Защищённый терминальный сервер на Ubuntu-server 9.04 для небольших офисов

[steepman]

Помогите, кто может! Достаточно серьёзная задача, но вариантов решения - масса, а времени немного. Задача решена кусками, но единого целого пока не получается. Нужно сделать сервер на шифрованом разделе под Линукс со след. хар-ками:  ubuntu-server 9.04 (без иксов), на котором нужно сделать терминальный сервер (для каждого клиента - нормальный рабочий стол под gnome + openoffice+ все прибамбасы, что есть в ubuntu 9.04 desktop), файл-сервер (только для приконнектившихся клиентов) , backup-сервер, сервер печати и почтовый сервер (какой лучше-быстрее-удобнее-легче в настройках- НО -только IMAP!!!). Клиенты заходят в с linux-терминалов по ssh+vnc и попадают в gnome (в зависимости от того, кому что прописано). Все системы на сервере работают под виртуализацией (xen, kvm - ?), т.к. на сервере, возможно, будет добавлен ещё и win2003server для запуска win-приложений. Количество народа невелико: до 5...10 клиентов максимум на сервере. Доступ по ключу на флэшке на клиентской машине + пароль при входе. Флэшку долой - сессия закрывается, но при входе - снова, как будто машина никогда не выключалась (сохранение сеанса и открытых приложений при входе-выходе)... Т.е. ключевые моменты: безопасность, невозможность клиентов утащить данные с сервера домой на флэшке либо другом носителе (только печать с логированием), продвинутая система отчётов, доступная админу через https, позволяющая видеть, кто какие документы открывал/правил/печатал и когда, постоянный бэкап данных (чтобы можно было восстановить исправленный или удалённый документ). Сервер - HP ProLiant ML150 G5 c Intel® Xeon® E5405 2,0 ГГц + 2Gb RAM + RAID 2xHDD по 1Tb каждый. Задача востребована во многих офисах, меняется только железо (иногда надо примерно то же, но на обычных компах с одно- двух-ядерными процессорами, но памяти меньше 2Gb не бывает)... Администрирование сервера, естественно, удалённо по SSH. У кого какие предложения?
Пользователь решил продолжить мысль 22 Сентября 2009, 20:57:47:Чуть не забыл: ломать голову над загрузкой бездисковых терминальных клиентов тоже надо, поскольку не везде есть лишние винчестера, а в некоторых офисах (о ужас!) ещё живы даже 486 машины.....

[Просто Царь]

В принципе все вполне реально, но вот такого решения чтоб все в одном не встречал. Вот только для запуска win приложений я бы взглянул в сторону wine,  так как речь идет о малых офисах, а им я думаю ни к чему тянуть не дешевую лицензию на винду, тем более серверную.

[rapidsp]

Насчет шифрования - в Ubuntu 9.10 есть упоминание о шифровании домашнего каталога - может стоит копнуть в ту сторону...
Ключи на флешке - не солидно. для этого есть смарт-карты.

[steepman]

Самое неприятное в Wine - то, что он многие приложения ещё не научился эмулировать полностью... Один только Autocad чего стоит... Я уже не говорю о CorelDraw и Adobe Photoshop. Причём, если Corel и Photoshop можно (с оговорками) заменить на Gimp и InkScape, то чем заменить спец. приложения, которые ориентированы на работу ТОЛЬКО под Windows, и под Wine запускаться принципиально не хотят (сюда же можно отнести всевозможные банк-клиенты, которые "великие деятели" из банков ну никак не хотят портировать под линукс)? В таком случае можно даже купить лицензионную Win2003 (благо, на небольшое количество лицензий цена не очень высока), и поставить её на тот же сервер как вторую гостевую систему (чтобы сэкономить, хотя бы, на железе).
А насчёт флэшек - это стандарт: кто будет искать на флэшке пользователя необходимый ключик, особенно если он замаскирован под обычный файл? А смарт-карты - это уже явное указание на ключ. Кроме того, флэшка давно уже стала стандартом, и кроме ключа на ней может храниться множество необходимых для работы данных. Как говорится, "Дёшево - и сердито!". И НИКАКОГО спец-оборудования!
Пользователь решил продолжить мысль 23 Сентября 2009, 03:47:26:Кстати, шифрование домашнего каталога не решает проблему целиком, т.к. есть ещё /var /swap и т.д., в которых ОБЯЗАТЕЛЬНО останутся следы вашей деятельности в системе. А постороннему "кулхацкеру" только облегчат жизнь при взломе попавшей ему в руки инфы. Поэтому желательно тотальное шифрование всех разделов жёсткого диска, чтобы "не мудрствовать лукаво"... Есть такой зверь LVM + шифрование (эта опция есть в менюшке при установке Uduntu - сервера с диска). Но вот затем начинаются чудеса типа "введи пароль" при запуске компа, без которого зашифрованый раздел не расшифруется, а значит, система не может быть загружена автоматически... Значит, надо шифровать избирательно...

