Призываю безопасников и параноиков.Задача: организовать безопасную среду для документооборота малого бизнеса на 5 сотрудников.Типы документов: файлы MS Office, изображения.Что надо защитить: документы и файлы на компьютерах в офисе, удаленное хранилище и по возможности роутер, который будет раздавать обычный WI-FI через 4g модем.Моё решение: взять сервер на hezner, задеплоить nextcloud и примонтировать к компьютерам офиса. Для компьютеров сделать 2FA по паролю и yubikey (usb с токеном). Компы будут на убунте. Не хранить документы на компе, только в удаленном хранилище (замонтировал хранилище, отредактировал либреофисом что надо, сохранил).Вопросы: 1. Защитят ли эти методики от вскрытия данных, если изымут технику для анализа?2. Можно ли как нибудь автоматически размонтировать удаленное хранилище из файловой системы при бездействии человека за компьютером в течении нескольких минут и при выключении компьютера?3. Можно ли и как зашифровать файловую систему убубнты таким образом, чтобы все новые файлы в /home шифровались автоматически?Конечная цель: обеспечить документооборот таким образом, чтобы при изъятии техники и давления на сотрудников офиса не было возможным получить информацию с удаленного сервера.Предусматривается два сценария:1. Изъятие техники и арест, где системный администратор уведомляется сотрудником или камерой слежения в офисе (если нерабочее время в офисе).Если будет хотя бы несколько минут, то системный администратор очистит удаленное хранилище.2. Арест сотрудника, который без уведомления системного администратора открывает доступ к своему ПК и удаленному хранилищу.Если врыв прямо в офис будет очень быстрым, то сотрудник может не успеть выключить компьютер или размонтировать диск. Это большая проблемаЯ уже несколько дней пытаюсь понять как это лучше организовать, если кто чем может помочь, то с меня как обычно.
>>223914273Это сделаю.Я не знаю как размонтировать диск при бездействии человека. Чтобы когда он отошел товарищ майор не сел за комп и не скачал на флешку всё. И можно ли 2FA на удаленное хранилище повесить на самом компьютере. То есть чтобы запустить убунту надо пароль и токен и чтобы замонтироваться хотелось бы пароль и токен. Второе я не знаю как реализовать.>>223914389Пойду вкуривать
а не проще поднять rdp?чтобы вся работа была онли через рдп подключение. таким образом, все данные целиком и полностью будут на сервере
Делаешь блокировку через пять минут не использовая, без ключа, который является паролем входа в систему ничего не сделаешь.
>>223915137Для этого надо для каждого сотрудника по серверу, где они смогу шарить документы между серверами. Если поставить галочку в клиенте "сохранить пароль", то это пиздец, если товарищ майор зайдет в офис, где в компе активная сессия.>>223915298Не понял. Можно поподробней
>>223915137Плюсую.Просто вся работа на рдп. Доступ к удаленным серверам можно организовать в течение 2-ух дней, так что там спокойно успеешь все почистить.
>>223914700Размонтируй скриптом по крону, критерий сам выбери. Можешь, например, к ноге флешку привязать, сотрудник отойдет, флешка из fstab пропадет, скрипт это дело обработает и нужную файловую систему отключит.
>>223915480зачем так сложно? если можно один сервер для всех. на этом сервере уже делаешь файлопомойку. про сохранить пароль - возможно ты прав, но ты же говоришь про усб ключ?
>>223915507Товарищ майор увидит флешку на ноге при аресте. Плюс сотрудник вряд ли будет носить флешку на цепочке на ремне, например. Хуй забъет.>>223915543>>223915605Если два или более сотрудником может использовать один сервер для работы по rdp? Я всегда думал что к одному рабочему столу можно только одному клиенту приконнектиться.
>>223913809 (OP)Работайте с ПК, а не ноута. При врыве просто выключишь рубильник на свет и компы повырубаются. Вкупе с шифрованием диска нихуя никто не получит. Если конечно свои же пароли и не сдадут.Всегда выходите из системы, когда уходите поссать / пожрать.Все слишком легко.
