Hace pocos dias una directora de equipo me pregunto por configurar sus equipos pero sin substraerles los derechos administrativos, puesto que ellos querían instalarse sus programas.
La pregunta me perturbó puestro que tuve que argumentar pros y contras, y aun más convencerme a mi mismo y establecer parámetros.
Porque habría de querer el usuario instalarse programas?
pues porque lo necesita, es decir, necesita el programa.
Pero si lo necesita porque no puede pedir al administrador que se lo instale?
Pues porque no sabe que lo necesita, es decir, el usuario quiere tener el poder de instalar cualquier cosa en cualquier momento pero no sabe qué.
Para esta actitud reaccionaria (que sólo reacciona ante la necesidad sin planificar) se pueden encontrar contras:
- es conocido que existen spamers y sitios web que ofrecen algun archivo que en un momento el usuario puede necesitar o necesitar abrir: como el programa necesario no existe en el computador, el usuario cae en un enlace de un programa que le permite abrir el archivo, el usuario lo baja lo instala y así se queda funcionando con un troyano, gusano o virus. Las mas de las veces el usuario no se molesta en desinstalar el programa, en otros casos, aunque lo haga pueden quedar escorias.
También el usuario puede argumentar que necesita instalar dispositivos: impresoras, discos externos, etc.
Nuevamente el contraargumento es parecido: si el usuario cambia la configuracion del sistema, este podría dañarse.
El usuario administrador quiere "tener el poder" porque se siente capaz de administrar su computador. Claro que en el punto que no pueda quiere tener la posibilidad de llamar al administrador que le resuelva el problema que él causó.
Si el usuario es suficientemente experto para administrar su equipo, entonces no necesita mas ayuda. El administrador que sólo esta para contestar preguntas donde la capacidad administrativa del usuario se termina esta condenado a correr de aqui para alla apagando fuegos.
La administración de IT se fundamenta en un trabajo pro-activo, en la que el administrador crea herramientas para configurar los equipos de manerea automatizada y correcta, normalemente lejos de lo que el usuario final esta acostumbrado a hacer siendo ayudado por asistentes de configuración presentes en los programas.
El usuario debe entender su rol como empleado para tareas definidas que normalmente estan bastante lejos de la administracion de IT. El administrador establece la infrastructura adecuada para que el usuario trabaja de la manera más eficiente y adecuada.
Si el administrador cumple su rol correctamente, es innecesario que el usuario tenga derechos administrativos. El usuario y el administrador no son enemigos sino que estan en una relacion reciproca de servicios y clientes.
principio de seguridad del mínimo privilegio
Aunque la velocidad de reacción para la solución de problemas puede ser la misma para un equipo externo y desconocido por el departamento de IT que para equipos configurados y mantenidos por él, la velocidad de solución de los problemas puede ser drasticamente diferente, puesto que los equipos externos resultan desconocidos, no tienen documentación alguna y además no estan anexados a las herramientas de configuración del departamento.
Secretarias y Jefes con altos privilegios y acceso a datos sensibles ponen además en juego esas informaciones -personbezogenedaten-
Admin o no Admin he ahi el dilema:
Si los usuarios se empeñan en que el único camino es que ellos tengan derechos administrativos, el administrador puede ofrecer un "servicio limitado", para esto es bueno tener una lista de los servicios que engloba el depto. de IT y tachar los que no se pueden ofrecer.
La realización de SLA podría también ser útil. El usuario quiere ayuda pero también quiere instalar su OS, programas y todo lo le alcance su capacidad. Al instalar todo de manera manual por DVS o downloads, el administrador no tiene mucho camino para arreglar problemas que estas instalaciones y malas configuraciones puedan ocacionar.
El departamento de IT puede por ejemplo ofrecer reinstalacion completa del sistema con configuración básica y programas standard para digamos un ejemplo, 3 horas. Si una computadora no pertenece al dpto. un rescate de los datos podría ser necesario, cosa que en algunos casos -como disco duro danado- podría durar hasta días y costar una pequena fortuna.
Asimismo, el departamento de IT puede ofrecer instalacion remota de programas en digamos 10 minutos o menos, mientras que para computadoras no administradas no se ofrece instalación remota -dado que el usuario quiere instalar- y si fuera requerido podría ser necesaria una cita, además de tiempos de traslado y atención.
