Linux: sysadmins ที่ทำงานได้โดยไม่ต้องรูท (ปกป้องทรัพย์สินทางปัญญา) หรือไม่

มีวิธีใดที่จะทำให้ syadmin ที่มีประสบการณ์ในการทำงานโดยไม่ให้เขาเข้าถึงรูททั้งหมด

คำถามนี้มาจากมุมมองของการปกป้องทรัพย์สินทางปัญญา (IP) ซึ่งในกรณีของฉันเป็นไฟล์รหัสและ / หรือการกำหนดค่าทั้งหมด (เช่นไฟล์ดิจิตอลขนาดเล็กที่คัดลอกได้ง่าย) ซอสสูตรลับของเราทำให้เราประสบความสำเร็จมากกว่าขนาดที่เราแนะนำ ในทำนองเดียวกันเราถูกกัดครั้งหนึ่งอายสองครั้งจากอดีตพนักงานไร้ยางอาย (ไม่ใช่ผู้ดูแลระบบ) ที่พยายามขโมยทรัพย์สินทางปัญญา ตำแหน่งของผู้บริหารระดับสูงนั้นโดยทั่วไปแล้ว "เราเชื่อมั่นผู้คน แต่เพื่อผลประโยชน์ของตนเองไม่สามารถเสี่ยงต่อการให้บุคคลใดบุคคลหนึ่งเข้าถึงได้มากกว่าที่พวกเขาต้องการอย่างแท้จริง"

ในด้านนักพัฒนาการแบ่งเวิร์กโฟลว์และระดับการเข้าถึงค่อนข้างง่ายซึ่งผู้คนสามารถทำงานได้อย่างมีประสิทธิภาพ แต่จะเห็นเฉพาะสิ่งที่พวกเขาต้องการเห็นเท่านั้น เฉพาะคนอันดับต้น ๆ (เจ้าของ บริษัท จริง) เท่านั้นที่มีความสามารถในการรวมส่วนผสมทั้งหมดและสร้างซอสพิเศษ

แต่ฉันไม่สามารถหาวิธีที่ดีในการรักษาความลับ IP นี้ในด้านผู้ดูแลระบบ Linux เราใช้ประโยชน์อย่างกว้างขวางของ GPG สำหรับรหัสและไฟล์ข้อความที่มีความละเอียดอ่อน ... แต่สิ่งที่จะหยุดผู้ดูแลระบบ (เช่น) ผู้ใช้และกระโดดขึ้นไปบนเซสชั่น tmux หรือ GNU Screen ของพวกเขาและดูว่าพวกเขากำลังทำอะไร

(เรายังปิดการใช้งานอินเทอร์เน็ตทุกที่ที่อาจเข้ามาติดต่อกับข้อมูลที่ละเอียดอ่อน แต่ไม่มีอะไรสมบูรณ์แบบและอาจมีช่องเปิดสำหรับ sysadmins ที่ฉลาดหรือมีข้อผิดพลาดในด้านผู้ดูแลระบบเครือข่ายหรือแม้กระทั่ง USB เก่า ๆ แน่นอนมาตรการอื่น ๆ อีกมากมายในสถานที่ แต่ไม่เกินขอบเขตของคำถามนี้)

สิ่งที่ดีที่สุดที่ฉันสามารถทำได้คือการใช้บัญชีส่วนบุคคลกับsudoคล้ายกับที่อธิบายไว้ในsysadmins Linux หลายตัวที่ทำงานเป็นรูท โดยเฉพาะ: ไม่มีใครนอกจากเจ้าของ บริษัท จะมีสิทธิ์เข้าถึงรูทโดยตรง ผู้ดูแลระบบคนอื่น ๆ จะมีบัญชีส่วนบุคคลและความสามารถในการsudoสู่ราก นอกจากนี้จะทำการบันทึกระยะไกลและบันทึกจะไปยังเซิร์ฟเวอร์ที่เจ้าของ บริษัท เท่านั้นที่สามารถเข้าถึงได้ การเห็นการปิดการบันทึกจะเป็นการปิดการแจ้งเตือนบางประเภท

ดูแลระบบที่ชาญฉลาดอาจยังคงพบบางหลุมในรูปแบบนี้ และว่ากันว่ามันยังคงมีปฏิกิริยามากกว่าเชิงรุก ปัญหาเกี่ยวกับทรัพย์สินทางปัญญาของเราคือคู่แข่งสามารถใช้ประโยชน์ได้อย่างรวดเร็วและก่อให้เกิดความเสียหายจำนวนมากในระยะเวลาอันสั้น

ดังนั้นยังดีกว่าจะเป็นกลไกที่ จำกัด สิ่งที่ผู้ดูแลระบบสามารถทำได้ แต่ฉันรู้ว่านี่คือความสมดุลที่ละเอียดอ่อน (โดยเฉพาะอย่างยิ่งในแง่ของการแก้ไขปัญหาและแก้ไขปัญหาการผลิตที่ต้องแก้ไขในตอนนี้ )

