Защита данных ликбез.

Публикация № 62520

Администрирование - Администрирование данных 1С

Мотивом написания данной статьи стали вопросы о безопасности поднятые в комментариях к моим статьям. Так что же такое безопасность и с чем ее «едят»? Тут я бы хотел процитировать кузнеца из фильма «формула любви» - «Что один человек сделал, другой завсегда сломать может». Нет абсолютно безопасных систем — есть системы с повышенной безопасностью.

Защита данных ликбез.

Мотивом написания данной статьи стали вопросы о безопасности поднятые в комментариях к моим статьям. Так что же такое безопасность и с чем ее «едят»? Тут я бы хотел процитировать кузнеца из фильма «формула любви» - «Что один человек сделал, другой завсегда сломать может». Нет абсолютно безопасных систем — есть системы с повышенной безопасностью.

Что же нам предпринять что бы повысить безопасность нашей системы? Давайте по порядку:

  1. Поставить брандмауэр и ограничив тем самым площадь для атаки.

  2. Ограничить права пользователя для доступа к нашим таблицам на сервере баз данных см. примечание 1.

Начнем по порядку брандмауэр:

Что же такое брандмауэр?

Фаервол это некая программа которая фильтрует проходящую через нее информацию. Они работают на разных уровнях модели OSI/ISO — но мы рассмотрим только пакетный фильтр и и прокси (он же брандмауэр уровня приложений).

Какие брандмауэры бывают?

Будем выбирать из следующих вариантов:

  1. Microsoft ISA server

  2. Kerio firewall

  3. iptables

  4. PF

  5. IPFW

  6. IPFILTER

Microsoft ISA server и Kerio firewall будут исключены мной по следующим соображениям:

  1. Это платный и не дешевый продукт.

  2. По требованиям безопасности исходный код должен быть открыт. То есть данные системы не могут быть сертифицированы выше класса С2 американского или пятого класса нашего стандарта безопасности см примечание 2.

IPTABLES — прекрасный брандмауэр, но работает на линукс-системах.

Почему нет спросити вы?

Просто потому, что линукс — это только ядро, а системы на его базе это плод работы многих компаний. И тут я просто боюсь нарваться на спор какой из сборок линукс лучше. Вторая причина — некоторые сборки линукс ставят с собой кучу того, чего нам не потребуется, а отключать это все - не для новичков. Так что, красота — это когда ничего лишнего, и осмелюсь добавить сложного. Третий момент — это моя предвзятость. На клиентских машинах у меня прекрасно работает линукс, но как серверная система она мне не нравится. И это субъективно!!! Вот мои субъективные причины:

  1. Свалка в /etc

  2. Автоматическая разбивка диска при установке есть только некоторых дистрибутивах.

  3. Многие настройки по умолчанию не безопасны.

Что оcталось?

Оставшиеся варианты работают на BSD системах. Самые известные из них — это OpenBSD (цель проекта полностью безопасная система), NetBSD (цель проекта самая переносимая система, говорят, что она будет работать даже на кофеварке, если у той будет процессор) и FreeBSD (золотая середина, заточена на быстродействие). Почему не OpenBSD или NetSD? Первая сложна в установке, но не волнуйтесь мы будем использовать её штатный брандмауэр. А на кофеварку мы ставить его то же не будем — поэтому не NetBSD(шутка).

Установка.

Итак: получение дистрибутива.

Получить его можно с фтп сервера по адресу: ftp://ftp.freebsd.org/pub/FreeBSD/. Полный список источников: http://www.freebsd.org/releases/8.0R/announce.html. И ссылка на русскую документацию. Перед установкой НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ ПРОЧЕСТЬ!!!

Скачали записали. Дальше вставляем записанный диск в DVD привод (надеюсь вы скачали и установили DVD образ) и видим экран из семи пунктов — нам нужен первый пункт. После загрузки мы видим выбор региона и выбираем 182 Russian Federation. Приятно видеть, что иностранный дистрибутив (американский) знает, что есть другие страны. В пункте OPTIONS я поменял только источник установки на CDROM (можно ставить и с фтп сервера и из многих других мест). После чего заходим в Partitions, тут я выбрал нажав клавишу английскую «A», весь диск, но его можно было и порезать вопрос для чего. Нажав «Q» мы видим запрос о том надо ли записывать загрузчик.

  1. Вариант это просто поставить стандартый MBR(без загрузчика).

  2. Стандартный загрузчик BSD(если есть еще системы).

  3. Ничего никуда не писать.

Дальше перейдя в label я рекомендую нажать «А», так как разбивка партиции на слайсы по умолчанию нас вполне устроит.

Distributions — здесь я рекомендую зайти в custom и добавить пункты ports и src — это программное обеспечение и исходные тексты ядра которые вам могут потребоваться в дальнейшем.

До нажатия comit ничего не будет записано. Сохраним же результаты нашей работы.

После распаковки и установки файлов sysinstall, а именно так называется программа в которой мы работали, предложит сделать еще пару настроек. Согласимся и перейдем к ним.

 

  1. Выбрав root password зададим пароль суперпользователя.

  1. Перейдем в Console и зададим шрифт Font я всегда выбираю IBM 866,

  2. Keymap Koi-8r .

  3. Screen map зададим как KOI-8R to IBM 866.

  4. Осталась зайти в ttys и выбрать cons25r.

  5. Возвращаемся через exit и задаём временную зону (Time zone).

  6. Кому как, а мне с мышь в консоли удобно. Заходим в mouse и выбираем enable. В 90% случаев мышь начинает работать. Exit.

  7. Networking — здесь мы зададим пару параметров.

    1. Interfaces — настроим ip адрес шлюз dns server. (задайте только внешний интерфейс)

    2. Поставить надо галочку Gateway — мы же должны через себя пропускать трафик.

    3. И SSHD — это даст нам возможность заходить на машину удаленно.

Уф.. Кажется все... Как же это элементарно сделать и сложно описать. Более подробно смотрите на виде которое я прикрепил. Перезагрузка....

Продолжение следует...

Продолжение после перезагрузки.

Что бы зайти на компьютер набираем root и пароль который мы для него задали. Надеюсь вы его ещё не забыли. Но работать из-под суперпользователя, так ещё называют пользователя root — это дурной тон администраторов windows систем (не всех правда). Так что давайте создадим нового пользователя. Сделать это можно с помощью sysinstall или скриптом adduser. Я предпочитаю второй вариант, просто потому, что он не сложнее, а возможностей предоставляет больше. А точнее он предоставляет возможность поставить класс пользователя, а это, если ставить программы, позволяет не утруждать себя их русификацией (если ставить из портов). Но об том позже.

Добавление пользователя.

freebsd#adduser

Username: ЖелаемоеИмяПользователя

Full name:Полное имя нашего пользователя можно писать по русски и с пробелами

Uid (Leave empty for default):Просто нажмите ввод

Login group [ad]:Просто нажмите ввод

Login group is ad. Invite ad into other groups? []:wheel //Если не указать, то пользователь не сможет получить права суперпользователя.

Login class [default]:russian // Это что бы работать с системой на родном языке.

Shell (sh csh tcsh nologin) [sh]:tcsh // Остальное кому что нравится

Home directory [/home/ad]:Просто нажмите ввод

Home directory permissions (Leave empty for default):Просто нажмите ввод

Use password-based authentication? [yes]:Просто нажмите ввод

Use an empty password? (yes/no) [no]:Просто ввод нам не нужно отсутствие пароля

Use a random password? (yes/no) [no]:Если лень придумывать пароль, то yes, иначе no, мне лень.

Lock out the account after creation? [no]:Просто ввод

И тут появиться то что вы ввели. Проверяйте. Правильно — yes иначе no. Если вы указали случайный пароль, то вам его покажут и спросят добавить ли еще пользователя.