Otras tareas engorrosas como la configuración de email, podrían realizarse de manera automatizada a traves de servidores de perfiles o GPO pudiendo tardar también sólo algunos minutos, mientras que estas mismas configuraciones para equipos no administrados requieren también citas y traslados.
Quizás lo más recomendable sea hacer listas de los servicios automatizados que ofrece IT cuando la administración es completa y compararla con las posibilidades cuando el usuario quiere hacer el trabajo.
https://www.security-insider.de/mehrheit-der-firmen-gibt-mitarbeitern-adminrechte-a-682765/
viernes, 12 de julio de 2019
viernes, 5 de julio de 2019
FreeBSD - Crear una presentación en modo quiosco
1.- Crear un usuario "show" sin contrasena:
adduser show
2.- Instalar el escritorio Lumina (esta basado en fluxbox pero ya viene con unas cuantas herramientas preinstaladas):
pkg install slim xorg lumina-desktop
3.- Instalar VLC (soporta más formatos y es muy configurable)
4.- configurar el usuario para que se logee automaticamente en
/etc/ttys:
ttyv1 "/usr/libexec/getty show" xterm onifexistt secure
5.- configurar vlc para que arranque en pantalla completa, en círculo, y con videos aleorios:
comando :
vlc -f --loop --random "carpetaconvideos"
6.- buscar en la configuración de Lumina (por menus) la opcion Autostart, poner ahi la aplicación vlc. Esto creará un archivo vlc dentro de la carpeta
~/.config/autostart/vlc.desktop
7.- abrir este archivo y editarlo comentando (o borrando) la linea Exec y agregando la linea:
Exec=/usr/local/bin/vlc -f --loop --random "3D-Hologram"
9.- Agregar las lineas a .profile para que ejecute lumina, y también deslogee al show al salir:
start-lumina-desktop&
exit
10.- disminuir el delay del arranque a tres:
/boot/loader.conf :
autoboot_delay="3"
11.- algunas cosas anexas que siempre pongo a FBSD:
pkg install firefox
pkg install xoterm (el xterm que viene es horrible)
pkg install vim
pkg install zsh (hay que ponerlo como shell standard de c/usuario, por eso mejor instalar antes de crear show-user) tambien se puede hacer con chsh, FBSD no recomienda combiar el shell de root por acceso al sistema de archivos
/usr/local/etc/X11/xinit/xinitrc
adduser show
2.- Instalar el escritorio Lumina (esta basado en fluxbox pero ya viene con unas cuantas herramientas preinstaladas):
pkg install slim xorg lumina-desktop
3.- Instalar VLC (soporta más formatos y es muy configurable)
4.- configurar el usuario para que se logee automaticamente en
/etc/ttys:
ttyv1 "/usr/libexec/getty show" xterm onifexistt secure
5.- configurar vlc para que arranque en pantalla completa, en círculo, y con videos aleorios:
comando :
vlc -f --loop --random "carpetaconvideos"
6.- buscar en la configuración de Lumina (por menus) la opcion Autostart, poner ahi la aplicación vlc. Esto creará un archivo vlc dentro de la carpeta
~/.config/autostart/vlc.desktop
7.- abrir este archivo y editarlo comentando (o borrando) la linea Exec y agregando la linea:
Exec=/usr/local/bin/vlc -f --loop --random "3D-Hologram"
9.- Agregar las lineas a .profile para que ejecute lumina, y también deslogee al show al salir:
start-lumina-desktop&
exit
10.- disminuir el delay del arranque a tres:
/boot/loader.conf :
autoboot_delay="3"
11.- algunas cosas anexas que siempre pongo a FBSD:
pkg install firefox
pkg install xoterm (el xterm que viene es horrible)
pkg install vim
pkg install zsh (hay que ponerlo como shell standard de c/usuario, por eso mejor instalar antes de crear show-user) tambien se puede hacer con chsh, FBSD no recomienda combiar el shell de root por acceso al sistema de archivos