ฉันอดไม่ได้ที่จะสงสัยว่าองค์กรที่มีข้อมูลที่ละเอียดอ่อนมากจัดการกับปัญหานี้ได้อย่างไร ตัวอย่างเช่นระบบดูแลระบบทางทหาร: จะจัดการเซิร์ฟเวอร์และข้อมูลโดยไม่สามารถดูข้อมูลที่เป็นความลับได้อย่างไร

แก้ไข:ในการโพสต์ครั้งแรกฉันหมายถึงการจัดการความคิดเห็น "การจ้างงาน" ไว้ล่วงหน้าซึ่งจะเริ่มขึ้น หนึ่งนี้ควรจะเป็นคำถามทางเทคนิคและการจ้างงาน IMO มีแนวโน้มมากขึ้นต่อคำถามทางสังคม แต่สองฉันจะพูดแบบนี้: ฉันเชื่อว่าเราทำทุกอย่างที่เหมาะสมสำหรับการจ้างคน: สัมภาษณ์หลายคนคนที่ บริษัท การตรวจสอบภูมิหลังและการอ้างอิง พนักงานทุกคนลงนามในเอกสารทางกฎหมายจำนวนมากรวมถึงเอกสารที่ระบุว่าได้อ่านและทำความเข้าใจคู่มือของเราซึ่งมีรายละเอียดเกี่ยวกับทรัพย์สินทางปัญญาโดยละเอียด ตอนนี้มันอยู่นอกขอบเขตของคำถาม / เว็บไซต์นี้ แต่ถ้าใครบางคนสามารถเสนอวิธีการจ้างงาน "สมบูรณ์แบบ" ที่กรองนักแสดงที่ไม่ดี 100% ออกมาฉันเป็นคนหูทั้งหมด ข้อเท็จจริงคือ: (1) ฉันไม่เชื่อว่ามีกระบวนการจ้างงานที่สมบูรณ์แบบ (2) ผู้คนเปลี่ยนแปลง - ทูตสวรรค์ในวันนี้อาจเป็นปีศาจในวันพรุ่งนี้ (3) ความพยายามขโมยรหัสดูเหมือนจะเป็นกิจวัตรประจำวันในอุตสาหกรรมนี้

สิ่งที่คุณกำลังพูดถึงเป็นที่รู้จักกันในนามความเสี่ยง "ความชั่วร้ายระบบ" ยาวและสั้นของมันคือ:

• ดูแลระบบคือบุคคลที่มีสิทธิ์ยกระดับ
• เชี่ยวชาญทางเทคนิคจนถึงระดับที่จะทำให้พวกเขาเป็น 'แฮ็กเกอร์' ที่ดี
• การโต้ตอบกับระบบในสถานการณ์ที่ผิดปกติ

การรวมกันของสิ่งเหล่านี้ทำให้ไม่สามารถหยุดการกระทำที่เป็นอันตรายได้ แม้การตรวจสอบจะยากเพราะคุณไม่มี 'ปกติ' ที่จะเปรียบเทียบ (และตรงไปตรงมา - ระบบที่ใช้งานไม่ได้อาจทำให้การตรวจสอบเสียด้วย)

มีพวงของขั้นตอนบรรเทาผลกระทบ:

• การแยกสิทธิพิเศษ - คุณไม่สามารถหยุดผู้ชายที่มีรากไม่ให้ทำอะไรในระบบ แต่คุณสามารถทำให้ทีมหนึ่งรับผิดชอบการเชื่อมต่อเครือข่ายและอีกทีมรับผิดชอบ 'ระบบปฏิบัติการ' (หรือ Unix / Windows แยกกัน)
• จำกัด การเข้าถึงชุดอุปกรณ์ให้กับทีมอื่นซึ่งไม่ได้รับบัญชีผู้ดูแลระบบ ... แต่ดูแลการทำงานของ 'มือ' ทั้งหมด
• แยกความรับผิดชอบ 'เดสก์ท็อป' และ 'เซิร์ฟเวอร์' ออก กำหนดค่าเดสก์ท็อปเพื่อยับยั้งการลบข้อมูล ผู้ดูแลระบบเดสก์ท็อปไม่มีความสามารถในการเข้าถึงข้อมูลที่ละเอียดอ่อนผู้ดูแลระบบเซิร์ฟเวอร์สามารถขโมยข้อมูลได้ แต่ต้องกระโดดผ่านห่วงเพื่อนำออกจากอาคาร
• การตรวจสอบระบบการเข้าถึงที่ จำกัด - syslogและการตรวจสอบระดับเหตุการณ์ไปยังระบบที่ค่อนข้างทนต่อการงัดแงะที่พวกเขาไม่มีสิทธิ์เข้าถึง แต่การรวบรวมมันไม่เพียงพอคุณต้องตรวจสอบ - และตรงไปตรงมามีหลายวิธีในการ 'ขโมย' ข้อมูลที่อาจไม่ปรากฏในเรดาร์ตรวจสอบ (Poacher vs. gamekeepers)
• ใช้การเข้ารหัส 'ที่เหลือ' ดังนั้นข้อมูลจะไม่ถูกจัดเก็บไว้ 'อย่างชัดเจน' และต้องใช้ระบบที่มีอยู่เพื่อเข้าถึง ซึ่งหมายความว่าคนที่มีการเข้าถึงทางกายภาพไม่สามารถเข้าถึงระบบที่ไม่ได้รับการตรวจสอบอย่างแข็งขันและในสถานการณ์ 'ผิดปกติ' ที่ระบบดูแลระบบกำลังทำงานอยู่ข้อมูลจะถูกเปิดเผยน้อยลง (เช่นถ้าฐานข้อมูลไม่ทำงานข้อมูลอาจไม่สามารถอ่านได้)
• ชายสองคนปกครอง - ถ้าคุณโอเคกับความสามารถในการผลิตของคุณและกำลังใจในการทำงานก็เช่นเดียวกัน (อย่างจริงจัง - ฉันเคยเห็นมาแล้วและสถานะการทำงานและการเฝ้าดูอย่างต่อเนื่องทำให้สภาพการทำงานยากมาก)
• สัตวแพทย์ดูแลระบบของคุณ - อาจมีการตรวจสอบบันทึกต่าง ๆ ขึ้นอยู่กับประเทศ (การตรวจสอบประวัติอาชญากรรมคุณอาจพบว่าคุณสามารถยื่นขอความปลอดภัยได้ในบางกรณีซึ่งจะทำให้เกิดการตรวจค้น)
• ดูแลดูแลระบบของคุณ - สิ่งสุดท้ายที่คุณต้องทำคือบอกคนที่ "เชื่อมั่น" ว่าคุณไม่ไว้ใจพวกเขา และแน่นอนว่าคุณไม่ต้องการทำลายกำลังใจในการทำงานเพราะนั่นเป็นการเพิ่มโอกาสของพฤติกรรมที่เป็นอันตราย (หรือ 'ไม่ประมาทเลินเล่อ แต่จ่ายตามความรับผิดชอบเช่นเดียวกับชุดทักษะ และพิจารณา 'perks' - ที่ถูกกว่าเงินเดือน แต่อาจมีมูลค่ามากกว่า ชอบกาแฟฟรีหรือพิซซ่าสัปดาห์ละครั้ง
• และคุณยังสามารถลองใช้เงื่อนไขสัญญาเพื่อยับยั้งได้ แต่ต้องระวังสิ่งที่กล่าวมาข้างต้น

แต่โดยพื้นฐานแล้วคุณต้องยอมรับว่านี่คือสิ่งที่ไว้ใจได้ไม่ใช่สิ่งทางเทคนิค ผู้ดูแลระบบของคุณจะเป็นอันตรายต่อคุณมากเนื่องจากพายุที่สมบูรณ์แบบนี้

กล่าวว่าทุกอย่างเพื่อให้ห่างไกลที่นี่เป็นสิ่งที่ดี แต่มีหนึ่ง 'ง่าย' วิธีที่ไม่ใช่ทางด้านเทคนิคที่จะช่วยให้ผู้ดูแลระบบขัดแย้ง SYS โกง - The สี่ตาหลักการซึ่งโดยทั่วไปต้องว่าทั้งสอง sysadmins จะนำเสนอสำหรับการเข้าถึงสูงใด ๆ

แก้ไข: สองรายการที่ยิ่งใหญ่ที่สุดที่ฉันเคยเห็นในความคิดเห็นกำลังพูดถึงค่าใช้จ่ายและความเป็นไปได้ของการสมรู้ร่วมคิด หนึ่งในวิธีที่ใหญ่ที่สุดที่ฉันได้พิจารณาเพื่อหลีกเลี่ยงปัญหาทั้งสองนี้คือการใช้ บริษัท บริการที่มีการจัดการที่ใช้สำหรับการตรวจสอบการดำเนินการเท่านั้น ทำอย่างถูกต้องแล้วเทคโนโลยีจะไม่รู้จักซึ่งกันและกัน สมมติว่าความกล้าหาญทางเทคนิคที่ MSP ควรมีมันจะง่ายพอที่จะลงชื่อออกจากการกระทำ .. บางทีอาจจะง่ายเหมือนใช่ / ไม่ใช่กับสิ่งชั่วร้าย

หากผู้คนต้องการการเข้าถึงของผู้ดูแลระบบอย่างแท้จริงมีเพียงเล็กน้อยที่คุณสามารถทำได้เพื่อ จำกัด กิจกรรมของพวกเขาในกล่องนั้น

องค์กรส่วนใหญ่ทำในสิ่งที่ไว้วางใจ แต่ยืนยัน - คุณอาจให้ผู้ใช้เข้าถึงส่วนต่าง ๆ ของระบบ แต่คุณใช้บัญชีผู้ดูแลระบบที่มีชื่อ (เช่นคุณไม่ให้พวกเขาเข้าถึงรูตโดยตรง) จากนั้นตรวจสอบกิจกรรมของพวกเขา ไม่สามารถแทรกแซง