>>223916901Поэтому я хочу всё на удаленке хранить. В идеале на компе чтобы только клиент был или примонтированное удаленное хранилище, которое не хранит пароль.
>>223920605Сотрудник знает пароль и у него есть ключ для входа в удаленное хранилище. Если засунут паяльник в жопу, то тут directed by robert b weide.Мне главное отсрочить проникновение в компьютер не сотрудника и получить уведомление, чтобы успеть всё стереть с удаленки
>>223920702Для таких дел люди и используют всякие быдло-чопы, бронедвери, автономное резервное питание и все такое. Если у тебя не хватает денег на эти мелочи, то еще раз подумой, стоит ли заниматься вообще тем, чем ты занимаешься. Слишком уж мало денег это приносит.
>>223913809 (OP)> Не хранить документы на компе, только в удаленном хранилищеМожно вообще жесткий нахуй убрать, чтобы вообще ничего не хранилось
>>223921507Я не шарю в этой теме, но читал где-то очень давно подробный гайд. Там вообще жд не было, чтобы сотрудник ничего случайно не сохранил на него.
Лол, я переписку в вк веду и всякие документы и прочее говно кидаю через доки же в ВК.Похуй на эту хуйню, блять.
>>223920702в сосничестве пейсал на пердле скрипт автологина по ссш с поролем внутри, затем конпелировал его. вайпать хранилище можно по таймауту, либо при вводе любой куйни в фейковое окошко авторизации. вариантов множество, но не для MS Office наверное
>>223913809 (OP)>Компы будут на убунте с анаьлными зондами линзами и частично закрытм кодом>безопасный серверЯ спокоен за РФ.
>>223921537Если нет жд, то операционка откуда запустится? Надо тогда ее с собой таскать.>>223921675>частично закрытм кодомПруфы?
>>223921730Что ОС на флешке, что ключ на флешке - однохуйственно. Если флешка попадет к тащ майору, то пизда и наоборот.
>>223913809 (OP)не получится. тебе надо понять когда у тебя пека скомпрометирован. я бы просто грузил комп только при подключении к инету, если его нет, то писос. разлогин должен приводить к запуску аутентификации и локу доступа пока не будет сети и аутентификации. у тебя комп либо залочен и зашифрован, либо имеет выход в инет и разлочен. если начались маски шоу, то админ просто лочит всё удалённо, если не локдаун и нет сети, то комп лочится. чтобы не насиловать юзеров я бы доп канал сделал в виде юсб модема.
ОП задумал какую-то уголовную хуйню.При этом>Моё решение: взять сервер на heznerКоторый стоит в Гермашке, напримерПри том, что у хостера может идти бэкапирование на другой сервер, куда доступа у ОП нет и не будет. Раз в неделю например.А потом товарищ майор почитает этот тред.
>>223921945>скомпрометированкак это узнать?и как грузить комп только при подключении к инету?>>223921966Хуйня не уголовная. Дело в клиентах, которые могут быть с разным бизнесом. И если окажется, что бизнес клиентов попадает под статью, то потом хуйню могут приурочить.Если будут бэкапы, то пиздец многовероятен даже при шифровке я думаю. Тащ майор может не волноваться потому что я не в СНГ живу.
сам же все расскажешь и предоставишь с коллегами. если даже данные похеришь словами опишите что делали и на какие суммы. а за то что умышленно похерил тебе еще и накинут. живи честно.
>>223922164Я и так честно живу. Есть законные вещи, за которые могут выебать. Вряд ли за такое будут сильно давить. В любом случае я хочу чтобы при аресте ПК тащ майоры не увидели даже следов монтированного диска, чтобы не знали на что давить, если придется.
>>223915480>Отдельный серверУ нас на терминальнике 40 щщей крутится одновременно, камон, сидя дома на жопе с rdp сессией до виртуалки
>>223922304Esxi с поднятыми виртуальными 10ками. На виртуалки распределяются ресурсы. Юзеры сидят под доменными учетками, в со-доступе по 15 щщей на одну машину. Все что есть со стороны юзера, это ярлык. В который надо вводить логпасс для входа на виртуалку.
