты, всё уничтожалось.<br><br>Можно на обычном компе, пускать как VNC-клиента с авторизацией в БД. Вместо карты - пароль.<br>В каждой виртуалке висел демон, который общался с модулем ядра. Можно логировать каждый syscall.<br>Не выходя из дома смотреть, чё там сейчас юзерь делает, на какой порносайт дрочит...<br>