Таким образом... Ваша память не может использоваться путем, Вы принимаете. Ubuntu (и все современные ядра Linux) сохраняет память в состоянии кэша. Кэш не является плохой вещью. Ядро резервирует эту память на всякий случай, этому нужно пространство, но это очень быстро для выпуска его когда другой запросы приложения пространство.
Можно проверить, используется ли это пространство кэшем с командами vmstat
и free
.
Вот короткий ответ на ServerFault, описывающем кэш "проблема".
Теперь..., почему Gitorius отказывает? Необходимо просмотреть журналы и найти первопричину. Отметьте время Ваши катастрофические отказы сервера и затем начните просматривать своего апача и журналы gitorius.
Попытайтесь поднять апачей по умолчанию LogLevel
кому: info
или debug
.
В основном у вас есть три варианта.
Это не ваша идея, но, как правило, если вы сообщите руководству о подводных камнях и расходах, связанных с реализацией такого решения, они будут более открыты для лучших подходов.
Ваше руководство просит вас закрыть ящик Пандоры.
Хотя вы, в принципе, можете предотвратить загрузку любой документации для всех известных возможных механизмов, вы не сможете предотвратить ноль -day (или эквивалентные вам) от использования.
Тем не менее, аутентифицирующий брандмауэр для идентификации и пользователя, и рабочей станции может быть реализован для ограничения доступа с помощью ACL по вашему желанию. Вы можете включить службу репутации, как описано в некоторых других ответах, чтобы помочь вам управлять процессом.
Настоящий вопрос заключается в том, чтобы спросить, касается ли это безопасности или касается контроля ? Если это первое, то вам необходимо понимать порог затрат, который ваши менеджеры готовы платить. Если это второй,
Конечно, невозможно полностью заблокировать его, если только корпоративная сеть не будет отключена от Интернета.
Если вы действительно хотите что-то, что должно работать большую часть времени, будучи в основном прозрачным, вам нужно будет глубоко анализировать пакеты . Настройте прокси-сервер SSL / TLS типа «злоумышленник в середине», а также прокси-сервер для незашифрованной связи и заблокируйте весь трафик, который не проходит через один из них.
Как видите, это масштабная и болезненная задача. Он также далек от неуязвимости : я думаю о нескольких обходных решениях, даже когда пишу это, некоторые из которых невозможно решить без существенного разрыва веб-соединений ваших пользователей, и, вероятно, будут комментарии, показывающие много больше, о чем я не думал. Но он должен пропускать большую часть трафика, отфильтровывая самые простые способы устранения загрузки файлов.
Суть в том, что это больше проблем, чем того стоит.
Лучшим ответом будет вступить в своего рода переговоры с начальством: выяснить, чего они на самом деле хотят (вероятно, либо защиты коммерческой тайны, либо предотвращения ответственности), и указать, почему эти неработающие технические меры не принесут им того, чего они хотят. Тогда вы сможете найти решения их проблем, не требующие неработающих технических средств.
Не беспокойтесь об идеологии в этих дискуссиях: все, что вам нужно сделать, это сосредоточиться на том, что будет работать, а что нет . Там вы найдете все необходимые аргументы, и хотя это, несомненно, расстроит и вас, и вашего начальства, оно позволяет избежать вынесения оценочных суждений в их адрес (что может быть заслуженным, но приведет только к срыву переговоров, а это плохо. ).
Тогда вы сможете найти решения их проблем, не требующие неработающих технических средств.Не беспокойтесь об идеологии в этих дискуссиях: все, что вам нужно сделать, это сосредоточиться на том, что будет работать, а что нет . Там вы найдете все необходимые аргументы, и хотя это, несомненно, расстроит и вас, и вашего начальства, оно позволяет избежать вынесения оценочных суждений в их адрес (что может быть заслуженным, но приведет только к срыву переговоров, а это плохо. ).
Тогда вы сможете найти решения их проблем, не требующие неработающих технических средств.Не беспокойтесь об идеологии в этих дискуссиях: все, что вам нужно сделать, это сосредоточиться на том, что будет работать, а что нет . Там вы найдете все необходимые аргументы, и хотя это, несомненно, расстроит и вас, и вашего начальства, оно позволяет избежать вынесения оценочных суждений в их адрес (что может быть заслуженным, но приведет только к провалу переговоров, а это плохо ).