Установка ip адресов.

В юниксподобных системах для задания ip адресов для сетевых интерфейсов(карт) есть команда ifconfig. Набрав эту команду в консоли(командной строке) — вы увидите список ваших интерфейсов. Так выглядит вывод этой команды на одном из моих брандмауэров:

rl0: flags=8843 metric 0 mtu 1500

options=8

ether 00:c0:0c:72:66:23

inet 192.168.11.10 netmask 0xffffff00 broadcast 192.168.11.255

media: Ethernet autoselect (100baseTX )

status: active

rl1: flags=8843 metric 0 mtu 1500

options=8

ether 00:e0:30:50:15:94

inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255

media: Ethernet autoselect (100baseTX )

status: active

rl2: flags=8843 metric 0 mtu 1500

options=8

ether 00:e0:4c:76:be:37

inet «Цензура. Здесь мой внешний ip» netmask 0xffffff00 broadcast «То же цензура»

media: Ethernet autoselect (100baseTX )

status: active

lo0: flags=8049 metric 0 mtu 16384

inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4

inet6 ::1 prefixlen 128

inet 127.0.0.1 netmask 0xff000000

pfsync0: flags=0<> metric 0 mtu 1460

syncpeer: 224.0.0.240 maxupd: 128

pflog0: flags=141 metric 0 mtu 33204

gif0: flags=8051 metric 0 mtu 1280

tunnel inet «Цензура. Здесь мой внешний ip» --> «Цензура. Здесь другой мой внешний ip»

inet 192.168.1.3 --> 192.168.0.1 netmask 0xffffff

gif1: flags=8051 metric 0 mtu 1280

tunnel inet «Цензура. Здесь мой внешний ip» --> «Цензура. Здесь другой мой внешний ip»

inet 192.168.1.3 --> 192.168.10.1 netmask 0xffffff

rl0, rl1, rl2 — это сетевые карты. lo0 — это интерфейс обратной петли. Вот выдержка из Википедии:

Виртуальный сетевой интерфейс

Все TCP/IP реализации поддерживают loopback механизмы, которые реализует виртуальный сетевой интерфейс исключительно программно и не связаны с каким-либо оборудованием, но при этом полностью интегрированы во внутреннюю сетевую инфраструктуру компьютерной системы. Любой трафик, который посылается компьютерной программой на интерфейс loopback тут же получается тем же интерфейсом.

Соответственно, Internet Protocol специфицирует сеть loopback. В IPv4 это сеть с префиксом 127/8 («this network», RFC 3330). Наиболее широко используемый IP адрес в механизмах loopback — 127.0.0.1. В IPv4, в него также отражается любой адрес в пределах от 127.0.0.0 до 127.255.255.255. IPv6 определяет единственный адрес для этой функции — 0:0:0:0:0:0:0:1 (также записывается как ::1), имеющий префикс ::1/128 (RFC 3513). Стандартное, официально зарезервированное, доменное имя для этих адресов — localhost (RFC 2606).

На системах Unix, интерфейс loopback обычно имеет имя lo или lo0.

Интерфейс loopback имеет несколько путей применения. Он может быть использован сетевым клиентским программным обеспечением, чтобы общаться с серверным приложением, расположенном на том же компьютере. То есть если на компьютере, на котором запущен веб сервер, указать в веб браузере URL http://127.0.0.1/ или http://localhost/ , то он попадает на веб сайт этого компьютера. Этот механизм работает без какого-либо активного подключения, поэтому он полезен для тестирования служб, не подвергая их безопасность риску, как при удаленном сетевом доступе. Подобным образом, пингование интерфейса loopback — это основной тест функционирования IP стека в операционной системе.

Почему я про него так подробно рассказываю, а для того, что бы не объяснять, почему мы этот интерфейс исключим из фильтрации брандмауэра. Однако давайте зададим настройки ваших сетевых карт:

ifconfig <ваша внешний сетевой интерфйс> inet <ваш внешний ip> netmask <уточните у провайдера>

ifconfig <ваша внутренний сетевой интерфйс> inet <ваш внутренний ip> netmask <маска вашей сети>

Если не угадаете внешний и внутренний интерфейс — нестрашно, всегда можно переставить провода. А вот с сетевой маской сложнее. Для начала, что это за «зверь»?

Сетевая маска.

В терминологии сетей TCP/IP маской подсети или маской сети называется битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая — к адресу самого узла в этой сети. Например, узел с IP-адресом 12.34.56.78 и маской подсети 255.255.255.0 находится в сети 12.34.56.0/24 с длиной префикса 24 бита. В случае адресации IPv6 адрес 2001:0DB8:1:0:6C1F:A78A:3CB5:1ADD с длиной префикса 32 бита (/32) находится в сети 2001:0DB8::/32.

Другой вариант определения— это определение подсети IP-адресов. Например, с помощью маски подсети можно сказать, что один диапазон IP-адресов будет в одной подсети, а другой диапазон соответственно в другой подсети.

Чтобы получить адрес сети, зная IP-адрес и маску подсети, необходимо применить к ним операцию поразрядной конъюнкции (логическое И). Например, в случае более сложной маски (битовые операции в IPv6 выглядят идентично)

Был у меня забавный случай. Принимали мы человека на должность системного администратора. И вот спрашиваю я его, он рассказывает складно так. И образование у него высшее. И тут на вопрос о маске подсети он отвечает. Ну я точного определения не помню, но это то, чем ограничевают доступ в интернет. После пары наводящих вопросов, он понял что сморозил глупость. На работу я его не взял. Маской доступ не закрывают и не открывают. Маской делят сеть на подсети и отделяют адреса компьютеров от адресов сетей.

Однако продолжим. Что бы все что мы натворили осталось после перезагрузки, нам надо это все добавить в /etc/rc.conf.

RC.CONF

rc.conf — это главный конфигурационный файл системы. В нем дожны быть строки жизненно важные для нашего будущего брандмауэра:

gateway_enable="YES"

ifconfig_<ваша внешний сетевой интерфйс> inet <ваш внешний ip> netmask <уточните у провайдера>

ifconfig_<ваша внутренний сетевой интерфйс> inet <ваш внутренний ip> netmask <маска вашей сети>

defaultrouter="ip шлюза вашего провайдера"

gateway_enable="YES" — должно присутствовать, т. к. мы это сделали при установке, да и один из интерфейсов должен был быть задан. Defaultrouter — должен был быть задан, но о нем мы еще не говорили. А это всего навсего адрес куда будут посланы все пакеты адреса назначения которых неизвестны нашей системе. У русских это слово из трёх букв.

Что мы еще не сделали? А мы с вами не задали мы адреса DNS.

Что такое DNS?

DNS (англ. Domain Name System — система доменных имён) — распределённая система (распределённая база данных), способная по запросу, содержащему доменное имя хоста (компьютера или другого сетевого устройства), сообщить IP адрес или (в зависимости от запроса) другую информацию. DNS работает в сетях TCP/IP. Как частный случай, DNS может хранить и обрабатывать и обратные запросы, определения имени хоста по его IP адресу — IP адрес по таблице соответствия преобразуется в доменное имя.

Или иначе это те машины которые скажут вам IP адрес mail.ru, ya.ru и т. д. Где же они задаются? А задаются они в файле /etc/resolv.conf вот пример моего:

# cat /etc/resolv.conf

search selenia.ru

nameserver 194.8.160.90

nameserver 195.131.52.130

nameserver 192.168.11.1

После подстановки DNS вашего провайдера мы можем сделать ping ya.ru и если все в порядке на этом пока закончить. Продолжение, как всегда следует.

Обычно после этого я ухожу из серверной в свой любимый кабинет.

Итак мы у себя в кабинете, в удобном кресле с чашечкой кофе (опционально).

