Linux: sysadmins ที่ทำงานได้โดยไม่ต้องรูท (ปกป้องทรัพย์สินทางปัญญา) หรือไม่


66

มีวิธีใดที่จะทำให้ syadmin ที่มีประสบการณ์ในการทำงานโดยไม่ให้เขาเข้าถึงรูททั้งหมด

คำถามนี้มาจากมุมมองของการปกป้องทรัพย์สินทางปัญญา (IP) ซึ่งในกรณีของฉันเป็นไฟล์รหัสและ / หรือการกำหนดค่าทั้งหมด (เช่นไฟล์ดิจิตอลขนาดเล็กที่คัดลอกได้ง่าย) ซอสสูตรลับของเราทำให้เราประสบความสำเร็จมากกว่าขนาดที่เราแนะนำ ในทำนองเดียวกันเราถูกกัดครั้งหนึ่งอายสองครั้งจากอดีตพนักงานไร้ยางอาย (ไม่ใช่ผู้ดูแลระบบ) ที่พยายามขโมยทรัพย์สินทางปัญญา ตำแหน่งของผู้บริหารระดับสูงนั้นโดยทั่วไปแล้ว "เราเชื่อมั่นผู้คน แต่เพื่อผลประโยชน์ของตนเองไม่สามารถเสี่ยงต่อการให้บุคคลใดบุคคลหนึ่งเข้าถึงได้มากกว่าที่พวกเขาต้องการอย่างแท้จริง"

ในด้านนักพัฒนาการแบ่งเวิร์กโฟลว์และระดับการเข้าถึงค่อนข้างง่ายซึ่งผู้คนสามารถทำงานได้อย่างมีประสิทธิภาพ แต่จะเห็นเฉพาะสิ่งที่พวกเขาต้องการเห็นเท่านั้น เฉพาะคนอันดับต้น ๆ (เจ้าของ บริษัท จริง) เท่านั้นที่มีความสามารถในการรวมส่วนผสมทั้งหมดและสร้างซอสพิเศษ

แต่ฉันไม่สามารถหาวิธีที่ดีในการรักษาความลับ IP นี้ในด้านผู้ดูแลระบบ Linux เราใช้ประโยชน์อย่างกว้างขวางของ GPG สำหรับรหัสและไฟล์ข้อความที่มีความละเอียดอ่อน ... แต่สิ่งที่จะหยุดผู้ดูแลระบบ (เช่น) ผู้ใช้และกระโดดขึ้นไปบนเซสชั่น tmux หรือ GNU Screen ของพวกเขาและดูว่าพวกเขากำลังทำอะไร

(เรายังปิดการใช้งานอินเทอร์เน็ตทุกที่ที่อาจเข้ามาติดต่อกับข้อมูลที่ละเอียดอ่อน แต่ไม่มีอะไรสมบูรณ์แบบและอาจมีช่องเปิดสำหรับ sysadmins ที่ฉลาดหรือมีข้อผิดพลาดในด้านผู้ดูแลระบบเครือข่ายหรือแม้กระทั่ง USB เก่า ๆ แน่นอนมาตรการอื่น ๆ อีกมากมายในสถานที่ แต่ไม่เกินขอบเขตของคำถามนี้)

สิ่งที่ดีที่สุดที่ฉันสามารถทำได้คือการใช้บัญชีส่วนบุคคลกับsudoคล้ายกับที่อธิบายไว้ในsysadmins Linux หลายตัวที่ทำงานเป็นรูท โดยเฉพาะ: ไม่มีใครนอกจากเจ้าของ บริษัท จะมีสิทธิ์เข้าถึงรูทโดยตรง ผู้ดูแลระบบคนอื่น ๆ จะมีบัญชีส่วนบุคคลและความสามารถในการsudoสู่ราก นอกจากนี้จะทำการบันทึกระยะไกลและบันทึกจะไปยังเซิร์ฟเวอร์ที่เจ้าของ บริษัท เท่านั้นที่สามารถเข้าถึงได้ การเห็นการปิดการบันทึกจะเป็นการปิดการแจ้งเตือนบางประเภท

