สิ่งที่ดื้อรั้นที่สุดที่คุณต้องรับมือในฐานะดูแลระบบคืออะไร?

16

สิ่งที่คดเคี้ยวที่สุดที่ผู้ใช้เคยทำคือสิ่งที่คุณต้องทำคืออะไร? เห็นได้ชัดว่าเราทุกคนเห็นความอาฆาตพยาบาทค่อนข้างมากจากผู้ใช้ที่ไม่เป็นมิตร แต่จะเรียกผู้ใช้ที่เป็นมิตรได้อย่างไร

ในกรณีของฉันฉันคิดว่ามันจะต้องเป็นping tunnel : การใช้แพ็กเก็ต ICMP ขาออกเพื่อพกพา SSH tunnel เพื่อหลีกเลี่ยงไฟร์วอลล์ [การเปิดเผยอย่างสมบูรณ์: ฉันสนับสนุนพอร์ต Windows ของเครื่องมือนี้;)]

(เปิดเป็นชุมชนวิกิอีกครั้ง)

security

— Mikeage
แหล่งที่มา

1

เป็นการสำรวจไม่ใช่คำถามที่มีคำตอบ ฉันเดาว่าโจเอลเป็นคนไม่รู้เรื่องน้อยกว่าเรื่อง SO

— ความวุ่นวาย

15

ฉันเคยทำที่ปรึกษา 'blackhat' ทั้งระบบสำหรับหนึ่งใน บริษัท ไอทีขนาดใหญ่เหล่านั้น เรามักจะพบว่า บริษัท ลูกค้าทำได้ดีมากในการทำให้แข็งเราเตอร์ / ไฟร์วอลล์ / เซิร์ฟเวอร์ ฯลฯ แต่แย่มากเกี่ยวกับการแยกแยะกระบวนการมนุษย์ของพวกเขา

ตัวอย่างหนึ่งที่เรามอบให้กับลูกค้าทำให้ฉันใช้สปีกเกอร์โฟนในห้องประชุมของพวกเขาเพื่อสอบถามข้อมูลไดเรกทอรีขอหมายเลขรับสัญญาณหลักของลูกค้าโทรที่ขอหมายเลขสนับสนุนด้านเทคนิคของพวกเขารับสายอีกครั้งขอชื่อผู้อำนวยการทางการเงินของพวกเขาแล้วโทร การสนับสนุนทางเทคนิคของพวกเขาที่อ้างว่าเป็น FD นั้นต้องดังนิดหน่อยและ 'เจ้านายเหมือน' แต่พวกเขารีเซ็ตรหัสผ่านของเขาอย่างรวดเร็วและมอบให้ฉันฉันโทร (พวกเขาใช้ MS RAS) ในระบบของพวกเขาเข้าสู่ระบบและส่ง อีเมลตัวเองบอกว่า 'คุณได้งาน!' - ทั้งหมดอยู่หน้า FD ที่เกี่ยวข้อง

โดยทั่วไปผู้คนมักจะเป็นจุดอ่อนและคุณไม่จำเป็นต้องส่อเสียดเพื่อไปไหนมาไหน ที่กล่าวว่าฉันรู้ของคู่แข่งที่แต่งตัวเป็นตำรวจเพื่อเข้าถึงสำนักงานของเราโชคดีที่มีคนเรียกพวกเขาว่า 'สาขาของพวกเขา' เพื่อตรวจสอบพวกเขาและพวกเขาก็วิ่งหนีไปเผชิญหน้าทันที

— Chopper3
แหล่งที่มา

5

cryptanalysis ท่อยาง ftw

— ความวุ่นวาย

สนุกกับงาน!

— spoulson

ฉันรู้ว่าพนักงานที่ทำงานเป็นที่ปรึกษาด้านการสื่อสารและนี่เป็นสิ่งที่เธอทำ - ในนามของลูกค้าของเธอแทนที่จะเป็นผู้ให้บริการโทรคมนาคม - และแทนที่จะใช้รหัสผ่านเธอไปหาข้อมูลว่าลูกค้าของเธอสามารถประหยัดค่าโทรได้เท่าไหร่ค่าธรรมเนียม เธอเก่งมากในสิ่งที่เธอทำ

— Wayne Werner

5

คดเคี้ยวที่สุด?