มีการกระทำที่สมดุลที่นี่; คุณอาจจำเป็นต้องปกป้องระบบของคุณ แต่คุณต้องไว้วางใจผู้อื่นให้ทำงานของพวกเขาด้วย หากก่อนหน้านี้ บริษัท ถูก "กัด" โดยพนักงานที่ไร้ยางอายนี่อาจชี้ให้เห็นว่า บริษัท ที่จ้างวิธีปฏิบัติไม่ดีในทางใดทางหนึ่งและแนวทางเหล่านั้นถูกสร้างขึ้นโดย "ผู้จัดการระดับสูง" ความน่าเชื่อถือเริ่มต้นที่บ้าน พวกเขากำลังทำอะไรเพื่อแก้ไขทางเลือกการจ้างของพวกเขา

โดยไม่ต้องใช้ความคิดทางด้านเทคนิคที่บ้าคลั่งเพื่อพยายามหาวิธีที่จะให้พลังดูแลระบบโดยไม่ให้พลัง (อาจเป็นไปได้ แต่ในที่สุดก็จะมีข้อบกพร่อง)

จากมุมมองของการปฏิบัติทางธุรกิจมีชุดของโซลูชันที่ง่าย ไม่ใช่วิธีแก้ปัญหาราคาถูก แต่เรียบง่าย

คุณพูดถึงว่าชิ้นส่วนของทรัพย์สินทางปัญญาที่คุณกังวลถูกแบ่งออกและมีเพียงคนที่อยู่ด้านบนเท่านั้นที่มีอำนาจที่จะเห็นพวกเขา นี่คือคำตอบของคุณ คุณควรมีผู้ดูแลระบบหลายคนและไม่มีผู้ดูแลเหล่านี้ควรเป็นผู้ดูแลระบบที่เพียงพอที่จะรวบรวมรูปภาพทั้งหมด แน่นอนว่าคุณต้องมีผู้ดูแลอย่างน้อย 2 หรือ 3 คนสำหรับแต่ละชิ้นในกรณีที่ผู้ดูแลระบบป่วยหรืออุบัติเหตุทางรถยนต์หรืออะไรบางอย่าง บางทีอาจทำให้พวกเขาโซเซ บอกว่าคุณมีผู้ดูแลระบบ 4 คนและมีข้อมูล 8 ชิ้น ผู้ดูแลระบบ 1 สามารถเข้าถึงระบบที่มีส่วนที่ 1 และ 2 ผู้ดูแลระบบ 2 สามารถรับชิ้นที่ 2 และ 3 ผู้ดูแลระบบ 3 สามารถรับ 3 และ 4 และผู้ดูแลระบบ 4 สามารถรับ 4 และ 1 แต่ละระบบมีผู้ดูแลระบบสำรอง แต่ไม่มี ผู้ดูแลระบบสามารถประนีประนอมภาพที่สมบูรณ์

เทคนิคหนึ่งที่กองทัพใช้เช่นกันคือข้อ จำกัด ในการเคลื่อนย้ายข้อมูล ในพื้นที่อ่อนไหวอาจมีเพียงระบบเดียวที่สามารถเบิร์นดิสก์หรือใช้ USB แฟลชไดรฟ์ระบบอื่น ๆ ทั้งหมดจะถูก จำกัด และความสามารถในการใช้ระบบนั้นมี จำกัด อย่างมากและต้องได้รับการอนุมัติเป็นลายลักษณ์อักษรจาก ups ที่สูงขึ้นก่อนที่ใครก็ตามจะได้รับอนุญาตให้วางข้อมูลใด ๆ ในสิ่งที่อาจนำไปสู่การรั่วไหลของข้อมูล ในโทเค็นเดียวกันคุณมั่นใจได้ว่าทราฟฟิกเครือข่ายระหว่างระบบต่างๆจะถูก จำกัด ด้วยไฟร์วอลล์ฮาร์ดแวร์ ผู้ดูแลระบบเครือข่ายของคุณที่ควบคุมกำแพงไฟไม่สามารถเข้าถึงระบบที่พวกเขากำลังกำหนดเส้นทางดังนั้นพวกเขาจึงไม่สามารถเข้าถึงข้อมูลได้โดยเฉพาะและผู้ดูแลระบบเซิร์ฟเวอร์ / เวิร์กสเตชันของคุณมั่นใจได้ว่าข้อมูลทั้งหมดไปและกลับจากระบบได้รับการกำหนดค่าให้เข้ารหัส

แล็ปท็อป / เวิร์กสเตชันทั้งหมดควรมีฮาร์ดไดรฟ์เข้ารหัสและพนักงานแต่ละคนควรมีตู้เก็บของส่วนตัวที่พวกเขาจะต้องล็อคไดรฟ์ / แล็ปท็อปในตอนท้ายของคืนเพื่อให้แน่ใจว่าไม่มีใครมาก่อน / ออกล่าช้า พวกเขาไม่ควรที่จะ