/usr/local/etc/X11/xinit/xinitrc
jueves, 4 de julio de 2019
Fast SSH (resumen) FreeBSD / macOS
Conectar a nuevo cliente(server) desde cliente que ya tiene su par de llaves:
Server:
Client:
Si hay problemas:
por defecto estan y debe estar activadas las siguientes configs:
esta activada ssh? => less /etc/rc.conf ==> ssh_enable="YES"
ssh corre? ==> /etc/rc.d/sshd start/stop/restart
el cliente ya debe tener su llave generada sino hay que hacerlo con ssh-keygen. Comprobarlo es mirar en ~/.ssh
Cambiar el shell standard del que se logea por ssh (remoto es macos):
- me importa porque uso zsh y estandar viene el bash
sudo chpass -s /bin/zsh administrator
Lindo zsh prompt coloreado con directorios, usuario y computername:
en un solo comando (copia y pega)
setopt PROMPT_SUBST
wvb11% PROMPT='%{$(pwd|([[ $EUID == 0 ]] && GREP_COLORS="mt=01;31" grep --color=always /|| GREP_COLORS="mt=01;34" grep --color=always /))%${#PWD}G%} %(!.%F{red}.%F{cyan})%n%f@%F{yellow}%m%f%(!.%F{red}.)%#%f '
https://superuser.com/questions/49092/how-to-format-the-path-in-a-zsh-prompt
ls con colores (por supuesto tambien por ssh)
ls -lhaG
zsh con historial:
zsh a traves de ssh no tiene archivo de configuracion ni historial, para que funcionen transladando los comandos de bash, es necesario lo siguiente:
vim ~/.zshrc
HISTFILE=.zhistory
SAVEHIST=1000
cp ~/.bash_history .zhistory
Simple .zshrc con todo:
vim .zshrc
HISTFILE=.zhistory
SAVEHIST=1000
setopt PROMPT_SUBST
setopt HIST_IGNORE_DUPS
setopt HIST_IGNORE_SPACE
setopt INC_APPEND_HISTORY
PROMPT='%{$(pwd|([[ $EUID == 0 ]] && GREP_COLORS="mt=01;31" grep --color=always /|| GREP_COLORS="mt=01;34" grep --color=always /))%${#PWD}G%} %(!.%F{red}.%F{cyan})%n%f@%F{yellow}%m%f%(!.%F{red}.)%#%f '
alias ls='ls -G'
i
Server:
vi /etc/ssh/sshd_config ==>
PermitRootLogin yes <== IMPORTANTE no sólo descomentar sino cambiar NO por YES !!!:/etc/rc.d/sshd restart
Client:
ssh-copy-id -i ~/.ssh/id_rsa.pub root@10.10.10.10
ssh root@10.10.10.10
Si hay problemas:
por defecto estan y debe estar activadas las siguientes configs:
esta activada ssh? => less /etc/rc.conf ==> ssh_enable="YES"
ssh corre? ==> /etc/rc.d/sshd start/stop/restart
el cliente ya debe tener su llave generada sino hay que hacerlo con ssh-keygen. Comprobarlo es mirar en ~/.ssh
Cambiar el shell standard del que se logea por ssh (remoto es macos):
- me importa porque uso zsh y estandar viene el bash
sudo chpass -s /bin/zsh administrator
Lindo zsh prompt coloreado con directorios, usuario y computername:
en un solo comando (copia y pega)
setopt PROMPT_SUBST
wvb11% PROMPT='%{$(pwd|([[ $EUID == 0 ]] && GREP_COLORS="mt=01;31" grep --color=always /|| GREP_COLORS="mt=01;34" grep --color=always /))%${#PWD}G%} %(!.%F{red}.%F{cyan})%n%f@%F{yellow}%m%f%(!.%F{red}.)%#%f '
https://superuser.com/questions/49092/how-to-format-the-path-in-a-zsh-prompt
ls con colores (por supuesto tambien por ssh)
ls -lhaG
zsh con historial:
zsh a traves de ssh no tiene archivo de configuracion ni historial, para que funcionen transladando los comandos de bash, es necesario lo siguiente:
vim ~/.zshrc
HISTFILE=.zhistory
SAVEHIST=1000
cp ~/.bash_history .zhistory
Simple .zshrc con todo:
vim .zshrc
HISTFILE=.zhistory
SAVEHIST=1000
setopt PROMPT_SUBST
setopt HIST_IGNORE_DUPS
setopt HIST_IGNORE_SPACE
setopt INC_APPEND_HISTORY
PROMPT='%{$(pwd|([[ $EUID == 0 ]] && GREP_COLORS="mt=01;31" grep --color=always /|| GREP_COLORS="mt=01;34" grep --color=always /))%${#PWD}G%} %(!.%F{red}.%F{cyan})%n%f@%F{yellow}%m%f%(!.%F{red}.)%#%f '
alias ls='ls -G'
i
Suscribirse a:
Entradas (Atom)