ดูแลระบบที่ชาญฉลาดอาจยังคงพบบางหลุมในรูปแบบนี้ และว่ากันว่ามันยังคงมีปฏิกิริยามากกว่าเชิงรุก ปัญหาเกี่ยวกับทรัพย์สินทางปัญญาของเราคือคู่แข่งสามารถใช้ประโยชน์ได้อย่างรวดเร็วและก่อให้เกิดความเสียหายจำนวนมากในระยะเวลาอันสั้น

ดังนั้นยังดีกว่าจะเป็นกลไกที่ จำกัด สิ่งที่ผู้ดูแลระบบสามารถทำได้ แต่ฉันรู้ว่านี่คือความสมดุลที่ละเอียดอ่อน (โดยเฉพาะอย่างยิ่งในแง่ของการแก้ไขปัญหาและแก้ไขปัญหาการผลิตที่ต้องแก้ไขในตอนนี้ )

ฉันอดไม่ได้ที่จะสงสัยว่าองค์กรที่มีข้อมูลที่ละเอียดอ่อนมากจัดการกับปัญหานี้ได้อย่างไร ตัวอย่างเช่นระบบดูแลระบบทางทหาร: จะจัดการเซิร์ฟเวอร์และข้อมูลโดยไม่สามารถดูข้อมูลที่เป็นความลับได้อย่างไร

แก้ไข:ในการโพสต์ครั้งแรกฉันหมายถึงการจัดการความคิดเห็น "การจ้างงาน" ไว้ล่วงหน้าซึ่งจะเริ่มขึ้น หนึ่งนี้ควรจะเป็นคำถามทางเทคนิคและการจ้างงาน IMO มีแนวโน้มมากขึ้นต่อคำถามทางสังคม แต่สองฉันจะพูดแบบนี้: ฉันเชื่อว่าเราทำทุกอย่างที่เหมาะสมสำหรับการจ้างคน: สัมภาษณ์หลายคนคนที่ บริษัท การตรวจสอบภูมิหลังและการอ้างอิง พนักงานทุกคนลงนามในเอกสารทางกฎหมายจำนวนมากรวมถึงเอกสารที่ระบุว่าได้อ่านและทำความเข้าใจคู่มือของเราซึ่งมีรายละเอียดเกี่ยวกับทรัพย์สินทางปัญญาโดยละเอียด ตอนนี้มันอยู่นอกขอบเขตของคำถาม / เว็บไซต์นี้ แต่ถ้าใครบางคนสามารถเสนอวิธีการจ้างงาน "สมบูรณ์แบบ" ที่กรองนักแสดงที่ไม่ดี 100% ออกมาฉันเป็นคนหูทั้งหมด ข้อเท็จจริงคือ: (1) ฉันไม่เชื่อว่ามีกระบวนการจ้างงานที่สมบูรณ์แบบ (2) ผู้คนเปลี่ยนแปลง - ทูตสวรรค์ในวันนี้อาจเป็นปีศาจในวันพรุ่งนี้ (3) ความพยายามขโมยรหัสดูเหมือนจะเป็นกิจวัตรประจำวันในอุตสาหกรรมนี้


15
สิ่งแรกที่อยู่ในใจเมื่ออ่านคำถามสุดท้ายของคุณ ... สโนว์เดน
Hrvoje Špoljar

33
คุณสามารถไปได้ไกลกว่านี้ด้วยนโยบายของ SELinux ที่เหมาะสม แต่สิ่งนี้มีค่าใช้จ่ายค่อนข้างสูง ในตอนท้ายของวันนั้น sysadmins ต้องมีการเข้าถึงระบบและไฟล์บางส่วนเพื่อทำงานของพวกเขา ปัญหาของคุณไม่ใช่ด้านเทคนิค แต่อยู่ในขั้นตอนการจ้างงาน
Michael Hampton