แต่ละเซิร์ฟเวอร์ควรอยู่อย่างน้อยที่สุดในชั้นวางล็อคของตัวเองหากไม่ใช่ห้องล็อคของตัวเองดังนั้นเฉพาะผู้ดูแลระบบที่รับผิดชอบในแต่ละเซิร์ฟเวอร์เท่านั้นที่สามารถเข้าถึงได้ตั้งแต่สิ้นสุดวันที่มีการเข้าถึงทางกายภาพสำคัญกว่าทั้งหมด

ถัดไปคือการฝึกฝนที่สามารถทำร้าย / ช่วยเหลือได้ สัญญา จำกัด หากคุณคิดว่าคุณสามารถจ่ายได้มากพอที่จะดึงดูดความสามารถใหม่ ๆ ตัวเลือกในการดูแลผู้ดูแลแต่ละคนตามเวลาที่กำหนดไว้ล่วงหน้า (IE 6 เดือน, 1 ปี, 2 ปี) จะช่วยให้คุณสามารถ จำกัด ระยะเวลาที่ใครบางคนจะมี เพื่อพยายามรวบรวมชิ้นส่วนทั้งหมดของ IP ของคุณ

การออกแบบส่วนบุคคลของฉันจะเป็นบางสิ่งบางอย่างตามแนว ... แยกข้อมูลของคุณออกเป็นหลาย ๆ ชิ้นสมมติว่ามีหมายเลข 8 คุณมีเซิร์ฟเวอร์ 8 git แต่ละตัวมีชุดฮาร์ดแวร์ซ้ำซ้อนแต่ละชุดมีการจัดการโดย ผู้ดูแลระบบชุดอื่น

เข้ารหัส hardrives สำหรับเวิร์กสเตชันทั้งหมดที่จะสัมผัส IP ด้วยไดเร็กตอรี่ "project" ที่ระบุในไดรฟ์ที่เป็นผู้ใช้ไดเรคทอรีเท่านั้นที่ได้รับอนุญาตให้ใส่โปรเจ็กต์ของพวกเขาในตอนท้ายของแต่ละคืนพวกเขาจะต้องทำให้ sanatize ไดเร็กตอรี่โปรเจคของพวกเขาด้วยเครื่องมือลบอย่างปลอดภัย ถูกล็อค (เพื่อความปลอดภัย)

แต่ละโครงการมีการมอบหมายผู้ดูแลระบบที่แตกต่างกันดังนั้นผู้ใช้จะโต้ตอบกับผู้ดูแลระบบเวิร์กสเตชันที่ได้รับมอบหมายเท่านั้นหากการเปลี่ยนแปลงการมอบหมายโครงการของพวกเขาข้อมูลถูกลบพวกเขาจะได้รับมอบหมายผู้ดูแลระบบใหม่ ระบบของพวกเขาไม่ควรมีความสามารถในการเบิร์นและควรใช้โปรแกรมความปลอดภัยเพื่อป้องกันการใช้แฟลชไดรฟ์ USB เพื่อถ่ายโอนข้อมูลโดยไม่ได้รับอนุญาต

เอาสิ่งนี้ไปทำ

มันจะคล้ายกับความท้าทายในการว่าจ้างภารโรงสำหรับอาคาร ภารโรงจะได้รับกุญแจทั้งหมดสามารถเปิดประตูใด ๆ แต่เหตุผลคือภารโรงต้องการให้พวกเขาทำงาน เช่นเดียวกันกับผู้ดูแลระบบ สมมาตรเราสามารถคิดถึงปัญหาเก่าในยุคนี้ได้

แม้ว่าจะไม่มีวิธีแก้ปัญหาด้านเทคนิคที่สะอาด แต่ข้อเท็จจริงที่ว่าไม่มีเหตุผลใดที่เราไม่ควรลอง แต่การรวมโซลูชันที่ไม่สมบูรณ์เข้าด้วยกันสามารถให้ผลลัพธ์ที่ยอดเยี่ยมได้

แบบจำลองที่ได้รับความไว้วางใจ :

• ให้สิทธิ์น้อยลงในการเริ่มต้นด้วย
• เพิ่มสิทธิ์อย่างค่อยเป็นค่อยไป
• ใส่ honeypot และติดตามสิ่งที่เกิดขึ้นในไม่กี่วันข้างหน้า
• หากดูแลระบบรายงานแทนที่จะพยายามใช้ในทางที่ผิดนั่นเป็นการเริ่มต้นที่ดี

ใช้อำนาจการบริหารหลายระดับ :

• ระดับ 1: สามารถแก้ไขชั้นล่างของไฟล์การกำหนดค่า
• ระดับ 2: สามารถแก้ไขชั้นการกำหนดค่าไฟล์ที่สูงขึ้นเล็กน้อย
• ระดับ 3: สามารถแก้ไขชั้นการกำหนดค่าไฟล์และการตั้งค่าระบบปฏิบัติการที่สูงขึ้นเล็กน้อย