ฉันตั้งค่ารูปภาพเริ่มต้นเข้าสู่ระบบสำหรับผู้ใช้ทั้งหมดเป็นรูปภาพของ Pedobear

สำหรับรูปภาพของผู้เยี่ยมชมฉันได้ตั้งค่า Pedobear ด้วยนิ้วหัวแม่มือด้วยคำว่า Pedobear Seal of Approval

ไม่มีใครใน บริษัท รู้ว่าใครคือ Pedobear และพวกเขาแค่คิดว่าหมีเป็นตัวการ์ตูนที่น่ารัก

เป็นเวลาสองเดือนแล้วตั้งแต่ฉันทำสิ่งนี้ หลายคนเปลี่ยนรูปผู้ใช้แล้ว แต่รูปผู้เยี่ยมชมยังคงอยู่

... และไม่ฉันไม่ใช่ผู้ดูแลระบบ แต่นั่นคือสิ่งที่เกิดขึ้นเมื่อฉันต้องใช้เวลาหนึ่งสัปดาห์ในการติดตั้ง Vista บนแล็ปท็อปและคอมพิวเตอร์ทุกเครื่องที่ บริษัท

— MrValdez
แหล่งที่มา

1

Pedobear เป็นน่ารักตัวการ์ตูน

— sclarson

3

คดเคี้ยวมากกว่าอุโมงค์ปิงอาจเป็นอุโมงค์ DNS - แต่มันค่อนข้างมากใน ballpark เดียวกัน ทั้งคู่มักจะใช้งานได้ (แม้ว่า dns tunnel บ่อยกว่า) สำหรับการเข้าถึงแบบไร้สายสาธารณะแบบจ่ายค่าใช้จ่ายโดยไม่ต้องจ่ายเงิน - ซึ่งอาจจะดีถ้าคุณจัดการบริการดังกล่าว ^^

ในระดับตรงกันข้ามกับความลับ แต่เกือบจะแย่ทั้งแผนกเก็บรหัสผ่านของทุกคนไว้ในตู้ครัว เพื่อให้พวกเขาสามารถปลดล็อกคอมพิวเตอร์แต่ละเครื่องที่แผนกต้อนรับส่วนหน้าในกรณีที่มีคนลืมที่จะออกจากระบบ ... ห้องครัวถูกใช้บ่อย ๆ โดยไปที่ผู้รับเหมา

ปัญหาทั่วไปอีกประการหนึ่งคือผู้ใช้ที่ไม่ยอมทำงานกับคอมพิวเตอร์และอนุญาตให้เพื่อนร่วมงานจัดการกับความจำเป็นของเขาหรือเธอเช่นรายงานเวลาและตรวจสอบอีเมล สิ่งนี้ใช้เวลาสักครู่ในการค้นพบเนื่องจากเป็นสำนักงานระยะไกลที่ทุกคนรู้ แต่ไม่สนใจสิ่งนี้ - พวกเขาแค่ช่วยเพื่อน

— Oskar Duveborn
แหล่งที่มา

1

ที่ฉันทำงานตอนนี้ DNS ขาออกเป็นบล็อค แต่ ICMP ไม่ใช่ ในความเป็นจริงทุกอย่างถูกปิดกั้นสำหรับเครื่องที่ไม่ใช่พร็อกซี่ทั้งหมดยกเว้น SSH เว็บพร็อกซีจะส่งต่อ HTTP บนพอร์ต 80 (เท่านั้น) และ HTTPS ที่พอร์ต 443 ฉันเดาว่าพวกเขาเปิด SSH ไว้โดยสมมติว่าถ้าคุณรู้พอที่จะใช้ SSH คุณอาจจะไม่ทำลายอะไรเลย ผม (ส่วนตัว) นอกจากนี้ยังใช้ sslh บนเว็บเซิร์ฟเวอร์ของฉันเพียงในกรณีที่ฉันต้องการที่จะส่งเข้าชม SSH ของฉันผ่านพร็อกซี่ในพอร์ต 443