На самом деле существует простое решение, при условии, что вы не ожидаете, что ваша внутренняя сеть будет одновременно доступна для доступа в Интернет.
Просто необходимо полностью заблокировать доступ ваших компьютеров в Интернет. . Все порты USB заблокированы и т. Д.
Чтобы выйти в Интернет, людям нужно либо использовать другой компьютер, подключенный к другой сети, либо подключиться через RDP к серверу терминалов, имеющему доступ в Интернет. Вы отключаете буфер обмена по RDP и не используете общий доступ к Windows. Таким образом, пользователи могут '
Вы знаете ту старую шутку о том, что если вас и халфлинга преследует сердитый дракон, вам не нужно бежать быстрее дракона, вам нужно только быть быстрее халфлинга. ? Предполагая, что пользователи не являются злоумышленниками *, вам не нужно ограничивать их доступ к общедоступному облаку, этого достаточно, чтобы сделать удобство использования общедоступного облака ниже, чем удобство использования любого корпоративного решения, которое у вас есть для не-настольных компьютеров. связанный доступ к данным. При правильной реализации это резко снизит риск утечек, не связанных со злонамеренными действиями, и это выполнимо за небольшую часть стоимости.
В большинстве случаев достаточно простого черного списка. Поместите на него Google диск, Dropbox и облако Apple. Также заблокируйте трафик в Amazon AWS - большинство этих горячих стартапов, создающих еще одну облачную службу, не строят свой собственный центр обработки данных. Вы только что сократили количество сотрудников, которые знают, как попасть в общедоступное облако, с 90% до 15% (очень приблизительные цифры, будут отличаться в зависимости от отрасли). Используйте подходящее сообщение об ошибке, чтобы объяснить, почему публичные облака запрещены, что уменьшит их впечатление о бессмысленной цензуре (к сожалению, всегда найдутся пользователи, не желающие понимать).
Остальные 15% все еще могут связаться с поставщиками, не внесенными в черный список, но они, вероятно, не станут это делать. Google drive и co подвержены сильному положительному сетевому эффекту (экономическому, а не техническому). Все используют одни и те же 2-3 сервиса, поэтому они встроены везде. Пользователи создают удобные, оптимизированные рабочие процессы, включающие эти службы. Если альтернативный поставщик облачных услуг не может быть интегрирован в такой рабочий процесс, у пользователей нет стимула использовать его. И я надеюсь, что у вас есть корпоративное решение для базового использования облака, такого как хранение файлов в центральном месте, доступном из физического места за пределами кампуса (с VPN, если требуется безопасность).
Добавьте к этому решению много измерений и аналитики. (Это всегда необходимо для пользователей). Возьмите образцы трафика, особенно если они обнаруживают подозрительные шаблоны (исходящий трафик в пакетах, достаточно больших для загрузки документов, направленных в тот же домен). Посмотрите на выявленные подозрительные домены, и если вы обнаружите, что это облачный провайдер, выясните , почему пользователи его используют, поговорите с руководством о предоставлении альтернативы с равным удобством использования, обучите нарушившего пользователя об альтернативе. Было бы здорово, если бы ваша корпоративная культура позволяла мягко перевоспитывать пойманных пользователей без применения дисциплинарных мер с первого раза - тогда они не будут особо от вас прятаться, а вы легко сможете уловить отклонения и справиться с ситуацией. таким образом, который снижает риск безопасности, но при этом позволяет пользователю эффективно выполнять свою работу.
Разумный менеджер ** поймет, что этот черный список приведет к снижению производительности. У пользователей была причина использовать общедоступное облако - они заинтересованы в продуктивности, а удобный рабочий процесс повысил их продуктивность (включая количество неоплачиваемых сверхурочных, которые они готовы делать). Работа менеджера состоит в том, чтобы оценить компромисс между потерей производительности и рисками безопасности и сказать вам, готовы ли они оставить ситуацию как есть, внедрить черный список или пойти на меры, достойные секретных служб (которые крайне неудобны и все же не обеспечивают 100% безопасность).