>>223922063Ты учти что все что находится на серверах Германии подчиняется тамошним законам, в Голландии - голландским и т. д.
>>223922422Я не думаю что тащ майоры доберутся до бэкапов удаленных данных в Германии, но теперь я думаю своё хранилище организовывать, шифровать трафик и подключаться через vpn. Нормально защититься это пиздец геморрой.
>>223913809 (OP)Давно хотел замутить какой-то небольшой проект по таким сценариям, впринципе что нужно так это шифрование диска и уход в локскрин при панике. Соответственно надо как-то получить доступ к интернету до монтирования диска а это сложно. Может и есть решение, я не знаю.
>>223922594Для сервера проверки паники и раздачи ключей шифрования. Типа можно сделать единое хранилище ключей и передавать по шифрованному соединению. Но только когда всё ок. Когда к тебе приходят ты жмёшь кнопку и твоё нажатие или не нажатие кнопки вырубает все данные на всех компьютерах.
>>223922638Я думаю можно gsm брелок с кнопкой и gsm кнопку под стол, которая отправит смс на сервер чтобы отрубить доступ будет проще, чем писать столько софта.
>>223922804флешка, лайвсиди, microSD с оф. образом хуюнты напримерзагрузился, вышел в сеть, стянул сорцы автологина, сконпелировал, выполнил, вайпнул
Никаких волшебных кнопок. Нет гарантии, что ее сможешь нажать - тебя могут застать врасплох. Нет гарантии, что все нормально сработает даже в случае нажатия.
>>223922823Кнопка к чему подключена? >>223922871Сорцы автологина куда? В удаленное хранилище?>>223922903Я не буду иметь ключи на руках. Если будут пытать, то скажу у кого они. Я к бизнесу не имею отношения и не хочу туда иметь доступ
>>223923014я хз куда надо, ну пусть туда. ключи одноразовые. а шифрованный диск это повод тащмайору применить терморектальный криптоанализ
>>223922903Офк, ещё и на бутылку посадят, как же я ахуеваю с маняфантазий порой. Был случай, у анона забрали комп, правда не фебосы а обычные мусора. Так вот он был заблокирован и вроде как в протоколе написали что нихуя не вышло. Так что всё это хуйня, не защищаться потому что "бля да вас всё равно разъебут" это очень и очень глупо.
>>223923067Это значит при панике должен убиваться сервер, который выдает одноразовые ключи. И файлы больше не открыть. А если паника случайная... Я думаю что лайвсиди и юсбключ для входа в хранилище будет достаточно. Если арестуют, то будут кошмарить. А если будут кошмарить, то доступ получат. Как вариант еще блокировать доступ из новой сети на уровне хранилища. Это всё сильно замедлит тащ майоров и к этому времени админ скорее всего всё удалит.Остается вопрос где хранить физически сетевое хранилище. Потому что мало ли хецнер будет перехватывать каким-то образом ключи и бэкапить данные
>>223923090Фэбосы вряд ли заинтересуются. Максимум менты, ск и прокуратура. Даже если они бэп и отдел к привлекут, то вряд ли 2fa обойдут. Это только через пытки. Я бы хотел максимум обезопаситься с оверхедом для ментов, чтобы наверняка. И даже если кто пострашнее придёт, то чтобы и они имели трудности
>>223923222>должен убиваться сервер, который выдает одноразовые ключиих знать не обязательно, ведь их можно просто генерить по прогнозу погоды Мухосранска например, но сервер должен выполнять аналогичную операцию в таком случае. путь к серверу можно проложить через n-ное кол-во других серверов, а хранилище лучше поставить в каком-нибудь Найроби
>>223923301Если сервер с ключами будет жив то под кошмаром сдашься. А если его не будет то тут пытай не пытай.
>>223923333а если без сервера с ключами? пихаешь текущее время в ключ, генеришь и сразу логинишься. сервер проверяет таймстеп и если в пределах допустимого, то пускает, иначе нет. дело в алгоритме. уверен, что в 2020 ботнеты и не такое умеют
>>223915798На серверной винде хоть миллион человеков работать могут, терминальные сервера же. 2ФА дроч и геммор, при появлении товарища майора теряет смысл, работает только если ваш ресуср общедоступный и надо свести вероятность увода аккаунта к минимуму.