Как же нам добраться до только что поставленного сервера? Если вы работаете в Linux, то ssh <имя пользователя(не root)>@<адрес машины>. Но как гласит статистика — 95% используют системы Windows. Этим системам ничего не известно ни о ssh ни о sftp. Поэтому давайте немного о программном обеспечении, для доступа:

PuTTY

Putty — свободно распространяемый клиент для протоколов SSH, TELNET и RLOGIN. Там все просто и информации в интернете достаточно.

WinSCP

WinSCP — графический клиент протоколов SCP и SFTP. Поддерживает интеграцию с pagent (putty). Его особенностью является возможность написания скриптов. И поддержка файловой синхронизации. Детальнее его описание можно посмотреть на http://winscp.net/eng/docs/lang:ru.

Брандмауэр.

Поскольку на FreeBSD присутствует пакетный фильтр портированный из OpenBSD не вижу причин его не использовать. Для начала маленькое отступление. Что бы что-то защищать надо знать что мы хотим защитить. И как должны реагировать на нарушения.

Случай из жизни:

Работал я в одной компании. И уже не помню почему, но оказался у президента компании в кабинете подключая не помню уже что к чему. В один прекрасный момент, на мониторе появляется порнуха. Мы с админом посмеялись и забыли об этом. Нам до личной жизни президента компании, да и до рядовых сотрудников дела нет. Политики то же не было и мы руководствуясь принципом не вмешательства и не разглашения ушли. Через два часа. В кабинете президента компании заседание директоров. И на экран во всеувидинье вылетает эта сценка. На что все поворачиваясь к Директору по IT (женщине): «Что это?». Та невозмутимо сообщает: «Порнуха». Финансовый директор: «А почему на моём компьютере такого нет?». Дело кончилось чисткой компьютера президента компании.

Почему же это произошло? Потому, что системный администратор не имел понятия, как реагировать на появившуюся порнографию. И принял единственно верное решение — не делать ничего.

Нам надо выработать так называемую «политику безопасности». Я рекомендую указать в ней следующие пункты:

  1. Какие ресурсы мы собираемся защищать. (нельзя защитить все)

  2. Кто имеет право использовать эти ресурсы.

  3. Кто отвечает за информационную безопасность.

  4. Как реагировать на нарушение безопасности.

    1. Предовать ли огласке? (по закону "Об информации, информационных технологиях и о защите информации" статье 16. должны)

    2. Определить приоритет отказоустойчивости по отношению безопасности.

Самое сложное скорее всего будет убедить руководство в необходимости данного документа. А без него дальнейшее бессмысленно или является самодейтельностью.

Допустим мы все же умудрились создать данный документ и теперь знаем что нам надо защищать, от кого и как.

Допустим наш внешний интерфейс на брандмауэре em0 ip xxx.xxx.xxx.xx2 шлюз xxx.xxx.xxx.xx1 внутренний интерфейс em1 ip 192.168.0.1 подсеть 192.168.0.0/24 запишем:

ext_if=«em0»

int_if=«em1»

my_lan=«192.168.0.0/24»

gw=«xxx.xxx.xxx.xx1»

Пусть у нас в сети есть веб сервер, сервер баз данных, терминальный сервер и сервер 1С. Возьмём листок блокнот и напишем:

www_srv=«192.168.0.2»

sql_srv=«192.168.0.3»

rdp_srv=«192.168.0.4»

Теперь нам надо определить какие снаружи порты нам нужны. И тут многие делают ошибку — я не знаю что мне надо я открою всё. Это только и ждут «трояны», «черви» и «бэк доры». Поверьте, о том что вам надо узнать намного проще, чем о взломе системы. Что же мы откроем? Я бы открыл: http — да и пожалуй все. Все остальное должно быть внутри сети. Но... Но не волнуйтесь как только мы включим брандмауэр, то сразу узнаем что нам надо.

inet_ports= «http 3128» # Сюда мы будем дописывать по необходимости

Теперь какие порты нужны для доступа к нашему брандмауэру? Только ssh. Обычно у меня он является ещё и почтовым сервером и веб сервером, и сервером DNS, и сервером DHCP — так что сюда то же можно в последствии дописать много.

self_ports=«ssh»

Теперь давайте определим места откуда наши внутренние сервисы будут доступны:

serv_users = «ip1 ip2 ... ipN»

Теперь какие нужны опции.

set skip on lo0

scrub in all

Думаю этого вполне достаточно. Первая опция нормализует входящий трафик, вторая не фильтрует пакеты на интерфейсе обратной петли.

Теперь займёмся переадресацией. У нас вроде только один адрес, а серверов целых три.

rdr on $ext_if proto tcp \

from { $serv_users } \

to $ext_if port http \

tag RDR_TAG $www_srv port http

Как это звучит по русски? Пакеты приходящие на внешний интерфейс по протоколу tcp экранирование перевода строки от пользователей таких-то экранирование перевода строки на порт http экранирование перевода строки помечаем тегом RDR_TAG и переадресуем на веб сервер порт http.

rdr on $ext_if proto tcp \

from { $serv_users } \

to $ext_if port 3128 \

tag RDR_TAG $rdp_srv port 3128

Пакеты приходящие на внешний интерфейс по протоколу tcp экранирование перевода строки от пользователей таких-то экранирование перевода строки на порт 3128 экранирование перевода строки помечаем тегом RDR_TAG и переадресуем на веб сервер порт 3128.

А переадресацию На SQL сервер — давайте оставим на домашнее задание.

Но как же пользователи внутри нашей сети? Они не попадут на наш www сервер по внешнему ip адресу. Давайте их переадресуем.

rdr on $int_if proto tcp \

to ($ext_if:0) port http \

tag RDR_TAG $www_srv port http

Теперь давайте разберёмся с исходящими пакетами. Наверное неплохо было бы скрыть адрес в пользователя из локальной сети и поставить наш внешний адрес вместо него. Это называется натирование или ip маскарадинг.

nat on $ext_if from $my_lan to any -> ($ext_if:0)

Перейдем теперь к правилам фильтрации. Правила в pf работают по принципу победы последнего из правил. То есть чем ниже правило — тем оно важнее.

# Политика

block drop all # Все что ниже не будет разрешено — запрещено

pass on $ext_if icmp # разрешаем пинг

pass on { $int_if $ext_if } from self # разрешим трафик от брандмауэра

pass in on $int_if from $my_lan to port { $inet_ports } # разрешаем входящий трафик к внешним портам

pass out on $ext_if from $my_lan to { $inet_ports } # Разрешим исходящий трафик к внешним портам

pass in $ext_if tagged RDR_TAG # Разрешаем трафик помеченный как переадресация.

pass out $int_if tagged RDR_TAG #

В принципе минимальный набор... Осталось только определить откуда можно по ssh на брандмауэр заходить. Это будет домашним заданием.

Теперь этот файл сохраняем как pf.conf и отправляем на брандмауэр.

Если вам что-то не понятно, задавайте вопросы, но сначала советую почитать http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html.

Если вы не делали ничего сверх описанного, то файл вы сохранили в домашней папке пользователя под которым заходите на брандмауэр. Теперь его надо поместить в директорию /etc

#cp ~/pf.conf /etc/

и добавить разрешение на запуск брандмауэра.

#echo 'pf_enable=«Yes»' >> /etc/pf.conf

Теперь запустим сам брандмауэр.

#pfctl -nf /etc/pf.conf

Этим мы проверим файл на ошибки. Не забывайте перед внесении изменений тестировать на ошибки. Если все хорошо то:

#/etc/rc.d/pf start

 

Продолжение следует....