[*] Я знаю, что люди, чья работа связана с безопасностью, в первую очередь думают о преступном умысле. И действительно, решительного преступника гораздо труднее остановить и он может нанести гораздо больший ущерб, чем не злонамеренный пользователь. Но на самом деле существует несколько организаций, в которые проникают. Большинство проблем с безопасностью связано с глупостью пользователей из лучших побуждений, которые не осознают последствий своих действий. А поскольку их так много, к угрозе, которую они представляют, следует относиться так же серьезно, как и к более опасным, но гораздо более редким шпионам.
[**] Я знаю, что, если ваши боссы уже выдвинули это требование, скорее всего, они не из разумных людей. Если они разумны, но просто ошибочны, это прекрасно. Если они неразумны и упрямы, это прискорбно, но вы должны найти способ договориться с ними. Предложение такого частичного решения, даже если вы не можете заставить их принять его, может быть хорошим стратегическим шагом - правильно представленное, оно показывает им, что вы «на их стороне», серьезно относитесь к их опасениям и готовы искать для альтернатив технически невыполнимым требованиям.
Вам потребуется устройство или служба фильтрации содержимого, например BlueCoat Secure Web Gateway, или брандмауэр с фильтрацией содержимого, например брандмауэр Palo Alto. Такие продукты имеют широкие фильтры категорий, включая онлайн-хранилище.
BlueCoat даже предлагает облачный сервис, где вы можете заставить пользователей своих портативных компьютеров подключаться через прокси-сервис, который работает локально на их компьютере, но принимает правила фильтрации контента из центра. источник.
Создайте список сайтов, к которым пользователи не могут получить доступ.
Pro: Блокировать определенные службы.
Минусы: Большой список, иногда это может повредить производительность брандмауэра системы (обычно это так!). Иногда его можно было обойти.
Вместо того, чтобы полагаться на большой список сайтов, внесенных в черный список, некоторые компании используют белый список, в котором пользователи могут получить доступ только к сайтам из белого списка.
Pro: простота управления.
Минусы: снижает производительность.
Некоторые брандмауэры позволяют блокировать размер отправляемой информации, делая невозможной отправку некоторых файлов.
Pro: Easy для управления.
Минусы: некоторые пользователи могут обойти это, посылая файлы небольшими порциями. Это может сломать некоторые веб-сайты, например, некоторые Java и Visual Studio. сайты winforms регулярно отправляют много информации.
Плюсы: легко настраивать.
Минусы: это может нарушить работу существующих систем.
По моему опыту, я работал в банке . Администраторы заблокировали доступ к USB-накопителю и доступ к некоторым запрещенным сайтам (черный список). Однако я создал php-файл на бесплатном веб-хостинге и могу без проблем загружать свои файлы (используя обычный веб-сайт). На это у меня ушло 5 минут.
Я согласен с некоторыми комментариями, проще и эффективнее использовать правила управления персоналом.
Однако я создал php-файл на бесплатном веб-хостинге и могу без проблем загружать свои файлы (используя обычный веб-сайт). На это у меня ушло 5 минут.Я согласен с некоторыми комментариями, проще и эффективнее использовать правила управления персоналом.
Однако я создал php-файл на бесплатном веб-хостинге и могу без проблем загружать свои файлы (используя обычный веб-сайт). На это у меня ушло 5 минут.Я согласен с некоторыми комментариями, проще и эффективнее использовать правила управления персоналом.
Что сказал HopelessN00b. Я просто хотел добавить, что:
У меня есть подруга, которая работает в правительственном учреждении, и ей не разрешают приносить в офис мобильный телефон с камерой. Обычно она говорит так: «Мне не разрешено иметь мобильный телефон с камерой», потому что ... ну. Если она не может взять с собой свой сотовый, зачем покупать его? У нее проблемы с поиском сотовых телефонов, на которых нет камер.
Я работал в других местах с высоким уровнем безопасности, которые могли бы «решить» эту проблему с помощью административного фашизма :
Места, которые полагаются на административный фашизм, обычно делают лишь поверхностные попытки поддержать эти правила техническими средствами, по моему опыту. Например, они говорят, что вас уволят, если вы подключите флэш-накопитель, но они не отключают USB. Они блокируют Facebook через http, но не через https. А также, как указал HopelessN00b, опытные пользователи знают это и издеваются над этим.