สร้างสภาพแวดล้อมที่ไม่สามารถเข้าถึงทั้งหมดโดยหนึ่งคนได้เสมอ :

• แยกระบบในกลุ่ม
• ให้อำนาจผู้ดูแลระบบคลัสเตอร์แก่กลุ่มต่างๆ
• ขั้นต่ำ 2 กลุ่ม

ใช้กฎ Two-man เมื่อทำการเปลี่ยนแปลงคอร์ระดับสูง :

• https://en.wikipedia.org/wiki/Two-man_rule
• ต้องการผู้ดูแลระบบจาก cluster1 และ cluster2 สำหรับการเปลี่ยนแปลงหลัก

เชื่อถือและตรวจสอบ :

• บันทึกทุกอย่าง
• การตรวจสอบบันทึกและการแจ้งเตือน
• ตรวจสอบให้แน่ใจว่าการกระทำทั้งหมดมีความแตกต่าง

เอกสาร :

• ให้พวกเขาเซ็นเอกสารเพื่อให้ระบบกฎหมายสามารถช่วยคุณได้โดยฟ้องพวกเขาหากพวกเขาทำร้ายคุณให้แรงจูงใจมากกว่าที่จะไม่ทำเช่นนั้น

มันยากมากที่จะรักษาความปลอดภัยโฮสต์กับผู้ที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ ในขณะที่เครื่องมือเช่นPowerBrokerพยายามทำสิ่งนี้ค่าใช้จ่ายเพิ่มทั้งสองอย่างที่สามารถทำลายและเพิ่มอุปสรรคในการแก้ไข ความพร้อมใช้งานของระบบของคุณจะลดลงเมื่อคุณใช้สิ่งนี้ดังนั้นให้ตั้งค่าความคาดหวังก่อนเป็นค่าใช้จ่ายในการปกป้องสิ่งต่าง ๆ

ความเป็นไปได้อีกอย่างก็คือดูว่าแอปของคุณสามารถทำงานบนโฮสต์ที่ใช้แล้วทิ้งผ่านผู้ให้บริการคลาวด์หรือในระบบคลาวด์ส่วนตัวที่โฮสต์ในพื้นที่ เมื่อมีคนหยุดพักแทนที่จะส่งผู้ดูแลเพื่อแก้ไขคุณทิ้งมันไปและสร้างการแทนที่อัตโนมัติ สิ่งนี้จะต้องใช้งานด้านแอพพลิเคชั่นค่อนข้างมากเพื่อให้สามารถทำงานในรุ่นนี้ได้ แต่สามารถแก้ไขปัญหาด้านการปฏิบัติงานและความปลอดภัยได้อย่างมาก หากทำไม่ดีอาจทำให้เกิดปัญหาด้านความปลอดภัยที่สำคัญดังนั้นรับความช่วยเหลือที่มีประสบการณ์ถ้าคุณไปเส้นทางนั้น

นี่คือการสนทนาพื้นฐานของคุณ: https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

คุณแบ่งความรับผิดชอบของคุณโดยมีวิศวกรความปลอดภัยซึ่งมีหน้าที่ในการกำหนดค่าระบบและติดตั้ง แต่พวกเขาไม่ได้รับข้อมูลประจำตัวหรือการเข้าถึงเครื่องในการผลิต พวกเขายังใช้โครงสร้างพื้นฐานการตรวจสอบของคุณ

คุณมีผู้ดูแลระบบการผลิตที่ได้รับระบบ แต่ไม่มีกุญแจในการบูตเครื่องโดยไม่มีนโยบาย SELinux กำลังทำงานอยู่ การรักษาความปลอดภัยไม่ได้รับกุญแจในการถอดรหัสข้อมูลที่สำคัญที่จัดเก็บไว้ที่ดิสก์บนเมื่อพวกเขาได้รับเครื่องที่เสียหายจากการให้บริการ

ใช้ประโยชน์จากระบบการตรวจสอบสิทธิ์แบบรวมศูนย์ที่มีการตรวจสอบที่แข็งแกร่งเช่นVaultและใช้ประโยชน์จากการดำเนินการเข้ารหัสลับ แจกอุปกรณ์ Yubikey เพื่อให้กุญแจเป็นส่วนตัวและอ่านไม่ได้

เครื่องจักรถูกเช็ดทำความสะอาดด้วยการแตกหรือจัดการโดย ops และความปลอดภัยร่วมกันและหากคุณรู้สึกว่าจำเป็นต้องมีการควบคุมดูแล

ผู้ดูแลระบบโดยธรรมชาติของงานสามารถเข้าถึงทุกสิ่ง พวกเขาสามารถเห็นทุกไฟล์ในระบบไฟล์พร้อมกับข้อมูลประจำตัวของผู้ดูแลระบบ ดังนั้นคุณจะต้องมีวิธีในการเข้ารหัสไฟล์เพื่อให้ผู้ดูแลระบบมองไม่เห็น แต่ไฟล์นั้นยังคงสามารถใช้งานได้โดยทีมที่ควรเห็น ตรวจสอบการเข้ารหัสแบบโปร่งใสของ Vormetric ( http://www.vormetric.com/products/transparent-encryption )