 

Примечание 1: 1С использует только одного пользователя, поэтому если вы даете доступ напрямую к 1С, то теоретически можно разрушить базу или внести в неё любую другую информацию. Как вариант это атаки типа «инъекция» или «переполнение буфера». Так же вы можете получить успешную атаку на отказ в обслуживании как связанную с особенностью защиты 1С с помощью аппаратных ключей, так и с другими особенностями реализаций сервера 1С.

Примечание 2: Классы безопасности

В "Оранжевой книге" определяется четыре уровня доверия - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия.

Всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям, из которых мы упомянем лишь важнейшие.

Класс C1:

  • доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;

  • пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия, контролируемые доверенной вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа;

  • доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы;

  • должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;

  • защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты доверенной вычислительной базы;

  • должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации доверенной вычислительной базы.

Класс C2 (в дополнение к C1):

  • права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа;

  • при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования;

  • каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем;

  • доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой;

  • тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Класс B1 (в дополнение к C2):

  • доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом;

  • доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;

  • доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств;

  • группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию;

  • должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.

Класс B2 (в дополнение к B1):

  • снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам;

  • к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации;

  • должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;

  • доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули;

  • системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала;

  • должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения;

  • модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие ее интерфейс;

  • в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации;

  • тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

Класс B3 (в дополнение к B2):

  • для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов;

  • должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом;

  • доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой;

  • процедура анализа должна быть выполнена для временных тайных каналов;

  • должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий;

  • должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты;

  • должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

Класс A1 (в дополнение к B3):

  • тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня;

  • помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем;

  • механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности;

  • должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.

Такова классификация, введенная в "Оранжевой книге". Коротко ее можно сформулировать так:

  • уровень C - произвольное управление доступом;

  • уровень B - принудительное управление доступом;

  • уровень A - верифицируемая безопасность.

 

 

Скачать файлы

Наименование Файл Версия Размер
video

.7z 33,46Mb
12.12.09
159
.7z 33,46Mb 159 Скачать бесплатно

Специальные предложения

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. artbear 1202 12.12.09 08:35 Сейчас в теме
Я правильно понял, что статья еще не закончена? :)
2. awk 722 12.12.09 13:27 Сейчас в теме
Да... Ставлю это всё гораздо быстрее чем описываю...
3. antb 12.12.09 18:16 Сейчас в теме
Размер видео файла = 0. Скачать невозможно
4. awk 722 12.12.09 21:23 Сейчас в теме
5. Alav 13 14.12.09 10:12 Сейчас в теме
Зачем "По требованиям безопасности исходный код должен быть открыт. " -если 90 % пользователей все равно глядеть на него не будет. А если и посмотрят, то все равно не поймут. Тогда уж надо с Windows на Linux, т.е. на открытое программное обеспечение переходить. Не говоря уже о том, что 1С и безопасность мало совместимые вещи.
6. afanasko 35 14.12.09 10:36 Сейчас в теме
(5)
Не говоря уже о том, что 1С и безопасность мало совместимые вещи.

Это почему же? :D

Автору: Респект за статью! Но слова "фаерфол" и "фаервол" режут глаз.
8. awk 722 14.12.09 11:01 Сейчас в теме
(5) - безопасность должна быть доказуема. Я конечно понимаю, что есть люди, для которых и бинарник является исходником, но их мало. Кстати закрытость кода не сильно затрудняет поиск дыр, а вот выявлению и исправлению ошибок препятствует. Стабильность, надежность и безопасность Linux - сильно зависит от сборки(я писал это не цельная система и вариантов слишком много). FreeBSD - это законченный продукт с открытым исходным кодом. Если честно, то и Windows вполне надёжная система, при условии грамотного администрирования.

(6) Огромное спасибо... Меняю на брандмауэр...
7. marsohod 122 14.12.09 10:49 Сейчас в теме
Немного сумбурно...
Так, давайте по порядку...
1. Мне кажется, что правильнее было бы назвать статью "Первые шаги по установке FreeBSD для 1С-ников" :D
2. Статья в процессе написания. Рановато выложили в общий каталог.
3. Забыли упомянуть Agnitum Outpost Firewall - на мой взгляд один из лучших файрволов для Windows-систем.
4. Хотелка: раз уж речь зашла о безопасности, то очень кстати было бы объяснить "на пальцах" почему в Linux-системах нет антивирусов, почему у них врожденный иммунитет к "заразе". :)
10. awk 722 14.12.09 11:19 Сейчас в теме
(7)

Миф №1 под UNIX нет вирусов и антивирусов.
Миф №2 у UNIX встроенный иммунитет к вирусам.

Субъективно: В моем понятии слово windows и безопасность лежат в разных плоскостях. Поэтому, я не верю, что на "дырявой" системе можно построить безопасность.

Про 1С. БЕЗОПАСНОСТЬ = СТОИМОСТЬ / УДОБСТВО.
9. ValeriTim 20 14.12.09 11:10 Сейчас в теме
Если честно, все это конечно хорошо, но для одинесника, по моему, сложновато. Если уж вы захотели описать простую, быструю и, что самое главное, не сложную установку BSD/Linux сервера, то надо было бы выбрать другой дистрибутив.
Сам использую Ubuntu. Ставится за 10 минут, никаких лишних программ, никакого графического интерфейса.
Но, если честно, пока не пойму какое отношение все это имеет к 1С ...
11. awk 722 14.12.09 11:21 Сейчас в теме
(9) - Почему Ububntu? Может Fedora? Или Debian? OpenSuSe? Может... Вариантов много... И у всех свои нюансы...
12. ValeriTim 20 14.12.09 11:32 Сейчас в теме
(11) я не агитирую к какому то дистрибутиву, а всего лишь написал что использую сам.
И я бы еще не стал отбрасывать керио - да он не бесплатен, но он того стоит ! И уж в нем описать правила маршрутизации будет куда проще, чем в том же IPFW. Думаю, что стоит сразу предупредить читателя, что только для описания принципа работы брандмауэра придется написать как минимум 4 такие статьи. И после прочтения оных вопросов появится на порядок больше, чем было до того. :D
13. awk 722 14.12.09 11:59 Сейчас в теме
(12)
Субъективно: В моем понятии слово windows и безопасность лежат в разных плоскостях. Поэтому, я не верю, что на "дырявой" системе можно построить безопасность.


По требованиям безопасности исходный код должен быть открыт. То есть данные системы не могут быть сертифицированы выше класса С5 американского или пятого класса нашего стандарта безопасности.
14. marsohod 122 14.12.09 12:44 Сейчас в теме
(13) Так бы сразу и говорили... :D
А каким классам безопасности соответствует FreeBSD? И альтернативные варианты?
17. ValeriTim 20 14.12.09 13:29 Сейчас в теме
(13) Ну, в таком случае, посмотрите сколько заплаток безопасности выходит к той же фрюхе и попробуйте вспомнить из анекдота почему неуловимый Джо такой неуловимый. Мы все очень хорошо умеем рассуждать о "дырявости" виндов, но почему то вспоминать о "дырявости" BSD/Linux систем не хотим и считаем их чуть ли не эталоном безопасности. :D
Я сильно сомневаюсь что большая часть контор будет сертифицировать свои маршрутизаторы ...
15. pm74 188 14.12.09 12:48 Сейчас в теме
интресный ликбез
смысл последнего параграфа не совсем понятен
16. Alav 13 14.12.09 12:53 Сейчас в теме
Ну по требованиям безопасности компьютер должен находится в бетонно-свинцовом бункере и не должен быть подключен ни к ЛВС ни тем более к Интернету.
18. awk 722 14.12.09 13:44 Сейчас в теме
(16) Критерии я указал в статье... Дернул из оранжевой книги...
(17) Сколько? Заплатка... При монтировании флешки пользователь может получить привилегии суперпользователя если встанет на левую ногу коснется правой рукой левого уха и т.д... Угу.. Есть такое... Только по умолчанию монтировать что-либо может только суперпользователь, 2 - у меня на серверах обычно стек USB отключён. Не нравится FreeBSD - OpenBSD найдено 2 уязвимости за 15 лет. Опечатка в документации - критическая ошибка, повод не допускать код до релиза...
19. GSoft 2853 14.12.09 14:09 Сейчас в теме
а я бы кстати послушал и про линукс на клиентских машинах
20. awk 722 14.12.09 14:19 Сейчас в теме
(19) Какова задача? То есть какие приложения должны на нём работать?
21. GSoft 2853 14.12.09 15:06 Сейчас в теме
стандартный офисный набор + 1С
22. GSoft 2853 14.12.09 15:06 Сейчас в теме
стандартный офисный набор + 1С, 7-локально, 8-ка в терминале
23. antb 14.12.09 20:41 Сейчас в теме
Стандартный офисный набор в виде OpenOffece присутствует в практически в любом десктопном дистрибутиве Linux`a.
24. iov 409 15.12.09 00:57 Сейчас в теме
аппаратные фаерволы не раскрыты.
:)
почему BSD/Linux - надежность.
почему не BSD/Linux - больше вопросов чем ответов.
и так до бесконечности.

