Παραμετροποίηση για δημόσια υπηρεσία.

[minios67]

Γεια σας φίλοι μου.
Εργάζομαι ως τεχνικός προϊστάμενος σε δημόσιο νοσοκομείο. Στα αντικείμενά μου δεν συμπεριλαμβάνεται η πληροφορική, είναι ξεχωριστό τμήμα, αλλά ως μονόφθαλμος στο βασίλειο των τυφλών ανακατεύομαι/με ανακατεύουν πολύ συχνά. Έχω και πτυχίο προγραμματιστή από τεχνικό λύκειο, όμως αυτό που μπορώ να πω είναι ότι είμαι καλός χρήστης υπολογιστή. Σε προσωπικό επίπεδο δουλεύω σχεδόν αποκλειστικά σε Linux εδώ και εφτά περίπου χρόνια. Στην υπηρεσία μου έχω εγκαταστήσει σε 5 υπολογιστές Linux και οι περισσότεροι χρήστες είναι ευχαριστημένοι. Προσωπικά προτιμώ το Mint.
Το πρόβλημα με την συντριπτική πλειοψηφία των χρηστών των υπολογιστών που τρέχουν Windows είναι ότι είναι ανίδεοι σε θέματα ασφάλειας και συμπεριφέρονται ως πίθηκοι πάνω σε τρακτέρ.
Παραδείγματος χάριν αν και υπάρχουν αγορασμένες άδειες χρήσης για συγκεκριμένο antivirus το οποίο είναι κι εγκατεστημένο, υπάρχουν υπολογιστές με εγκατεστημένα 3 διαφορετικά antivirus, ή με απενεργοποιημένο το antivirus. Υπολογιστές με εγκατεστημένο ένα σωρό malware, με ιούς, με ότι μπορεί κανείς να φανταστεί κλπ.
Αυτό που χρειάζεται είναι κατά τη γνώμη μου απολύτως παραμετροποιημένο και κλειδωμένο περιβάλλον εργασίας/(και λειτουργικό) ανά θέση εργασίας απολύτως προσανατολισμένο στο αντικείμενο της θέσης αυτής.
Πρόσβαση μόνο σε συγκεκριμένες εφαρμογές και σε συγκεκριμένους ιστότοπους. Αδυναμία του προσωπικού(που δεν έχει ιδικές γνώσεις) για παράκαμψη αυτού του κλειδώματος. Αδυναμία του προσωπικού να εγκαταστήσει άλλες/δικές του εφαρμογές και αδυναμία να παραμετροποιήσει αλλιώς το περιβάλλον εργασίας ή να το καταστρέψει, να σβήσει εικονίδια εφαρμογών κλπ. Αδυναμία να επισκεφτεί οποιονδήποτε ιστότοπο εκτός από αυτούς τους λίγους που χρειάζονται για την εργασία(άντε κι ένα ραδιόφωνο) στην οποία είναι ταγμένος ο υπολογιστής. Τέρμα οι πασιέντζες, τα facebook, τα ειδησιογραφικά/αθλητογραφικά κλπ. Τέρμα τα malware στους browsers και γενικότερα στους υπολογιστές.
Αν κι έχω διαμαρτυρηθεί εντόνως στο παρελθόν για την για την μικρή δυνατότητα παραμετροποίησης του unity και του gnome3 για ατομική χρήση, ιδικά για χρήση σε υπηρεσίες ή επιχειρήσεις η μικρή-ελάχιστη παραμετροποίηση είναι αυτό που χρειάζεται.
Όλα αυτά πως γίνονται;(βασικά μπορώ απλά να απαγορεύσω στον χρήστη να μη μπορεί να εγκαταστήσει δικά του προγράμματα και να επέμβει σε ότι θέλει κωδικό, λογαριασμός χρήστη περιορισμένων δυνατοτήτων, αλλά θέλω ένα απόλυτο κλείδωμα του περιβάλλοντος και ειδικότερα ο απόλυτος έλεγχος του firefox).
Γίνονται με Linux; Πως;

[yiannis66]

Νομίζω θα πρέπει να σκεφτείς να μπλοκάρεις αυτά που θέλεις από το ρούτερ.
για εφαρμογές ειναι πιο ευκολο αυτό με τον περιορισμό στους χρήστες με κωδικό .
Όταν τα παιδιά μου ήταν μικρά είχα ψάξει το θέμα γονικού ελένχου,δεν τα θυμάμε τόσο καλά πλέον.

[the_eye]

Υπάρχουν πολλοί τρόποι να το κάνεις με linux αυτό που θες.

Για 5 υπολογιστές μπορείς να δημιουργήσεις έναν 2ο απλό χρήστη όπου δεν θα έχει δικαιώματα διαχείρισης.
Για την ρύθμιση αυτών των υπολογιστών από εσένα βάλε ssh server έτσι ώστε να συνδέεσαι και να κάνεις αναβαθμίσεις και ρυθμίσεις.