[rapidsp]

А насчёт флэшек - это стандарт: кто будет искать на флэшке пользователя необходимый ключик, особенно если он замаскирован под обычный файл? А смарт-карты - это уже явное указание на ключ. Кроме того, флэшка давно уже стала стандартом, и кроме ключа на ней может храниться множество необходимых для работы данных. Как говорится, "Дёшево - и сердито!". И НИКАКОГО спец-оборудования!

Что за децкий сад? Мы так в 90х прятали игрушки от преподов
Ваш "замаскированный" ключик любой червь найдет на раз-два. А насчет "прямого указания на ключ" - дык вы еще достаньте его из защищенной памяти смарт-карты... И кстати про какой стандарт говорится?
А насчет "оборудования" - есть токены - практически никакого оборудования, цена увеличится на смехотворные суммы, и как автор утверждает на 5-10 юзеров это вообще не затраты.
Большая просьба, не пудрите людям мозги, если не знаете о чем речь.

[Просто Царь]

если купить винду, да всех монстров под нее так зачем тогда линукс? какая экономия на железе если ставить две системы а не одну? наоборот железо надо как можно посолидней подбирать в данном случае. А если линукс в таком случае ставить только для всех securiti, которые были описаны, так мне кажется тоже не стоить лишь ради этого. Раз уж винда так на ней и плясать. Видимо что-то я запутался в твоих мыслях, давай подробней

[nicodinus]

Бррр, а не проще ли взять ХР PRO поставить на него терминальный сервер? Возможность сделать из ХР сервер терминалов - есть, только одну библиотеку заменить и все. То есть, на сервере ставишь ХР, в нем прописываешь пользователей и даешь им разрешение на терминальный доступ. Для одновременного использования рабочими столами разными пользователями прийдется заменить одну библиотеку на старую (из первых версий Винды ХР). В итоге, у тебя НЕТ проблем с совемстимостью Windows программ, также можно поставить туда бухгалтерскую БД+программу, поставить всем привычный офис, не будет проблем с настройкой принтеров (которые иногда не хотят изначально нормально работать, редко, но это слишком непозволительно) , а в Ubuntu уже есть терминальный доступ даже с диска работает без установки

(Нажмите, чтобы показать/скрыть)

В итоге, проще будет и пользователям (привычнее) и тебе (меньше проблем с совместимостью) А лицензия нужна будет только на Windows (можно и не ХР, а Server - это дороже, но чуть надежнее) и Офис. И все.

[Polkan]

То есть, на сервере ставишь ХР, в нем прописываешь........ а в Ubuntu уже есть терминальный доступ ...

Не понял. Т.е. пользователи, сидя на машинах с убунтой смогут подключаться к серверу с виндой и видеть на своих убунтовских десктопах виндовые программы? тот же PS, MSO, бухгалтерские и пр. 
Или как?

[Sir Ruf]

Не понял. Т.е. пользователи, сидя на машинах с убунтой смогут подключаться к серверу с виндой и видеть на своих убунтовских десктопах виндовые программы? тот же PS, MSO, бухгалтерские и пр. 
Или как?

Именно так. Только Ubuntu ставить смысла нет, проще WTWare lite, ИМХО.

а не проще ли взять ХР PRO поставить на него терминальный сервер? Возможность сделать из ХР сервер терминалов - есть, только одну библиотеку заменить и все.

Это не совсем законно, вернее совсем не законно...

[rapidsp]

Большая просьба, не пудрите людям мозги, если не знаете о чем речь.