И самый вопрос - при чем тут 1С?
7.7 - дыра на дыре.
8.0 8.1 защита уже начала поддаваться не только гуру.
да и прой цель не взлом и получение пароля а именно кража информации..
причем не всегда все и сразу.. ;)
И не многие компании готовы тратить 40% на опеспечение защиты информации.
25. awk 722 15.12.09 08:36 Сейчас в теме
(24) Украсть информацию через сеть сложнее, чем через пользователей. А вот завалить - пожалуйста... Те кто не готов платить, не теряет столько денег на сетевых атаках или финансовые потери для них приемлемы.

Из аппаратных знаю CISCO, D-Link, 3-Com. Первая падала у провайдера раз в неделю - что не добавило ей рейтинг (субъективно). Две оставшиеся, да и не только они - это Linux ядро 2.6 с iptables. Правда на семинаре Microsoft рассказывал про аппаратные железки с ISA, но озвученная стоимость... Короче ISA при этом стоил в 10 раз меньше...

(22) Запустить windows приложение на linux клиенте можно тремя способами:
1. Wine - работает не все... А если работает, то не всегда стабильно.
2. Виртуальная машина - требует боле-менее нормального железа.
3. Клиент к терминальному серверу. Пока нет поддержки 6 версии rdp протокола. Citrix.
27. Wolf_DA 15.12.09 10:12 Сейчас в теме
(25) Полностью с Вами согласен по поводу безопасности, открытости кода и то что windows не место в этой нише. Стоимость шлюза+файл-сервера+прокси+ftp+т.д. на FreeBSD/OpenBSD в разы (много раз) меньше стоимости решений на windows.
(24) При чем 1С? Сейчас практически у всех доступ в сети по широкому каналу в инет и кража данных 1С это лишь частный случай.
52. Созинов 26.07.12 12:50 Сейчас в теме
(25)
Из аппаратных знаю CISCO, D-Link, 3-Com. Первая падала у провайдера раз в неделю - что не добавило ей рейтинг (субъективно). Две оставшиеся, да и не только они - это Linux ядро 2.6 с iptables. Правда на семинаре Microsoft рассказывал про аппаратные железки с ISA, но озвученная стоимость... Короче ISA при этом стоил в 10 раз меньше...

CISCO требует очень серьезных навыков, чтобы реально хорошо ее настроить, то что она падала раз в неделю говорит либо о недостатке компетенции админа у провайдера, либо провайдер экономил и взял железку не того класса, отсюда и падения, т.к. не справлялась с нагрузкой. И да, цены на такое оборудование колются, но в средних и крупных компаниях без этого никак, хотя у нас до CISCO стоял сервер с FreeBSD (и до сих пор стоит, только задействован под другие задачи), и вроде справлялся с задачами маршрутизации (админ у нас неплохой был).
53. juker 227 02.10.15 22:36 Сейчас в теме
Rjvfy(52) EfiopReal, Как вам команда включения интерфейса циски - no shutdown (дословный перевод на русский - включить)! :)
Ну и нормальный антоним включения - shutdown (выключить). :)
... Чисто субъективно - циска не падает, если её не ронять.
26. vet7777 535 15.12.09 10:08 Сейчас в теме
Comodo Firewall - бесплатный, работает под windows XP, Vista, и Windows 7, по рейтингам в тройке лидеров.... ;)
28. fastwriter 16.12.09 08:29 Сейчас в теме
Плюсанул. Очень поучительно. Особенно для российских айтишников, в большинстве своем зомбированных мелкомягкими.
29. awk 722 16.12.09 08:45 Сейчас в теме
(28) Как только цена копии мелкомягких превысит 60 рублей (пиратка)... IT-шников сильно поубавится...
30. vlas 16.12.09 11:39 Сейчас в теме
интересно почитать с таким вот прочтением, спасибо
31. JIGIT 16.12.09 13:22 Сейчас в теме
спасибо за труд и + однозначно
32. JIGIT 16.12.09 14:44 Сейчас в теме
33. kirillkr 28 16.12.09 23:33 Сейчас в теме
Работаю уже давно с Linux'ом и 1С. То что здесь написано - большой труд, но бесполезный. Абсолютно...
По новому российскому законодательству в сертифицированных конторах запрещено использовать 1С 8.x в качестве программы по учету ЗП, т.к. она не сертифицирована. И какие бы вы ухищрения не ставили в проверке это не поможет.
По каналам: здесь тоже дела обстоят туго. На сколько я знаю (могу сильно ошибаться) еще ни одна версий Linux не сертифицирована как связующее звено по шифрованию канала между офисами (ОСОБЕННО ЭТО КАСАЕТСЯ ДЛЯ ОФИСОВ РАЗДЕЛЕННЫХ ГРАНИЦАМИ - те, у которых канал проходит через госграницу). Проблемы также есть с сертификатами у HP. Лучше обстоят дела с Cisco, но какую категорию защиты они обеспечивают - только узнаю.

Главное что здесь полезно описано - это категории защиты, в которых указывается, что любая деталь по доступу к этой информации ДОЛЖНА БЫТЬ ДОКУМЕНТИРОВАНА. Т.е. пользователь именно такой, какой указан. Имеет доступ к тому-то тому и только с этого рабочего места, только выполнив соответствующие шаги и по другому никак.. И т.д.

(0) я прошу прощения за столь резкий отзыв, но именно с этим сейчас приходится разбираться и столько подводных камней, которые куда более критичны, чем выбор дистрибутива, автоматического разбиение диска и т.п. Поэтому статью лучше назвать по-другому: установка 1С на Linux'е или еще как-нибудь, но только не Защита данных.
34. hren 17.12.09 03:19 Сейчас в теме
35. awk 722 17.12.09 11:35 Сейчас в теме
(34) Минусуй тогда. Но можно прокомментировать почему?

