id: Гость   вход   регистрация
текущее время 16:10 28/03/2024
Автор темы: TchP, тема открыта 06/03/2004 22:54 Печать
http://www.pgpru.com/Форум/ПрактическаяБезопасность/PGPDisk-УдалённоеПодключениеРаботаВТерминалах
создать
просмотр
ссылки

PGP Disk – удалённое подключение, работа в терминалах


Уважаемый All!
Есть следующая задача. На сервере (Win2003+PGP 8.0.3) требуется хранить SQL-базу на шифрованном диске. Всё просто и красиво, но есть одна сложность – на той фирме нет админа, который мог бы заниматься подключением этого диска. Давать нескольким (на случай если кого нет на месте) юзверям пароли, чтобы они ходили на консоль и каждый раз подключали диск – как-то не очень хотелось бы, сами понимаете.
Отсюда просматривается интересное решение – опубликовать PGP-диск как терминальное приложение с командной строкой вида "C:\Program Files\PGP Corporation\PGP for Windows 2003\pgpdisk.exe" PGPdisk.pgd; пусть они его пускают и маунтят диск не вставая со своих рабочих мест. Нефиг им на сервере делать.


На практике обнаружились следующие проблемы:
1. Без админовских прав юзверь вообще не может маунтить диски.
2. Если сначала зайти терминальным клиентом, а потом подключить диск, то всё прокатывает; если же сразу забить в ярлык клиента требуемую командную строку (или опубликовать то же через Citrix), то при старте получаем сообщение "Чтобы работать с ПГП-диском, вам нужно сделать логофф, а потом логон". Причём после нажатия ОК сессия повисает в состоянии Active, и и приходится делать ей логофф вручную.
Исследования показали, что мессага эта происходит оттого, что не стартанул PGPTray. Пробовал пускать PGPTray в батнике – не помогает, ему самому Explorer нужен для жизни; а ежели перед ним в батнике пускать ещё и Эксплорер, тогда юзверь вообще десктоп имеет полный на сервере и нет никакого смысла всё это городить.
3. Ладно, заходим терминалом, потом вручную маунтим диск. Буквой он маппиться не хочет опять-таки по причине терминальной сессии; маунтим как каталог, вроде наконец-то заработало, хотя уже некрасиво, но хоть ногами ходить на сервер не надо. И что? Делаем логофф, и диск естественно отваливается.


Есть ли какое-нибудь нормальное решение, может на базе другого софта? BestCrypt и другие пока не пробовал, как-то к PGP уже давно привык; может, они это могут? Суть в том, что подключение диска должно выполняться удалённо, то ли через терминалы, то ли утилем каким из комплекта. У PGP, как я понял, такой возможности нету...


 
Комментарии
— TchP (07/03/2004 18:33)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0
Нда... Поюзал немного BestCrypt 7.10, там по крайней мере вроде нет проблем №1 и №3. Но что касается проблемы №2 – как бы основной проблемы, полно глюков нарисовалось, пока ещё не ясно, побеждаемых или нет. Народ, неужели нельзя приучить PGP делать то, что мне надо? Чтобы нажал юзверь ярлык со своего места, у него пароль спросило и диск замаунтился на сервере?
— SATtva (07/03/2004 20:26)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
PGPdisk для терминального доступа в принципе не предназначен, это сугубо персональное решение. Во всех иных схемах всплывает куча сопутствующих проблем.

Удалённым подключением Lahesis более предметно занимался. В этой ветке форума есть его топик относительно сего вопроса, советую заглянуть туда. А для более детального разбора — обратиться к нему напрямую (в идеале, конечно, лучше бы он здесь отметился).
— TchP (08/03/2004 15:07)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0

??? А можно ткнуть пальцем? Поднял все его сообщения, но ничего похожего не нашёл. По-моему, речь там шла скорее об расшаренном по сети контейнере, который могут подключать себе все желающие – в этой схеме нет ничего необычного, это даже в мануале на ПГП я где-то видел.
— Lahesis (11/03/2004 18:20)   профиль/связь   <#>
комментариев: 38   документов: 5   редакций: 0

Есть следующая задача. На сервере (Win2003+PGP 8.0.3) требуется хранить SQL-базу на шифрованном диске. Всё просто и красиво, но есть одна сложность – на той фирме нет админа, который мог бы заниматься подключением этого диска.