>>223923600Я думаю что лучшая защита это когда данных нет. Поэтому надо удалить данные с удаленного хранилища, как только майор начнет точить нос в жесткий диск или очко сотрудника. Основная проблема это если админ не узнает во время, что это уже происходит. При быстром аресте сотрудника он не успеет никого уведомить и может пройти несколько часов после того, как админ узнает. Проблема в этом. Про 2ФА согласен что теряет смысл. Это скорее от непреднамернного взлома или непрофессионалом.
>>223923432Ну смотри, у сервера внезапно проблема с НТП сервером, имеется рассинхрон по времени с клиентской машиной. Как заходить будешь? >>223923702Ну единственный вариант - 2ФА через админа, лол, прям ручной контроль сессий, мол, звонит сотрудник через скайп админу, чтобы было видно его ебло и слышно голос, при этом пытается залогиниться на серваке, и без аппрува админа хуй ему, а не логин. Тупо видеодомофон на сервак, други более-менее надёжных вариантов не вижу. У самого стоят схд нетаппы с шифрованием на лету, чо там эти 40тб данных, если чтобы включить схд нужен пароль на 36 символов, иначе не собирается массив? Но тут дело, опять таки, в выключении схд и недопущении доступа к данным
>>223923765Да, придумал как на уровне винды даже сделать.Время жизни аккаунта ставим минимальным, но по-моему внутри домена срок действия аккаунта ты можешь регулировать по дням, по часам и минутам не взлетит. Так вот, надо чтобы аккаунт постоянно "умирал" и блокировался, чтобы без волшебной руки админа хуй пользователю, а не вход на тачки домена по его учётке.>>223923800Не, с одной стороны подход олдскульный, с другой стороны слишком много переменных, из-за которых может быть обосрамс с доступом.
>>223923747Было бы здорово, но это дроч лютый.>>223923765После выдачи сессии может сразу зайти тащ майор.
>>223923865Ну мониторинг действий, ёпт. Но это тоже дрочка, тут либо напрямую человека садить наблюдать, либо хитровыдуманный софт за много денег ставить, брить руками все доступы и постоянно следить за пользователем и высылать аллерты, если его действия выходят за рамки типичного сценария использования.
>>223923982скриптом на коленке за 5 минут. если пинга нет, значит обесточили. самое время набрать номер и позвонить
>>223923014>Если будут пытать, то скажу у кого они. Я к бизнесу не имею отношения и не хочу туда иметь достудурачок то что ты сказал уже тянет на опг и бизнес легко может повесить схему на тебя кто-то должен быть виновен у тебя бабок нет а у них есть. мой тебе совет беги оттуда ищи работу в белой фирме таких полно. нахуй вы под статью лезете дурачки вы владельцы бизнеса ?
>>223923865>После выдачи сессии может сразу зайти тащ майор.один из сотрудников может быть под таищмаером включая кого-то из бизнеса кто хочет оттяпать всю фирму себе или вытаскивает свою жопу. и наш эникей отьедет далекокороче защитой от конкурентов есть смысл заниматьсяот государства нет
>>223913809 (OP)1 поднимаешь собственный vpn.2 включаешь на компах режи щашифрованной фс3 все юзеры сидят под своими пользователями, желательно в домене4 на всех компах стоит по контролирующее работу usb устройств5 отключаешь интернет всем, кроме 1-2 человек которым он реально нужен
>>223923090>. Был случай, у анона забрали комвот именно 1 случай на 1000 каждый случай уникален. и быть уверенным что тебе повезет очень глупо для человека с техническим образованием
>>223913809 (OP)тред уровня мамкиного хацкера. если тобой заинтересовался тов. майор (а значит он уже что-то знает, тем более если технику уже изымают для анализа), то тебе никакое шифрование не поможет, тебя и так нагнут (пусть даже выбьют ключи у сотрудника). вся твоя хуйня может помочь только от кражи данных третьим лицом, что в случае с тов. майором, который что-то знает уже бесполезно.если заинтересуется тов. майор из германии, то тебе тем более нихуя не поможет без норм юристов.