Прошу прощения, не обратил внимания, что отвечаю топикстартеру

[nicodinus]

Почему? По соглашению в принципе можно до 10 пользователей держать в терминале (врать не буду, просто не помню где это на сайте у "мелкомягких" написано)
Библиотека ведь ведь родная и не взломанная и не подвергавшаяся никаким махинациям, просто от первой версии ХР.

Но как по мне, проще взять уже изначально "готовый" для использования серверный вариант Windows и работать со всеми доступными в ней службами по шифрованию. И будет и защита и надежность (все относительно конечно), главное всех пользователей права жестко описать. Плюс (я делал на одной фирме так) прописал IP на каждом компьютере и "привязал" возможность терминального доступа к серверу только из локальной сети и с определенных адресов (которые были созданы произвольно). А у тебя еще проще, потому как можно сделать четкую линию - пришел пользователь - включил комп - автозагрузка включила ему терминал и все.... ни шагу влево, ни шагу вправо. А на сервере разрешение на запуск в терминале определенного списка программ группой пользователей, то есть ни аськи, ни чего другого не пройдет)) если не будет разрешения стоять на запуск приложения.

Вообщем, как сказал Sir Ruf, смысла даже в Убунте нету, есть уже готовые клиент-терминальные ОС. Выбирай и пользуйся. А там уже, если надо кому то, то можно поставить Ubuntu и пусть в ней что хочет то и делает, хоть аську хоть браузер, а может даже и без интернета, только локалка))

[steepman]

rapidsp: Что за децкий сад?  Мы так в 90х прятали игрушки от преподов
Ваш "замаскированный" ключик любой червь найдет на раз-два.

Вы немного недопоняли ситуацию. Про смарт-карты я знаю. Информация здесь: http://ru.wikipedia.org/wiki/Смарт-карта
Но речь-то не об этом! Представьте себе ситуацию, когда к Вам офис ввалились, образно говоря, некие личности, которые намерены при помощи силовых методов (вплоть до изымания техники) добраться до Ваших данных. Конечно, против силового воздействия на человека мало что можно противопоставить... Но вот против изымания техники - вполне! На обычной флэшке хранится куча данных, а если ты не знаешь, какой именно файл служит ключом, то как ты войдёшь в систему? Элементарный пример: пользователь включает свой терминал и засовывает флэшку в USB - разъём. На экране приглашение: введите логин/пароль. После ввода появляется запрос укажите ключ - нужно ввести название файла-ключа. Если содержимое (это может быть и обычный .doc , и .jpg, и ещё что угодно) определённых секторов этого файлика устраивает систему аутентификации - вход разрешён. Но пользователю же НАДО ЗНАТЬ имя файла-ключа и пароль. А этих файлов с одинаковыми именами, но с разным содержимым может быть масса по разным каталогам на флэшке. Какой из них ключ? И как же, интересно, "любой" червь будет этот ключ искать. По каким-таким признакам??? Этот файл НИЧЕМ не отличается от своих собратьев. Единственное условие - его содержимое может изменяться только ограничено (чтобы не затёрлись наши любимые сектора, которые будет проверять система аутентификации. Можно файл даже переименовывать, но не затирать содержимое. А у содержимого только одно условие: оно должно совпадать на сервере и на флэшке. Файл скачивается на сервер целиком и там проверяется. Кто знает, что там с чем сравнивается на сервере??? А как только флэшка изымается - сервер обрывает сессию пользователя, сохраняя при этом её состояние.

[nicodinus]

Вообщем вывод один, согласно твоему:

Все системы на сервере работают под виртуализацией (xen, kvm - ?), т.к. на сервере, возможно, будет добавлен ещё и win2003server для запуска win-приложений.

То проще купить 2003 или 2007 Windows на сервак и без виртуализации запускать в терминальном режиме ВСЕ приложения на сервере. Кроме того, поставить четко в каждой учетной записи список запускаемых приложений (то есть нету в списке разрешений - приложение не запускается, такое и в ХР PRO есть).  Купить лицензию на пакет Офис.  Мне например непонятна суть надобности почтового сервера, может он и не нужен? Проще будет когда к серверу будет отдельное подключение интернета и отдельное подключение к локалке для входящих подключений и принтера(ов) как раз будет дополнительно защита от того что подключится не сможет пользователь извне.
А вот с защитой в виде шифрования с помощью смарт-карт... сложно уж. Почему бы проще не поступить? При неактивности - терминал закрывать и все.  Есть прямо такое правило, по-молчанию оно отключено. Поставить время например на 1 минуту.