(35)
1. 80% контор плевать на сертификацию.
2. Причем здесь ЗУП или ЗИК?
3. Сертифицирована - то ли ALT, то ли ASP, то ли ещё кто - врать не хочу.
4. Причем здесь каналы? Я про VPN еще да же не упоминал.
5. Категории защиты - это обобщение оранжевой книги. Автор её не я.
6. Там написано в заголовке еще ликбез? Не относитесь к статье как к чему то большему, чем оно есть.
Спасибо за интересный комментарий...
36. awk 722 17.12.09 12:07 Сейчас в теме
(35) Уточняю по поводу первого пункта:
Давайте разделим понятие деюро и дефакто. Деюро 98% систем на рынке продуктов IT не имеют право на "жизнь" из-за отсутствия тех или иных документов. Однако, 70% дефакто попадают под те или иные требования. Да же всеми горячо любимая операционная система Microsoft попадает под класс С2, а до B1 не дотягивает парой-тройкой пунктов. Так же известная вам FreeBSD или OpenBSD никогда не станут UNIX. Просто в силу того, что UNIX - это зарегистрированная торговая марка. Принадлежит эта марка Novell и сертификация на соответствие стоит БОЛЬШИХ денег. Как специалисту по информационной безопасности, проводящему аудит фирмы, мне плевать чем вы защищены, мне важно выявить узкие места и дать рекомендации по их исправлению. Как хакеру, мне тем более безразлично наличие у системы бумажек. Конечно юридическая безопасность - это не маловажный факт, но пока вы малое или среднее предприятие риск связанный с попаданием на этом менее одного процента. В силу отсутствия ресурсов контролирующих органов. Плюс откаты не столь велики.
37. legion1C 17.12.09 12:36 Сейчас в теме
А кто нибудь сталкивался с 8.2? По правде сказать, я работал только на 77. Сейчас пытаемся перейти на 8.2. Задача состоит в подключении через инет большого количества пользователей. Какие могут быть угрозы безопасности?
38. awk 722 17.12.09 13:14 Сейчас в теме
(37)
Примечание 1: 1С использует только одного пользователя, поэтому если вы даете доступ напрямую к 1С, то теоретически можно разрушить базу или внести в неё любую другую информацию. Как вариант это атаки типа «инъекция» или «переполнение буфера». Так же вы можете получить успешную атаку на отказ в обслуживании как связанную с особенностью защиты 1С с помощью аппаратных ключей, так и с другими особенностями реализаций сервера 1С.

Я бы рекомендовал SSL и сертификаты для пользователей. VPN не ах-как удобно. Пиши в личку отвечу более подробно...
39. g120776 20.12.09 16:07 Сейчас в теме
Статья хорошая, и очень толковые ответы на комментарии.
Сам, когда работал админом, ставил FreeBSD, правда использовал IPFW.

Вопрос:
Есть ли существенные различия в системах PF и IPFW?

Спасибо за статью, и заранее благодарю за ответ.
40. awk 722 21.12.09 08:38 Сейчас в теме
Различия есть, вот только не смогу рассказать какие. Давно им не пользовался... Как минимум это синтаксис. Плюс, в ipfw выигрывает первое правило, а в pf последние. В ipfw можно указать маску пакета для фильтрации, а в pf для этого надо задействовать стороннюю программу. А вообще вот тут: http://vkontakte.ru/topic-265_21379072 обсуждение было.
41. Boris-Leleko 313 09.02.10 14:56 Сейчас в теме
Пока не проверяется трафик на уровне приложения, нельзя говорить о полноценной безопасности. То что здесь описано, это просто фильтрация пакетов, а внутрь пакетов никто не заглядывает. Дорогие брадмауеры типа ISA сервера именно это и делают. И деньги платятся за этот функционал. Кто-нибудь знает бесплатный брандмауер, который анализирует содержимое пакетов?
42. awk 722 10.02.10 11:10 Сейчас в теме
(41) perl + tcpdump. :) В статье части про проксирование не хватает...
43. lstep 07.12.11 04:12 Сейчас в теме
44. hackerk700 21.12.11 15:40 Сейчас в теме
А про проксирование ничего не будет?
45. stark.temp 19.01.12 11:45 Сейчас в теме
Спасибо автору за статью, будем ждать продолжения данной темы.
46. genadyichnew 21.01.12 14:25 Сейчас в теме
Спасибо. Меняю брандмауэр
47. BAPPKAH 01.02.12 23:27 Сейчас в теме
Статья хорошая, и очень толковые ответы на комментарии.

Спасибо за статью, и заранее благодарю за ответ.
48. Hamlet 4 01.03.12 19:19 Сейчас в теме
Спасибо автору за статью, понравилось систематизирование элементарных вещей, разбросанных в инете по комментам, в одну статью-мануал с толковыми разъяснениями.
Надеюсь, автор закончит свой труд.
49. Crazy1CC 01.03.12 23:12 Сейчас в теме
Статья интересная, комментарии не менее интересны
50. juker 227 14.05.12 12:44 Сейчас в теме
Приведенное описание безопасности, на мой взгляд, актуально не только в связке с 1С. Данная статья хорошо описывает принцип документированности уровней безопасности, что является самой сложной частью и основой безопасной системы организации. Плюсую.
51. electronik 28.05.12 12:11 Сейчас в теме
Автору респект за труд молодец собрал кучу информации виложеной на сотне сайтов. Но на мой взгляд по даной теме можно писать и писать и создавать целые книги и сайты. Тема настольно обширна что имеет множество нюансов и особеностей.
Оставьте свое сообщение

См. также

Как я начал администрировать сервер 1С: Предприятие 8.3 с телефона Промо

Администрирование данных 1С Мобильная разработка v8 Бесплатно (free)

Развитие инструментов управления кластером серверов 1С:Предприятие 8.3.

14.04.2017    62351    user700211_a.straltsou    29    

Взаимодействие 1С со сторонними продуктами посредством REST и Golang (middleware). Часть 3 - ElasticSearch

Интеграция Журнал регистрации Бесплатно (free)

Как в статье №1 этого цикла выгрузим через прослойку журнал регистрации (xml формат) в ElasticSearch. Статья будет иметь практическую направленность в минималистичном стиле

14.09.2020    1046    dmitry-irk38    4    

Работа с журналом регистрации. Выходим за границы платформы

Журнал регистрации Бесплатно (free)

Работа с журналом регистрации нестандартными средствами. А также немного про использование платформы .NET в экосистеме 1С.

12.05.2020    6577    YPermitin    27    

Сказ о том, как online_analyze INSERT "удлинял"

Статистика базы данных Администрирование СУБД Бесплатно (free)

Немного о тонкостях работы модуля online_analyze для PostgreSQL. Опус для тех, у кого, как и у меня, не всегда хватает времени на то, чтобы разобраться, как это работает, и поэтому бывает так, что следуешь рекомендациям из сети и пользуешься методом "копипаста", пока не прижмет.

10.02.2020    2669    Sloth    2    

Копирование числовых ячеек из 1С в Excel Промо

Загрузка и выгрузка в Excel Администрирование данных 1С v8 1cv8.cf Бесплатно (free)

Решение проблемы, когда значения скопированных ячеек из табличных документов 1С в Excel воспринимаются последним как текст, т.е. без дополнительного форматирования значений невозможно применить арифметические операции. Поводом для публикации послужило понимание того, что целое предприятие с более сотней активных пользователей уже на протяжении года мучилось с такой, казалось бы на первый взгляд, тривиальной проблемой. Варианты решения, предложенные специалистами helpdesk, обслуживающими данное предприятие, а так же многочисленные обсуждения на форумах, только подтвердили убеждение в необходимости описания способа, который позволил мне качественно и быстро справиться с ситуацией.

15.01.2019    26109    itriot11    27    

Ошибка Frontol 5, 6 при работе с базой (internal gds software consistency check)

Тестирование и исправление Розничная и сетевая торговля (FMCG) Бесплатно (free)

При продаже товара выскакивает критическая ошибка "Ошибка работы с базой! Internal gds software consistency check (can't continue after bugcheck)" и работа базы прекращается, любые повторные попытки войти в базу приводят к огромным количествам не понятных ошибок, сбоев, зависаний и вообще может выдать что база не обнаружена (перемещена или удалена). При попытка остановить/перезапустить службу Frontol она вообще зависала и помогала только перезагрузка терминала

23.01.2020    5606    ClickUp    2    

Организация резервного копирования файлов с использованием rclone

Архивирование (backup) Россия Бесплатно (free)

Описание использования достаточно универсальной утилиты по синхронизации файлов.