>>223913809 (OP)Долбоёб.Твоя задача решается крайне легко и просто.Гугли ТОНКИЙ КЛИЕНТМайоры не смогут похакать компы юзверей, если на них физически нихуя не хранится
Што за хуйню я читаю?Техническая часть:Машины в офисе грузятся по PXE из образа какого-нибудь линакса в RAM. «Тонкие клиенты», на них ничего нет и быть не может. Образ настроен таким образом, чтобы подключать по USB можно было только офисные флешки.Сервер с nextcloud - с полнодисковым шифрованием. Терминальник - в домене.Офисный впн до впн-концентратора в хецнере, с него можно попасть на терминальник.Логин на терминальник - 2FA: ключ «на сегодня» и пароль юзера. Организационные меры:Ключи для расшифровывания nextcloud - у тебя и гендира. Живут на смарт-картах. У тебя на расстоянии вытянутой руки есть шреддер для смарткарт. В случае маски-шоу ты кладешь карту в шреддер. Дальше к тебе вопросов нет: ключи есть и они у гендира. Все паяльники - к нему.Раз в 15 минут тебе надо подтверждать, что вы все еще работаете: например, всплывающее окошко в приложении на андройд или на собственном сайте в браузере. Как ты это организуешь - твои проблемы. Первый пропуск подтверждения - все ключи пользователей и сами пользователи блокируются, сессии разлогиниваются принудительно. Второй пропуск - некстклауд уходит в ребут с ноги.Ночью, понятно, некстклауд выключен, пользователи заблокированы.Учетки разблокируются, когда человек заходит к тебе утром ногами. Тогда же ты выдаешь ему флешку с ключом «на сегодня». Ключи одноразовые и генерятся в моменте на восемь часов.Вечером человек сдает тебе флешку и ты блокируешь учетку.Никакого удаленного доступа и работы вне офиса не предусмотрено. Выход за пределы контролируемой среды - как в ногу себе из двустволки заебашить.Никакого волшебства и серебряной пули нет и не было никогда - только много скучной и однообразной работы.
>>223933393они дебилы? а если компромат на винте и оператор с олимпийским спокойствием вайпает его, пока они выпиливают дверь? потом обратно запилят в таком случае, да еще и извинятся
>>223913809 (OP)>Призываю безопасников>Задача: организовать безопасную среду для документооборота малого бизнеса на 5 сотрудников. Бюджет? Ты хочешь чтоб бесплатно за тебя всё сдклали?
>>223913809 (OP)>1. Защитят ли эти методики от вскрытия данных, если изымут технику для анализа?В теории да, на практике паяльник в твою жопу решит вопрос. >2. Можно ли как нибудь автоматически размонтировать удаленное хранилище из файловой системы при бездействии человека за компьютером в течении нескольких минут и при выключении компьютера?Да>3Да>системный администратор очистит удаленное хранилище На практике проебётся, нужна кнопка и магниты. >Если врыв прямо в офис будет очень быстрым, то сотрудник может не успеть выключить компьютер или размонтировать диск. Поэтому кнопка и магниты
>>223913809 (OP)По классике - арендуешь виндовс-сервер в европе, доступ по рдп через впн с ключами на роутере. Локально ничего не хранишь вообще, даже в кеше/етц. Должен быть тупо комп, который выкинул, купил новый, запустил mstsc с юзернейм-паролем, и снова работаешь. 1,2-сценарии решились (подразумевается что офис в одном месте, а не каждый сидит где-то в своей квартире). Маски-шоу обычно просто опечатывает компы и увозит их навсегда, но если ты прям уверен, что будут смотреть в экраны и пытаться скопировать через открытый сеанс, то придумай способ порвать впн. По идее можно повесить веб-сервис на сервере, который при стуке в определенный урл или кнопкой на форме уведет его в даун. Например заходишь на http://12.23.34.45/fuckfuckfuck36927217075267931372476 и там страница с большой кнопкой fuck. Жмешь, и сервак сразу ребутится. Минусом является то, что телефоны у вас сразу отберут. Если ответственный за безопасность всегда на месте, то я бы просто кинул ему удлинитель с кнопкой до роутера, и при кипише его можно просто быстро выключить.