Что вообще нет, или бывает, что временно нет? А кто тогда пароли долбить должен? А отключать кто будет если что? Диск-то для совместного доступа или персональный для каждого пользователя?
В конце концов можно установить удаленное управление рабочим столом и клацать мышом как на своей машине. Короче ничего не понял :( .
— TchP (12/03/2004 11:13)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0

Вообще нет.

Юзверь, который на работу раньше пришёл.

Да хотя бы кто первый до рубильника добежит.

Нет!!! Он вообще не для доступа, он на сервере, и на нём лежит база MS SQL 2000 и может ещё кое-что. Юзвери напрямую вообще не могут на него писать, и нигде по сети диск этот не шарится.

Спасибо, а на фиг им доступ к рабочему столу на сервере?

Короче, я уже всё сделал и так. Но на BestCrypt 7.1+Citrix 1.0 FR3+W2K3. Увы, мой любимый PGP не смог...
Вкратце – схема такая: один из нескольких доверенных юзверей приходит на работу, запускает у себя ярлык "Подключить диск", у него вываливается приглашение с паролем (как раз это и есть BC, опубликованный как терминальное приложение). После ввода пароля на сервере (ещё раз повторяю, НА СЕРВЕРЕ, никаких шареных по сети дисков) подключается файл-контейнер, на котором лежит SQL-база, и довольный юзверь может начать работу со своим приложением, которое стоит на сервере и опубликовано опять-таки через Цитрикс.
Бэкапиться будет контейнер целиком, так что данные наружу не попадут никак. В случае маски-шоу достаточно дёрнуть за хвост 220 вольт, и диск естественно пропадает. А с учётом того, что скоро сервер переедет километров за 8 от офиса и сядет на выделенную линию, времени для этого будет более чем достаточно ;)))
Короче, кому надо – могу объяснить подробнее, пишите на мыло. А то уже оффтоп получился, форум-то про PGP :)))
— SATtva (12/03/2004 12:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
TchP, неее, про PGP там специальный раздел форума, а здесь всё, что по теме информационной безопасности. :)

Только вот вопрос по предложенной схеме. BestCrypt как терминальное приложение, контейнер на сервере... а пароль к нему по сети открытым текстом передается? Это есть очень нехорошо.
— Lahesis (12/03/2004 17:06)   профиль/связь   <#>
комментариев: 38   документов: 5   редакций: 0
Ага! А цифра до сервера будет в открытом виде бегать и шифроваться собственно исключительно для опаски от мышей которые рядом живут. Или подразумевается закрытый канал связи с сервером. С таким же успехом можно купить хостинг у зарубежного хостера с предустановленной SQL дешевле выйдет.
— TchP (15/03/2004 10:47)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0
To SATtva:
А-а-а, до меня только сейчас дошло, что мою тему переместили из "PGP Disk" в "Практические схемы" ;)))
А я всё жду, когда же Вы мне звезду навесите :)))

Во-первых, пока сеть локальная и на свичах, это не есть особая проблема.
Во-вторых, Citrix без каких-либо усилий держит 128 бит шифрования по RC5.
В-третьих, пошифровать трафик дополнительно тоже не есть проблема. Даже Винда кое-что умеет, не говоря уже об аппаратных средствах для выделенки. Так что предложенную схему можно развивать вглубь и вширь сколько угодно.

To Lahesis:
Ты на калькуляторе посчитал, да? Или ты вообще по жизни критик?
— Oleg (08/09/2004 16:33)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
Вот это ДА!
:o
Такая же проблема
!
Тоже самое хотел нагородить на серваке и тоже самое получилось!
Есть один чел. кому позволено mount, но ему не хочу давать админских прав, а приезжать и самому подключать........хммм.... :-/ :? Не пойдёт.
ДУмал, может есть места в реестре, на которые можно дать разрешения, но КАКИЕ? :?: Там их столько!
Может кто знает, решаема ли эта проблема таким вот образом????
— Гость (18/10/2005 11:32)   <#>
TchP:

Во-первых, пока сеть локальная и на свичах, это не есть особая проблема.


Ошибаешься, для злоумышленника в этом сегменте сети это не проблема – ARP poison routing работает...
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3