21.01.2020    4067    malikov_pro    0    

Самые распространенные заблуждения об индексах в мире 1С

Администрирование данных 1С Администрирование СУБД Бесплатно (free)

"Магия" индексов привела к множеству заблуждений об их работе. Попробуем развеять некоторые из них в контексте 1С.

28.11.2019    21448    YPermitin    50    

Как настроить сервер 1С по умолчанию для ПРОФ лицензии после 10.09.2019 Промо

Администрирование данных 1С v8 Бесплатно (free)

Здесь мы собираем все данные по настройкам сервера для работы ПРОФ лицензии.

11.09.2019    78262    Infostart    90    

Установка и настройка нескольких экземпляров сервера 1С: Предприятия 8.3 разных релизов на одном Ubuntu-server

Администрирование данных 1С Россия Бесплатно (free)

Запуск нескольких экземпляров сервера 1С Предприятия 8.3 разных релизов на одном Ubuntu-server.

19.09.2019    11914    Error34    19    

Установка 1С Сервера взаимодействия на Linux

Администрирование данных 1С Россия Бесплатно (free)

В статье описан пошаговый процесс установки Сервера взаимодействия 1C на Linux CentOS 7.6.

06.09.2019    10204    KlSergey    21    

1С + PostgreSQL + SSD: Куда уходит ресурс хост-записей?

Администрирование данных 1С Россия Бесплатно (free)

Работа PostgreSQL на SSD начиная с 10 версии, резко увеличивает нагрузку на ресурс SSD, даже когда к базе нет коннектов.

06.09.2019    8227    2tvad    6    

Отчет по размерам таблиц в базе данных как одно из средств анализа проблем Промо

Статистика базы данных v8 1cv8.cf Бесплатно (free)

Зачастую, когда пользователи обращаются с жалобами на производительность, бывает полезно посмотреть на отчет по размерам таблиц базы данных. Он может отчетливо показать ряд распространенных проблем, устранение которых даст существенный эффект. Приведенная информация вряд ли покажется чем-то новым для опытных специалистов.

21.07.2015    34301    Aleksey.Bochkov    15    

О Unit-тестах замолвите слово.Часть 1

Тестирование и исправление Бесплатно (free)

Последнее время в контексте 1С очень много говорят о функциональном тестировании, BDD. А Unit-тестирование обходят стороной. Попробуем разобраться, для чего Unit-тестирование применять стоит.

22.07.2019    7257    Сурикат    27    

Вопросы и ответы по лицензированию приложений Microsoft Office

Администрирование данных 1С Россия Бесплатно (free)

Завершение цикла статей о лицензировании продуктов Microsoft.

23.06.2019    13695    accounting_cons    6    

Обновление PostgreSQL на Windows

Администрирование данных 1С Бесплатно (free)

Указана последовательность действий при обновлении PostgreSQL на примере Windows. Также описаны некоторые особенности.

11.06.2019    15793    extalionos    10    

Семь рекомендуемых бесплатных курсов Microsoft для ИТ-администраторов Промо

Администрирование данных 1С Бесплатно (free)

Образовательный портал «Нетология» предлагает вам пройти семь онлайн-курсов по облачным сервисам Microsoft бесплатно и получить сертификат об их завершении. Все курсы основаны на самых популярных сценариях использования облачных технологий в компаниях малого и среднего бизнеса. Разберемся, что же эти учебные программы предлагают.

28.12.2018    15983    VKuser24342747    1    

Вопросы и ответы по лицензированию Microsoft Windows

Администрирование данных 1С Россия Бесплатно (free)

То, что интересует покупателей настольной операционной системы Microsoft.

20.05.2019    16849    accounting_cons    8    

Регулярная перезагрузка Сервера 1С с чисткой кэша

Администрирование данных 1С Стартеры 1С Бесплатно (free)

Батник для перезагрузки агента сервера 1С и чистки серверного кэша и сеансовых данных. Для регулярной перезагрузки вставляем в планировщик заданий Windows.

17.05.2019    12485    alfir70    19    

Способы проверки доступности TCP-портов

Администрирование данных 1С Бесплатно (free)

Как проверить доступен ли порт сервера? Или внешний веб-сервис? Приведены несколько способов для использования на Windows-системах.

12.05.2019    43185    VKislitsin    9    

Чем PostgreSQL может быть полезен разработчику 1С Промо

Администрирование данных 1С v8 1cv8.cf Бесплатно (free)

В статье будут рассмотрены примеры, которые могут оказаться полезными в повседневной работе разработчика 1С и не только: как можно сделать снимок рабочей базы без файла резервной копии, как можно эффективно использовать табличные пространства СУБД PostgreSQL, а также как организовать простой и удобный доступ к админке СУБД посредством мобильных устройств.

20.12.2018    23308    Shmell    39    

PID процесса в сборщиках PerfMon

Администрирование данных 1С Россия Бесплатно (free)

Одним из неудобств при работе с PerfMon является то, что одноименные процессы именуются по-порядку, с добавлением суффикса #n к имени процесса. Описана настройка, позволяющая устранить этот недостаток.

06.04.2019    5977    VKislitsin    14    

Введение в лицензирование ПО Microsoft

Администрирование данных 1С Россия Бесплатно (free)

Поговорим о принципах лицензирования программных продуктов Microsoft.

19.03.2019    26813    accounting_cons    37    

Собираю Новый бюджетный Сервер для 1С ЗУП на 50 пользователей за 160 тысяч рублей (новый)

Администрирование данных 1С Бесплатно (free)

В продолжение темы https://infostart.ru/public/987835/ На данный момент подбираю бюджетный Сервер для 1С ЗУП на 50 пользователей за 160 тысяч рублей

06.03.2019    6759    Indgo    97    

Зачем в 1С нужно периодически пересчитывать итоги по регистрам? Промо

Администрирование данных 1С v8 1cv8.cf Бесплатно (free)

Мы часто слышим рекомендацию о том, что пересчет итогов нужно проводить регулярно и эта операция проводит к улучшению производительности, но что скрывается за этой процедурой и какие именно проблемы решаются?

10.03.2013    227471    Aleksey.Bochkov    140    

Вопросы и ответы по лицензированию Microsoft SQL Server

Администрирование данных 1С Россия Бесплатно (free)

Продолжение темы лицензирования серверных продуктов Microsoft.

26.02.2019    25509    accounting_cons    39    

Вопросы и ответы по лицензированию Microsoft Windows Server

Администрирование данных 1С Россия Бесплатно (free)

Все, что вы хотели знать о лицензировании Microsoft Windows Server.

13.02.2019    26164    accounting_cons    45    

А еще был такой случай

Администрирование данных 1С Бесплатно (free)

Сервер, Сеть и два Сеанса.

04.02.2019    5897    kraynev-navi    12    

Создание пользователя СУБД MS SQL Промо

Администрирование данных 1С v8 Бесплатно (free)

Создание пользователя MS SQL для развертывания базы 1С.

15.02.2017    41006    hayroff    9    

Собираем бюджетный игровой компьютер core i7 для Программиста 1С из всякого хлама за 20 тысяч рублей

Администрирование данных 1С Бесплатно (free)

В продолжение статьи со сборкой бюджетного сервера так же решил написать про свой комп. С бюджетом 20 тыс. рублей.

29.01.2019    11099    Indgo    126    

Собираем бюджетный б/у сервер 1С:Предприятия 8.3 на 250+ Пользователей за 100 тыс. рублей

Администрирование данных 1С Бесплатно (free)

В последнее время в виду дорогого доллара, санкций и прочих проблем покупка нового сервера за 500 и более тысяч рублей стала недостижимой роскошью.  Ввиду этого попытаемся собрать его из б/у сервера на Авито.