วิธีการใช้งานคือตั้งอยู่ระหว่างระบบไฟล์และแอพพลิเคชั่นที่เข้าถึงได้ การจัดการสามารถสร้างนโยบายที่ระบุว่า "เฉพาะผู้ใช้ httpd การเรียกใช้เว็บเซิร์ฟเวอร์ daemon สามารถดูไฟล์ที่ไม่ได้เข้ารหัส" จากนั้นผู้ดูแลระบบที่มีข้อมูลประจำตัวรูทสามารถลองอ่านไฟล์และรับเฉพาะรุ่นที่เข้ารหัส แต่เว็บเซิร์ฟเวอร์และเครื่องมืออะไรก็ตามที่มันต้องการก็ไม่ได้เข้ารหัส มันสามารถตรวจสอบเลขฐานสองเพื่อให้ผู้ดูแลระบบสามารถทำได้ยากขึ้น

แน่นอนคุณควรเปิดใช้งานการตรวจสอบเพื่อให้ในกรณีที่ผู้ดูแลระบบพยายามเข้าถึงไฟล์ที่ข้อความถูกตั้งค่าสถานะและผู้คนรู้เกี่ยวกับมัน

วิธีการปฏิบัติเพียงอย่างเดียวคือการ จำกัด ผู้ที่สามารถทำอะไรกับ sudo คุณสามารถทำสิ่งที่คุณต้องการได้มากที่สุดด้วย selinux แต่มันอาจใช้เวลาตลอดไปในการหาการกำหนดค่าที่ถูกต้องซึ่งอาจทำให้ไม่สามารถทำได้

ข้อตกลงที่ไม่เปิดเผย จ้างดูแลระบบพวกเขาต้องลงนามใน NDA หากพวกเขาผิดสัญญาให้พาพวกเขาขึ้นศาล สิ่งนี้อาจไม่ป้องกันพวกเขาจากการขโมยความลับ แต่ความเสียหายใด ๆ ที่เกิดจากการกระทำนั้นสามารถกู้คืนได้ในศาล

ผู้ดูแลระบบทหารและรัฐบาลจะต้องได้รับการฝึกปรือด้านความปลอดภัยของเกรดที่แตกต่างกันขึ้นอยู่กับความละเอียดอ่อนของวัสดุ ความคิดที่ว่าคนที่สามารถได้รับอนุญาตมีโอกาสน้อยที่จะขโมยหรือโกง

อีกวิธีหนึ่งในการลดความเสี่ยง (ใช้ถัดจากที่กล่าวถึงก่อนหน้านี้ไม่ใช่แทนที่จะเป็น) คือการจ่ายเงินที่ดีให้กับผู้ดูแลระบบของคุณ ชำระเงินให้ดีเพื่อที่พวกเขาไม่ต้องการขโมยจาก IP ของคุณและปล่อยให้คุณ

ฉันคิดว่าคำถามนี้อาจเป็นไปไม่ได้ที่จะตอบอย่างเต็มที่หากไม่มีรายละเอียดเพิ่มเติมเช่น:

คุณคาดหวังว่าจะรักษา "จำกัด " ไว้จำนวนเท่าใด?

ผู้คนต้องการเข้าถึง "ดูแลระบบ" เพื่อทำอะไร

ก่อนอื่นจงระวังสิ่งที่คุณสามารถทำได้กับ sudo ด้วย sudo คุณสามารถอนุญาตการยกระดับสิทธิ์ให้เรียกใช้เพียงคำสั่งเดียว (หรือรูปแบบต่างๆเช่นคำสั่งที่ขึ้นต้นด้วย "mount -r" แต่ไม่อนุญาตให้ใช้คำสั่งอื่น) ด้วยคีย์ SSH คุณสามารถกำหนดข้อมูลรับรองที่อนุญาตให้บุคคลรันคำสั่งบางอย่างเท่านั้น (เช่น "sudo mount -r / dev / sdd0 / media / backup") ดังนั้นจึงมีวิธีที่ค่อนข้างง่ายในการอนุญาตให้ใครก็ได้ (ผู้ที่มีคีย์ SSH) สามารถดำเนินการบางอย่างได้โดยไม่ต้องให้พวกเขาทำทุกอย่างอย่างอื่น

สิ่งต่าง ๆ มีความท้าทายมากขึ้นถ้าคุณต้องการให้ช่างเทคนิคทำการแก้ไขสิ่งที่เสียหาย โดยทั่วไปแล้วจะต้องใช้สิทธิ์จำนวนมากขึ้นและอาจเข้าถึงเพื่อเรียกใช้คำสั่งที่หลากหลายและ / หรือเขียนไปยังไฟล์ที่หลากหลาย