>>223913809 (OP)твой ip уже выдан спецслужбам, сервера можешь уже не поднимать, они скоро приедут, лучше кипяточка завари, чаю попьют АБУ ПИДОР КСТА
>>223935285... Почитал тред с идеями про погоду и прочие временные ключи. Во-первых тебе это никто не реализует в нормальные сроки, во-вторых это ненадежно. Вставший бизнес бывает риском не меньшим, чем если тебя примут. От выпытывания паролей (человек кстати легко ломается психологически, его даже бить никто не будет; реальные пытки нужны для того, чтобы он признал идею, которую он не хочет подсознательно, например, что он хотел замутить переворот или терроризм) достаточно уничтожить ключи на сервере или вообще его дропнуть. У вас должно быть нормой на все установочные и технические вопросы отвечать правду (включая пароли), а защищать нужно лишь оперативно-доказательную базу. То есть «да, вели бухгалтерию и документы клиентов, вот пароль в телефоне записан даже, документы договора всякие, я не юрист, не шарю». Если сервер не в рф и странах-подсосах, то бакап не бакап - похуй, доступ туда никто не получит. Для совсем параноиков кури нидерланды.
>>223913809 (OP)>задеплоить nextcloud и примонтировать к компьютерам офисаТам же можно прямо из браузера всё делать (Collabora вроде называется). И все файлы шифруются одной командой или типа того. А в ситуации, когда твоим сотрудником вдруг стал товарищ майор, а ты об этом не знаешь, тебе уже ничего не поможет
>>223913809 (OP)Миша, все хуйяня, давай по новой!Имхо, если действительно власти станет интересна ваша дяетельность - вам пизда. Ничего не поможет и не спасет. Даже если ты лично все диски в серверах в пыль сотрешь, заюзав телепорт в прошлое из будущего. Вас просто за наглость помножат на ноль всех, лол. Вся эта хрень может быть затруднит деятельность каких нибудь залетышей-гопарей из МВД или охуевших рейдеров. Да и то вам всем все равно пизда: такие, как правило, не церемонятся и просто ебашут чуть что =)так что, анон, не усердствуй там сильно. Видимость создай для начальства и жди своей участи, коли влез в эту парашу. Надеюсь, оно того стоит
>>223939093Ты перегибаешь, у всех интерес чисто финансовый, и если лично нахуй не слать кого-то, то никто тебя на ноль умножать не станет. Чисто по собственным понятиям даже. Единственный отдел, который не будет церемониться, искать фин.интерес, и будет со всей ненавистью относиться, это БТ, но если оп заведомо связан с этой хуйней хотя бы через одно «рукопожатие», то земля ему пухом.
>>223921709> то операционка откуда запустится?Я тя удивлю ща.Операционку можно по сети грузить, прям из биоса или что там ша, уеби, уефи...
>>223940378> у всех интерес чисто финансовыйродной мой, дорогой, яхонтовый, вот именно за это тебя и помножат на ноль. Твои понятия и на хуй посылания вообще никому не интересны, ахах. Прекращай мыслить как перекуп мобилок с рыночка возле вокзала, лол> но если оп заведомо связан с этой хуйнейОР там не пришей к пизде рукав и понятия не имеет за потаенные делишки своих боссов. Ему бубликом плесневелым перед еблом поманили, а он и рад стараться.
>>223941294да тут и так все предельно ясно. Сам посуди, буть ОР из серьезной конторы с финансами, стал бы он сидеть тут и выпрашивать совета у унтерменшей местных, лол? Ясен хуй, что он сидит в мелкой конторке, промышляющей мелким наебыванием и укрывающейся от налоговиков и крышивальщиков. Поэтому, все вышеизложенное было так, экскурс в мир реально больших денег и никого отношения не имеет к сказочному долбоебу ОРу и нищебродской конторе в которой он батрачит