— Mikeage

ICMP ที่เปิดใช้งานผ่านไฟร์วอลล์จากอวนผู้ใช้ทั่วไปน่าสนใจ ... เอาละมีบางอย่างที่เปิดอยู่เสมอ ^^ ตราบใดที่ https เปิดอยู่ฉันคิดว่าคงไม่ต้องทำอะไรมากนักเว้นแต่ว่าจะมีการถอดรหัสทราฟฟิก https in-the-กลางโจมตีโดยไฟร์วอลล์หรือการกำหนดค่าการเชื่อม SSL) และการตรวจสอบเช่นกัน ...

— Oskar Duveborn

คุณจะถอดรหัส HTTPS (หรือสกัดกั้น) โปร่งใสได้อย่างไร สิ่งหนึ่งที่พวกเขาสามารถทำได้คือ จำกัด ระยะเวลาของการเชื่อมต่อ HTTPS เหตุผลหนึ่งที่จะมีอายุการใช้งาน 35 นาที ...

— Mikeage

1

ทีนี้คุณสามารถทำได้สำหรับจุดปลายทาง HTTPS ที่คุณเผยแพร่ฉันเดาเช่นเว็บเมลหรือไซต์เอกซ์ทราเน็ตภายนอกที่มีไฟร์วอลล์ปลอมตัวและเชื่อมโยงไซต์ / เซิร์ฟเวอร์นั้นในขณะที่ตรวจสอบเนื้อหา HTTP และยังใช้ HTTPS เป็นต้นไปบนเว็บจริง เซิร์ฟเวอร์ด้านใน แต่ถ้าคุณหลอกจุดสิ้นสุด (ตัวอย่างเช่นการปลอมแปลง DNS) คุณสามารถทำสิ่งนี้ได้สำเร็จกับการเชื่อมต่อ HTTPS ใด ๆ - เครื่องมือที่ออกมาโดยทั่วไปแล้วจะมีสคริปต์ตัวเล็กที่เป็นมิตรแม้ว่าตอนนี้มันจะไม่ง่ายเลย ^^

— Oskar Duveborn

ยังไม่มีวิธีที่จะป้องกันการขุดอุโมงค์ (สั้น) SSH ผ่าน HTTPS หากคุณต้องการอนุญาตให้เข้าถึงเซิร์ฟเวอร์ HTTPS ตามอำเภอใจบนอินเทอร์เน็ตโดยไม่ต้องเสียค่าใช้จ่าย

— Mikeage

2

ฉันทำงานเป็นผู้ดูแลระบบ sys / app / net ที่โรงเรียนมัธยม (อายุ 11 -> 18) และค้นพบว่าแล็ปท็อปที่ฉันได้รับเป็นรุ่นก่อนที่ฉันใช้ (เขาลาป่วย) ก่อนทำการฟอร์แมตเครื่องที่ฉันสำรอง ของ HD ในกรณีที่มีสิ่งใดที่ไม่ควรลบ

หลังจากนั้นในขณะที่ผู้จัดการของฉันถามฉันถึงไฟล์ที่อาจอยู่ในแล็ปท็อปนั้น ดังนั้นฉันจึงค้นหาดิสก์สำรอง แต่พบเฉพาะระเบียนและภาพถ่ายของเด็กอายุ 11 ถึง 14 และมีเพียงหญิงเท่านั้นและมีสีผมเฉพาะ

ฉันรายงานสิ่งที่พบให้ผู้จัดการของฉัน แต่ฉันสามารถรับรองได้ว่าฉันถูกหลอก

— Martin P. Hellwig
แหล่งที่มา

0

ผู้ใช้รู้ว่าเขาไม่สามารถเข้าถึงตัวกรองไฟร์วอลล์สำหรับการท่องเว็บ แต่พบวิธีรอบตัวมัน เขามีกลุ่มเพื่อน 5 คนและพวกเขาจะส่งอีเมลรูปภาพสกปรกในไฟล์แนบอีเมลในวงแหวนระหว่างพวกเขาทั้งหมด

— ไบรอัน
แหล่งที่มา