ฉันขอแนะนำให้พิจารณาวิธีการของระบบบนเว็บเช่น CPanel (ซึ่งใช้โดย ISP หลายแห่ง) หรือระบบบนคลาวด์ พวกเขามักจะสามารถทำให้ปัญหาในเครื่องหายไปโดยทำให้เครื่องทั้งหมดหายไป ดังนั้นบุคคลอาจสามารถเรียกใช้คำสั่งที่แทนที่เครื่อง (หรือเรียกคืนเครื่องเป็นรูปภาพที่รู้จักดี) โดยไม่จำเป็นต้องให้บุคคลสามารถเข้าถึงข้อมูลจำนวนมากหรือทำการเปลี่ยนแปลงเล็กน้อย (เช่นการรวมการแก้ไขเล็กน้อย ด้วยการแนะนำประตูหลังที่ไม่ได้รับอนุญาต) จากนั้นคุณต้องเชื่อใจคนที่สร้างภาพ แต่คุณกำลังลดจำนวนคนที่คุณต้องไว้ใจให้ทำสิ่งเล็ก ๆ

อย่างไรก็ตามในท้ายที่สุดความเชื่อมั่นจำนวนหนึ่งจำเป็นต้องมอบให้กับบุคคลที่ไม่เป็นศูนย์จำนวนหนึ่งซึ่งช่วยออกแบบระบบและดำเนินงานในระดับสูงสุด

สิ่งหนึ่งที่ บริษัท ขนาดใหญ่ทำคือต้องพึ่งพาสิ่งต่าง ๆ เช่นเซิร์ฟเวอร์ SQL ซึ่งเก็บข้อมูลที่สามารถเข้าถึงได้จากระยะไกลด้วยเครื่องจำนวนมาก จากนั้นช่างเทคนิคจำนวนมากขึ้นสามารถเข้าถึงรูททั้งหมดบนเครื่องบางเครื่องในขณะที่ไม่มีการเข้าถึงรูทไปยังเซิร์ฟเวอร์ SQL

อีกวิธีคือใหญ่เกินกว่าจะล้มเหลว อย่าคิดว่ากองทัพขนาดใหญ่หรือ บริษัท ยักษ์ใหญ่ไม่เคยมีเหตุการณ์ด้านความปลอดภัย อย่างไรก็ตามพวกเขารู้วิธี:

• กู้คืน
• จำกัดความเสียหาย (โดยแยกสิ่งที่มีค่า)
• มีมาตรการตอบโต้รวมถึงการคุกคามของการฟ้องร้อง
• มีกระบวนการที่จะช่วย จำกัด การเปิดรับสื่อที่ไม่พึงประสงค์และวางแผนว่าจะมีอิทธิพลต่อการหมุนของเรื่องราวเชิงลบใด ๆ ที่เกิดขึ้นได้อย่างไร

สมมติฐานพื้นฐานคือความเสียหายที่เกิดขึ้นเป็นเพียงความเสี่ยงและค่าใช้จ่ายในการทำธุรกิจ พวกเขาคาดหวังที่จะดำเนินงานต่อไปและการพัฒนาและปรับปรุงอย่างต่อเนื่องในช่วงหลายปีที่ผ่านมาจะ จำกัด จำนวนความเสียหายที่เกิดขึ้นเพียงครั้งเดียวที่มีแนวโน้มว่าจะส่งผลกระทบต่อมูลค่าระยะยาวในระยะเวลาหนึ่ง

การตรวจสอบเชิงรุกทำได้ยากมาก

โซลูชันเช่น http://software.dell.com/solutions/privileged-management/ (ฉันไม่ได้ทำงานกับ Dell และโซลูชันที่คล้ายกันอื่น ๆ ) มีประสิทธิภาพมากในการบังคับใช้ความรับผิดชอบ sysadmin

วางเครื่องบริหารระบบรูทไว้ในห้องที่ล็อคด้วยกุญแจสองดอกและให้หนึ่งอันสำหรับผู้ดูแลระบบทั้งสองคนเท่านั้น ผู้ดูแลระบบจะทำงานร่วมกันโดยสังเกตกิจกรรมอื่น ๆ เสมอ ควรเป็นเครื่องเดียวที่มีไพรเวตคีย์เพื่อล็อกอินเป็นรูท

กิจกรรมบางอย่างอาจไม่จำเป็นต้องมีสิทธิ์รูทดังนั้นส่วนหนึ่งของงานที่จะต้องไปที่ห้องนั้นสำหรับ "การเขียนโปรแกรมคู่"

คุณอาจทำกิจกรรมบันทึกวิดีโอในห้องนั้นเพื่อให้แน่ใจว่าไม่มีใครทำงานคนเดียว (มองเห็นได้ง่าย) นอกจากนี้ตรวจสอบให้แน่ใจว่าสถานที่ทำงานเป็นเช่นนั้นหน้าจอสามารถมองเห็นได้ง่ายสำหรับทั้งสองคน (อาจเป็นหน้าจอทีวีขนาดใหญ่ที่มีตัวอักษรขนาดใหญ่)