6
ทหารใช้ฝึกปรือการรักษาความปลอดภัยและความสมบูรณ์ของสองคน ถึงอย่างนั้นบางครั้งก็มีช่องโหว่ โอกาสของคนทั้งสองที่มีแผนชั่วร้ายนั้นน้อยกว่ามาก
Steve

14
เหตุผลที่มีกลิ่นเหมือนปัญหาคนนี้เป็นเพราะมันเป็นปัญหาของคน
Sirex

6
นี่คือสิ่งที่ NDA ใช้
Michael Martinez

คำตอบ:


19

สิ่งที่คุณกำลังพูดถึงเป็นที่รู้จักกันในนามความเสี่ยง "ความชั่วร้ายระบบ" ยาวและสั้นของมันคือ:

  • ดูแลระบบคือบุคคลที่มีสิทธิ์ยกระดับ
  • เชี่ยวชาญทางเทคนิคจนถึงระดับที่จะทำให้พวกเขาเป็น 'แฮ็กเกอร์' ที่ดี
  • การโต้ตอบกับระบบในสถานการณ์ที่ผิดปกติ

การรวมกันของสิ่งเหล่านี้ทำให้ไม่สามารถหยุดการกระทำที่เป็นอันตรายได้ แม้การตรวจสอบจะยากเพราะคุณไม่มี 'ปกติ' ที่จะเปรียบเทียบ (และตรงไปตรงมา - ระบบที่ใช้งานไม่ได้อาจทำให้การตรวจสอบเสียด้วย)

มีพวงของขั้นตอนบรรเทาผลกระทบ:

  • การแยกสิทธิพิเศษ - คุณไม่สามารถหยุดผู้ชายที่มีรากไม่ให้ทำอะไรในระบบ แต่คุณสามารถทำให้ทีมหนึ่งรับผิดชอบการเชื่อมต่อเครือข่ายและอีกทีมรับผิดชอบ 'ระบบปฏิบัติการ' (หรือ Unix / Windows แยกกัน)
  • จำกัด การเข้าถึงชุดอุปกรณ์ให้กับทีมอื่นซึ่งไม่ได้รับบัญชีผู้ดูแลระบบ ... แต่ดูแลการทำงานของ 'มือ' ทั้งหมด
  • แยกความรับผิดชอบ 'เดสก์ท็อป' และ 'เซิร์ฟเวอร์' ออก กำหนดค่าเดสก์ท็อปเพื่อยับยั้งการลบข้อมูล ผู้ดูแลระบบเดสก์ท็อปไม่มีความสามารถในการเข้าถึงข้อมูลที่ละเอียดอ่อนผู้ดูแลระบบเซิร์ฟเวอร์สามารถขโมยข้อมูลได้ แต่ต้องกระโดดผ่านห่วงเพื่อนำออกจากอาคาร
  • การตรวจสอบระบบการเข้าถึงที่ จำกัด - syslogและการตรวจสอบระดับเหตุการณ์ไปยังระบบที่ค่อนข้างทนต่อการงัดแงะที่พวกเขาไม่มีสิทธิ์เข้าถึง แต่การรวบรวมมันไม่เพียงพอคุณต้องตรวจสอบ - และตรงไปตรงมามีหลายวิธีในการ 'ขโมย' ข้อมูลที่อาจไม่ปรากฏในเรดาร์ตรวจสอบ (Poacher vs. gamekeepers)
  • ใช้การเข้ารหัส 'ที่เหลือ' ดังนั้นข้อมูลจะไม่ถูกจัดเก็บไว้ 'อย่างชัดเจน' และต้องใช้ระบบที่มีอยู่เพื่อเข้าถึง ซึ่งหมายความว่าคนที่มีการเข้าถึงทางกายภาพไม่สามารถเข้าถึงระบบที่ไม่ได้รับการตรวจสอบอย่างแข็งขันและในสถานการณ์ 'ผิดปกติ' ที่ระบบดูแลระบบกำลังทำงานอยู่ข้อมูลจะถูกเปิดเผยน้อยลง (เช่นถ้าฐานข้อมูลไม่ทำงานข้อมูลอาจไม่สามารถอ่านได้)
  • ชายสองคนปกครอง - ถ้าคุณโอเคกับความสามารถในการผลิตของคุณและกำลังใจในการทำงานก็เช่นเดียวกัน (อย่างจริงจัง - ฉันเคยเห็นมาแล้วและสถานะการทำงานและการเฝ้าดูอย่างต่อเนื่องทำให้สภาพการทำงานยากมาก)
  • สัตวแพทย์ดูแลระบบของคุณ - อาจมีการตรวจสอบบันทึกต่าง ๆ ขึ้นอยู่กับประเทศ (การตรวจสอบประวัติอาชญากรรมคุณอาจพบว่าคุณสามารถยื่นขอความปลอดภัยได้ในบางกรณีซึ่งจะทำให้เกิดการตรวจค้น)
  • ดูแลดูแลระบบของคุณ - สิ่งสุดท้ายที่คุณต้องทำคือบอกคนที่ "เชื่อมั่น" ว่าคุณไม่ไว้ใจพวกเขา และแน่นอนว่าคุณไม่ต้องการทำลายกำลังใจในการทำงานเพราะนั่นเป็นการเพิ่มโอกาสของพฤติกรรมที่เป็นอันตราย (หรือ 'ไม่ประมาทเลินเล่อ แต่จ่ายตามความรับผิดชอบเช่นเดียวกับชุดทักษะ และพิจารณา 'perks' - ที่ถูกกว่าเงินเดือน แต่อาจมีมูลค่ามากกว่า ชอบกาแฟฟรีหรือพิซซ่าสัปดาห์ละครั้ง
  • และคุณยังสามารถลองใช้เงื่อนไขสัญญาเพื่อยับยั้งได้ แต่ต้องระวังสิ่งที่กล่าวมาข้างต้น

แต่โดยพื้นฐานแล้วคุณต้องยอมรับว่านี่คือสิ่งที่ไว้ใจได้ไม่ใช่สิ่งทางเทคนิค ผู้ดูแลระบบของคุณจะเป็นอันตรายต่อคุณมากเนื่องจากพายุที่สมบูรณ์แบบนี้


2
ฉันสวมหมวกดูแลระบบเป็นครั้งคราว ฉันพบว่ามันจำเป็นที่จะต้องรักษาเครื่องมือที่ทรงพลังไว้รอบ ๆ ที่ฉันสามารถเข้าถึงได้ซึ่งบางอันก็มีจุดประสงค์เพื่อให้พวกเขาหลีกเลี่ยงการควบคุมการเข้าถึงระบบ เนื่องจากลักษณะของการปฏิบัติงานของพวกเขาการตรวจสอบมีความอ่อนแอหรือไม่มีประสิทธิภาพ
joshudson

3
ใช่. ด้วยเหตุผลทั้งหมดที่ช่างทำกุญแจสามารถบุกเข้าไปในบ้านของคุณได้อย่างถูกต้องผู้ดูแลระบบอาจต้องเจาะเข้าสู่เครือข่าย
Sobrique

@Sobrique: มีบางอย่างที่ผมก็ยังไม่เข้าใจว่าทำไมเราได้ยินเกี่ยวกับ sysadmins โกง stoling ข้อมูลจำนวนมากและไม่ได้เกี่ยวกับแม่บ้านโกงทำเหมือนกัน(พวกเขาสามารถทำมันทุกอย่างในช่วงเวลาที่อยู่บนกระดาษ)
2284570