24.01.2019    18328    Indgo    137    

Установка Windows без загрузочной флэшки и загрузочного DVD-диска

Администрирование данных 1С Бесплатно (free)

Что делать, если нужно установить Windows на ПЭВМ со старой системной платой, а под рукой нет dvd-привода, а с флэшки загрузка невозможна или идет очень медленно.

09.01.2019    7004    independ    5    

Listary – интеллектуальный глобальный помощник поиска и выбора файлов в списках диалогов Windows Промо

Поиск данных Бесплатно (free)

Диалоги выбора файлов каждый раз заставляют тебя выполнять десятки однообразных кликов и скроллов мышкой? Устал от неудобного поиска файлов в проводнике? Эта программа - то, что тебе нужно.

18.08.2011    28889    tormozit    15    

Ректальное администрирование: Основы для практикующих системных АДминистраторов

Администрирование данных 1С Бесплатно (free)

Одной из самых популярных и зарекомендовавших себя методологий системного администрирования является так называемое ректальное. Редкий случай сопровождения и обслуживания информационных систем, инфраструктуры организации обходится без его использования. Зачастую без знания данной методологии сисадминам даже бывает сложно найти работу в сфере ИТ, потому что работодатели, особенно всякие аутсорсинговые ИТ фирмы, в основном отдают предпочтение классическим, зарекомендовавшим себя методикам, а не новомодным заграничным веяниям: практикам ITIL, нормальным ITSM и прочей ерунде.

22.12.2018    15323    Jokemas    25    

Как включить RemoteApp на Windows 10 Professional. Инструкция

Администрирование данных 1С Бесплатно (free)

Всем наверно знакомо, что Professional выпуск Windows позволяет использовать режим удаленного рабочего стола. Но мало кому известно, что есть возможность настроить и режим «RemoteApp» знакомый нам по серверным продуктам. То есть клиенту будет доставляться не весь рабочий стол, а лишь приложение, например, 1С.

16.12.2018    33894    Aleksey81    34    

Как в RDP избавиться от языковой раскладки и оставить только выбор языка

Администрирование данных 1С Бесплатно (free)

До чего же бывает трудно, когда в терминальной сессии работает выбор как языка ввода, так и языковой раскладки. Раздражает ведь??? Решение есть, и весьма простое!

14.12.2018    17842    Aleksey81    45    

31 марта — Международный день резервного копирования Промо

Архивирование (backup) Бесплатно (free)

А вы сделали бэкап? А проверили, что его можно использовать?

31.03.2016    19462    Gilev.Vyacheslav    3    

Восстанавливаем ассоциацию типов файлов 1С

Администрирование данных 1С Бесплатно (free)

По случайности или неосторожности бывает так, что меняется ассоциация файлов 1С (относится ко всем типам файлов, здесь же разбирается пример для файла 1С), и потом очень неудобно становится ориентироваться по файлам 1С или даже смотреть на такое безобразие. В этой статье я кратко на своем примере расскажу Вам, как исправить подобные ситуации.

18.11.2018    6109    osa92    3    

Измерь его правильно! Краткое описание общепринятого метода оценки производительности DB серверов

Администрирование данных 1С Бесплатно (free)

Сообщество программистов (администраторов) 1С является одним из самых замкнутых на себя. Тот же JAVA senior без особых вопросов напишет код на PHP или на Python, если этого потребует обстановка. 1Сники же и powershell и bash и PHP и все остальное с разной степенью успешности реализуют на 1С. В последнее время ситуация немного меняется, классическое высшее образование программистов уже не ограничивается ассемблером, бейсиком и фортраном. Никто не падает в обморок при виде class HelloWorld { public static void main(String[] args) { System.out.println("Hello World!"); } } Попробуем покуситься на тест Гилева © и узнать, как без него обходятся DBA админы остального мира, слабонервных прошу удалиться, остальных прошу под кат...

28.10.2018    12320    capitan    137    

Как подружить 1С и Power BI: личный опыт визуализации управленческих данных

Администрирование данных 1С Россия Бесплатно (free)

Аналитика для предприятия – это, скорее, необходимость, чем роскошь. Визуальное представление данных позволяет оперативно принимать и оценивать управленческие и коммерческие решения. Так, Microsoft Power BI является прекрасной платформой для построения динамических и интерактивных отчетов. В статье рассмотрен вариант подключения 1С в качестве источника данных через OData.

04.10.2018    41925    zhogov    72    

Все, что надо знать о технологической платформе 1С:Предприятие: компоненты, архитектуры, операционные системы, лицензии Промо

Администрирование данных 1С v8 Бесплатно (free)

Все о платформе и лицензировании для начинающих и не только. (благодаря Сообществу учтены новейшие изменения лицензионной политики 1С!)

19.12.2015    73264    barelpro    51    

Как обеспечить резервирование 1С с минимальным временем на восстановление

Администрирование данных 1С Россия Бесплатно (free)

Резервирование 1С является важным фактором для защиты данных и снижения рисков их потери для любого предприятия. В этой статье мы поделимся опытом, как обеспечить резервирование 1С с минимальным временем на восстановление.

11.09.2018    10733    zhogov    42    

Организация виртуальной инфраструктуры 1С в Microsoft Azure

Администрирование данных 1С Россия Бесплатно (free)

В последнее время тема облачных сервисов становится все более популярной не только в сегменте частных пользователей. Облака находят практическое применение в бизнесе, например, для размещения 1С, и уже пользуются высоким спросом. Предлагаю вам наш опыт по организации виртуальной инфраструктуры 1С в Microsoft Azure.

04.09.2018    16853    zhogov    88    

Решение практической задачи в администрировании 1С используя веб приложение для Linux (Продолжение)

Администрирование данных 1С Казахстан Бесплатно (free)

В прошлой своей статье я обещал рассказать о том как используя описанное мной веб приложение очень просто решать свои повседневные задачи. Об одной из таких задач в видео ниже.

30.08.2018    6539    held88    6    

Кто заблокировал объект ? 7.7 (SQL/DBF) Промо

Администрирование данных 1С v7.7 1cv7.md Бесплатно (free)

Обработка блокировки объекта в базе для SQL/DBF варианта.

13.08.2010    39825    Ёпрст    123    

Сборка и разборка автомата Калашникова (и снова про RAID)

Администрирование данных 1С Бесплатно (free)

Тестирование RAID на запись в различных условиях.

13.06.2018    6869    viptextil1    5    

Сжатие логов журнала транзакции MS SQL

Администрирование данных 1С Бесплатно (free)

Автоматический шринк журнала транзакций и перевод базы в простой режим восстановления.

14.04.2018    11097    bashinsky    8    

Авторизация с помощью сертификата ssl на nginx + Let's Encrypt

Администрирование данных 1С Бесплатно (free)

Добрый день, вечер или ночь, все зависит от времени суток в который вам довелось прочитать мою статью. В связи с ростом колличества корпаративных клиентов, было принято решение дать доступ к учетной системе внешним пользователям. Для самостоятельного оформления заказов и отслеживания их состояний. Реализация была создан web интерфейс с необходимым функционалом и доступом. Тут же стал вопрос безопасности, кроме стандартных пользователь-пароль было решено еще усилить безопасность, для этого применили OpenVPN, но появились клиенты, для которых нельзя применять OpenVPN (политики безопасности, нежелания и.д.), тут на глаза попались статьи про доступ по ssl сертификату.

22.02.2018    8292    kolianus    1    

LiteManager — удаленное администрирование. Описание, практика применения, рекомендации. Промо

Сервисные утилиты Администрирование данных 1С Бесплатно (free)

Удаленное администрирование компьютерами. Локальная сеть. Интернет. Описание, практика применения, рекомендации.

30.04.2013    80874    StepByStep    55