[steepman]

Постараюсь ответить всем сразу. Приоритет: Windows - НЕТ, Linux -ДА! До тех пор, пока не упрусь окончательно лбом в стенку - ТОЛЬКО LINUX! С виртуализацией вопрос открыт, поскольку всё равно может возникнуть необходимость установки какой-нибудь Винды для подъёма неподъёмных под WINE приложений. Я НАМЕРЕННО пытаюсь обойтись БЕЗ WINDOWS!!! Ну не нужен мне этот крокодил!!! Я и так половину своей сознательной жизни угробил под WINDOWS! Надоела мне эта вечная возня с WINDOWS!!! Поэтому все ответы насчёт терминальности Windows давайте пока оставим до лучших (или худших - смотря как посмотреть) времён. Я попросил помощи в настройке сервера и описал необходимые службы, которые бы под ним крутились, а мне в ответ -СНОВА ЗДОРОВА - Ставь ВИНДУ!.. Не хочу Винду! Хочу НОРМАЛЬНЫЙ СЕРВЕР под LINUX!!! ВИНДУ НЕ ПРЕДЛАГАТЬ!!!!!!!! Просьба в том, чтобы настроить терминальный сервер под линукс, у которого в качестве клиентов выступают машины под линукс. На сервере нет иксов, а мне нужно, чтобы под терминалом для каждого пользователя я мог бы поднять любую графическую оболочку (GNOME, KDE, IceWM, XFCE - в общем, неважно - под каждого пользователя свой профиль. Возможно сплошное однообразие - у всех только GNOME). Это раз! Настройка mail-сервера, работающего только по IMAP протоколу - это два! Правильная настройка backup - это три! Правильная реализация криптозащиты сервера - это четыре! Настройка сервера печати - пять!..
Насчёт терминала по неактивности совет вполне понятен (как я понимаю, в любом терминальном сервере это настраиваемо), но за минуту может много что случиться. Флэшка надёжнее: её можно быстрее выдернуть.
А ещё мне непонятно, почему при вопросе "КАК?" возникает ответный вопрос "А ЗАЧЕМ?" А нельзя просто ответить, что нужно взять терминальный сервер такой-то, настройка его указана там-то, т.к. он лучший, а майл-сервер взять такой-то, т.к. он себя прекрасно зарекомендовал, и настройки его описаны там-то, и т.д.? Почему надо сначала наехать на спрашивающего, потом ткнуть ему в лицо обвинение в некомпетентности, а затем свести разговор к тому, что нужна Windows! Когда мы уже избавимся от этого монстра? Вам Висты мало? Надо каждого пользователя на всю жизнь сделать виндовозозависимым??? И это я слышу в форуме по UBUNTU LINUX??
Ну, ребята, извините, если что не так, но с виндой дело не пойдёт! Я пришёл на этот форум в надежде услышать хоть один внятный совет, как связать воедино все настройки ЛИНУКС-сервера, а вместо этого слышу только "НЕ ПАРЬСЯ и поставь ВИНДУ!"... Да я и так сижу на этой драной Винде уже много лет! Можно хоть немного о линуксе поговорить?
Извините за эмоции! Никого не хотел обидеть!!!

[Просто Царь]

все те надстройки в виде защит, бекапов и прочего можно реализовать в любой операционной системе. Доступ с клиентов к серверу можно предоставит массой способов с использованием различных дистрибутивов. Для начала стоит определиться с прикладными задачами, которые будут стоять перед сервером, а именно список приложений, которые будут на нем использоваться. А так ты предлагаешь установку линукса лишь для того, чтобы в гостях у него поселить винду. Это явно лишнее! Ставь задачу конкретней. Напиши что конкресно будет там запускаться, типа 1. Бла-блакнот; 2. ... и т.д. и на основании этогоуже можно строить решения.

Ответ на возмущения топикастера по поводу сообщества:
Не всегда есть смысл использовать линукс там, куда его пытаются прилепить. Как ни крути, но всеже есть сферы где винду пока заменить нельзя. Радует что их все меньше становится.