а что, для саморазвития неплохая тема. Я в свое время поднимал qemu внутри openvz, заводил windows server 2003, пробрасывал порты и подключался по RDP. Работало, конечно, как на кпк, но работало же!
Два чая этому автору. RDP, к слову, в последних версиях предусматривает шифрование трафика.
Могу предложить упрощенный вариант этой схемы:
Промежуточный сервер - виртуалка у какого-нибудь хостера, поднимаем openvpn сервер, делаем два сертификата, отправляем один на рабочую станцию, один оставляем себе
Рабочая станция (любая машина, где угодно, будь-то физический комп или виртуалка) - поднимаем на ней openvpn client, подключаемся по ранее выписанному сертификату
Вы - устанавливаем openvpn client, подбрасываем ему сертификат, подключаемся. коннект по RDP делаем непосредственно к IP рабочей станции внутри openvpn.
Плюсы этого способа:
Рабочая станция не светит портами в сеть, не светит ip, вероятность взлома сводится к нулю
Минусы:
если хостер дурачок, он сможет выписать себе пару сертификатов внутри вашей виртуалки, и подключиться к вашей сети. Поэтому тут стоит для RDP сделать хорошую аутентификацию, либо нарастить дополнительные уровни защиты.
Можно сделать тоже самое, убрав шлюз посередине, но тогда ваша станция начнет светить как минимум openvpn портом. Но убирается вероятность проникновения умалишенного хостера)
P.S. но иногда второй способ не катит, например, если у вас провайдер пробрасывает внутрь ната, и не дает открывать порты.
P.S.S. ради интереса я анализировал трафик между RDP <openvpn> CLIENT и ничего "интересного", кроме шифрованного потока не находил.
если конечно его хостер не оверселлит ноду
Потому что вапграфа таким не удивишь)) видали в свое время, в своих областях и не такие экспонаты 🙅
Сдается мне, это их же проект) Узнал по невероятному совпадению - добавлению sheltex=1 в строку адреса ☝
P.S. годы идут, а эффект летних каникул работает безотказно)
Не совсем верно. Восстановление пароля займет 5-10 минут при любом раскладе. Сервер так или иначе придется грузить в rescue (если не автоматизировано, то еще 10 минут сверху). В этом режиме квоты проверяться не будут. Монтируем диск, делаем chroot, сбрасываем пароль, ребутаем. Если клиент попросил быстро, то мы можем сделать две вещи 1) сказать клиенту что процесс займет более 20 минут, т.к. проверяются квоты (сами убеждаемся в том, что квоты проверяются) 2) закрываем глаза на квоты и указываем fsck не проверять квоты. Ребутаем, проверяем, все работает - 20 минут на все про все.
реселлер OVH, формальный аттестат WM и бл 5 - класс, сервис уровня сервероделов "майнкрафт".
де-факто вам подойдет любой хостинг, на котором есть ispmanager/cpanel/directadmin. Все они имеют API, доступ к которому редко ограничивается хостером.
а откуда ваши админы будут знать, что делал некто другой админ до их вмешательства?
одно дело анализировать ошибки, которые возникают после их вмешательства, другое дело ничего не делать. но знать, что там кто делал они по факту не обязаны и не должны.
пожалуйста, докажите свои слова. например, покажите мне логи безопасности wm, где видно, что вход в кипер осуществлялся не с моего пк.
а для полноты картины, сделайте запрос в вм, чтобы они вам прислали полные логи входов, включая авторизационную информацию и сведения о компьютере.
ну, только так будет понятно, пользовался ли кто-то моим вм или не пользовался.
а пока я вижу только пустой треп, что в принципе, присуще деревенщинам.---------- Добавлено 19.01.2016 в 15:35 ----------сначала меня наняли, потом мы сдружились. это противозаконно? подайте в суд. мы тут, с моим другом-начальником-товарищем-братом-сватом-отцоммоейжены уже ждем с нетерпением вашего иска.---------- Добавлено 19.01.2016 в 15:37 ----------а между прочим, прошло 10 дней с того момента, как Тса должны были вызывать🙅