Για το δίκτυο πρέπει να ρυθμίσεις τον ρουτερ ή να στήσεις εσύ έναν router/ proxy όπου θα κόβεις ότι δεν θες. Εδώ δες το pfsense.org

[minios67]

Στο νοσοκομείο υπάρχουν δυο εσωτερικά δίκτυα με περίπου 100 υπολογιστές το κάθε ένα και δεν εμπλέκομαι στη διαχείριση των server. Δεν θέλω να κοπούν όλα σε όλους, πχ στον διοικητή δεν θα κοπεί τίποτα. Επίσης το οικονομικό τμήμα θα πρέπει να βλέπει και να αναρτά στη διαύγεια, οι γιατροί το υγείανετ κλπ, το κάθε τμήμα θα πρέπει επιλεκτικά να βλέπει ότι το αφορά. Υπάρχουν πολλές εφαρμογές που τρέχουν από τον application server. Θέλω να μπορώ να έχω έλεγχο τοπικά, στον κάθε υπολογιστή ξεχωριστά. Βασικά θέλω να προτείνω το πέρασμα σε Linux κι αυτό μπορεί να πετύχει μόνο αν αποδείξω ότι μπορούμε να έχουμε τον έλεγχο που περιέγραψα. Καθόλου προβλήματα από ιούς, όχι άδειες antivirus, οι υπολογιστές να δουλεύουν αποκλειστικά γι αυτό που είναι εγκατεστημένοι, παραγωγικός τρόπος δουλειάς, λιγότερες βλάβες λόγο ατζαμοσήνης. Να προτείνω και κάτι, αυτό θα μπορούσε να είναι ένα στοίχημα για την Ελληνική κοινότητα, η δημιουργία μιας παράγωγης(ή όχι) διανομής με αυτή την στόχευση, το δημόσιο και τις εταιρίες.

[pc_magas]

Α) Ποιες εφαρμογές τρέχουν και από που και ποιες κατηγορίες χρηστών έχεις.
Β) Όταν εννοείς Application server ενοείς Jboss / Tomcat; Αν ναι τότε μπορείς μέσω firewall στον εκάστοτε Υπολογιστή να κόβεις network access.

Τέλος για διευκόλυνση της ζωής σου συστήνω το CF Engine.

[the_eye]

Αυτό που λες μπορεί να γίνει με το pfsense.
Μπορείς να κάνεις ομαδικούς κανόνες δικτύου και μετά να εντάξεις τον κάθε υπολογιστή στην ομάδα που πρέπει.

Με το pfsense μπορείς να ρυθμίσεις δίκτυα μερικών χιλιάδων Η/Υ, για να καταλάβεις για τι είδους εφαρμογή μιλάω.

[pc_magas]

@the_eye
Ναι αλλά παίζει πολύ η τοπολογία του δικτύου. Πχ στο νοσοκομείο μπορεί να μην έχει το εκάστοτε υποδίκτυο μηχάνημα που να λειτουργεί σαν gateway. Τότε τι γίνεται; Που θα βρεί μηχανήματα Gateway.

Γι αυτό φίλτατε σου συστήνω και τις 2 λύσεις και του the_eye και την δικιά μου. Αναλόγως με το αν υπάρχει gateway μηχάνημα η όχι. Αν υπάρχει στήνεις το pfsense στο gateway μηχάνημα αν όχι Κάνεις ένα έτοιμο iptables script και το βάζεις να τρέχει κατά το boot.

[the_eye]

@pc_magas
Μην μπερδεύεις τα πράγματα με gateway μηχανήματα και iptables scripts.

Ένα απλό pc που θα τρέχει pfsence επάνω στο switch που είναι τα μηχανήματα. Βάζεις ως gateway στα PC την ip του pfsence και περνάει όλη η κίνηση μέσα από αυτό.

[minios67]

Όπως έγραψα στην αρχή αν κι έχω ένα αρχαίο πτυχίο προγραμματιστή (κάποτε ξεκίνησα με έναν ZX Spectrum) δεν είμαι προγραμματιστής, κάτι παραπάνω από καλός χρήστης ίσως. Στους server δεν εμπλέκομαι και ούτε θέλω τώρα να ανοίξω τέτοιες δουλειές, κάποτε στο παρελθόν ίσως, και όρεξη και χρόνο για διάβασμα είχα. Την διαχείρισή τους την έχει ιδιωτική εταιρία που επεμβαίνει σπάνια και μόνο σε βλάβες, δεν νομίζω να κάτσουν να κάνουν όλη αυτή τη δουλειά. Αν εγώ μπορούσα να παρουσιάσω κάτι τοπικά ως επίδειξη του τι μπορεί να γίνει θα μπορούσαν να το δουν ως εναλλακτική. Το παιδί που γνωρίζω από την εταιρία επειδή έχει απηυδήσει με όλα τα στραβά και τα παράξενα που βρίσκει κάθε φορά που έρχεται μου είπε "αν αυτό γίνεται θα περάσω Linux παντού!!".

[the_eye]

Αυτό που σου περιγράφω δεν έχει καμία επέμβαση πουθενά, ούτε σε servers, ούτε σε routers, τίποτα. Γνωρίζω πόσο ευαίσθητα είναι αυτά τα θέματα.
Απλά πρέπει να βάλεις ένα pc όπου θα στήσεις το pfsence στο δίκτυο. Στο παραπάνω σχήμα πες ότι θα είναι ένα PC-4.