Извините, что не согласился, но нет ничего неправильно с DNS здесь. AD является свой собственный DNS. От AD я могу проверить с помощью ping-запросов FQDN прекрасного DC. Сервер DNS все еще управляет прекрасный и предоставляет DNS интернет-пользователям. Средство просмотра события не сообщает ни о чем плохого с DNS. DNS может быть запущен/остановлен без любых проблем. Для меня отказ DnsGetPrimaryDomainName является просто последствием недоступности глобального каталога. Так или иначе AD восстанавливается от резервного копирования теперь.
Когда вы можете контролировать эти виртуальные машины Java, вы можете использовать политику Java, чтобы указать, что разрешено, а что нет.
С их помощью вы ограничиваете доступ к частям файловой системы, конкретные порты и т. д.
Вот хороший учебник для них:
http://docs.oracle.com/javase/tutorial/security/tour2/step2.html
Но вы должны заставить пользователя запустить jvm с активированным менеджером безопасности. Если это невозможно, политики можно просто отключить.
Каждое дерево файловой системы, в которое эти пользователи могут писать, должно быть смонтировано noexec
.
Вы можете заблокировать для них доступ ко всем двоичным файлам, создав для них группу и добавьте список ACL в / bin
, / sbin
, / usr / bin
[...], который запрещает этой группе доступ к этому каталогу:
for dir in /bin ...; do
setfacl -m g:javausers:- "$dir"
done
Вы создаете новый каталог / whitelisted_binaries
и жестко связываете все необходимые им двоичные файлы (например, сам java
] и делаете этот каталог частью $ PATH
пользователей. Возможно, эти жесткие ссылки должны быть воссозданы после обновления пакета.