ปริมาณ - เทราไบต์ของสำเนาถาวรมีขนาดใหญ่ และเกิดความเสียหาย การก่อวินาศกรรมระบบมันสามารถทำลาย บริษัท ได้อย่างแท้จริง
Sobrique

51

กล่าวว่าทุกอย่างเพื่อให้ห่างไกลที่นี่เป็นสิ่งที่ดี แต่มีหนึ่ง 'ง่าย' วิธีที่ไม่ใช่ทางด้านเทคนิคที่จะช่วยให้ผู้ดูแลระบบขัดแย้ง SYS โกง - The สี่ตาหลักการซึ่งโดยทั่วไปต้องว่าทั้งสอง sysadmins จะนำเสนอสำหรับการเข้าถึงสูงใด ๆ

แก้ไข: สองรายการที่ยิ่งใหญ่ที่สุดที่ฉันเคยเห็นในความคิดเห็นกำลังพูดถึงค่าใช้จ่ายและความเป็นไปได้ของการสมรู้ร่วมคิด หนึ่งในวิธีที่ใหญ่ที่สุดที่ฉันได้พิจารณาเพื่อหลีกเลี่ยงปัญหาทั้งสองนี้คือการใช้ บริษัท บริการที่มีการจัดการที่ใช้สำหรับการตรวจสอบการดำเนินการเท่านั้น ทำอย่างถูกต้องแล้วเทคโนโลยีจะไม่รู้จักซึ่งกันและกัน สมมติว่าความกล้าหาญทางเทคนิคที่ MSP ควรมีมันจะง่ายพอที่จะลงชื่อออกจากการกระทำ .. บางทีอาจจะง่ายเหมือนใช่ / ไม่ใช่กับสิ่งชั่วร้าย


17
@Sirex: ใช่นั่นเป็นปัญหาด้านความปลอดภัย - มันมีค่าใช้จ่ายเสมอ
sleske

10
ไม่ฉันทำงานในองค์กรขนาดเล็ก (100-1,000 คน) ที่ทำอย่างนั้น พวกเขายอมรับว่ากระบวนการของพวกเขาจะทำให้กิจกรรมดูแลระบบทั้งหมดมีค่าใช้จ่ายระหว่างสี่ถึงสิบเท่าของเงินเท่าที่ควรและพวกเขาก็จ่ายไป
MadHatter

10
นี่เป็นคำตอบที่แท้จริงเท่านั้น ชุดของเราตั้งอยู่ในสถานที่ปลอดภัยของรัฐบาลและ (ในขั้นตอนอื่น ๆ ) เราใช้วิธีนี้เพื่อให้แน่ใจว่าไม่มีใครสามารถเข้าถึงเทอร์มินัลที่ยกระดับได้ คำขอรายละเอียดจะถูกยกขึ้นสำหรับงานที่ต้องทำผู้คนจำนวนมากออกจากระบบ (50+ ถอนหายใจ ) จากนั้นผู้ดูแลระบบสองคนมารวมกันและทำการเปลี่ยนแปลง ช่วยลดความเสี่ยง (และความผิดพลาดที่โง่เขลา) มันมีราคาแพงและความเจ็บปวดที่ยิ่งใหญ่ที่จะทำทุกอย่างให้สำเร็จ แต่นั่นคือราคาของความปลอดภัย ตอบ: ผู้ลงนามมากกว่า 50 รายซึ่งรวมถึงทีมเครือข่ายทีม DC ผู้จัดการโครงการความปลอดภัยพื้นที่เก็บข้อมูลผู้ทดสอบปากกาผู้จำหน่ายซอฟต์แวร์และอื่น ๆ
พื้นฐาน

4
คุณอาจต้องดิ้นรนที่จะจ้างใช่ มันจะเป็นการปิดกั้นการแสดงทันทีสำหรับฉันเพราะฉันชอบที่จะทำสิ่งต่าง ๆ ให้สำเร็จและมันจะทำลายความสนุกสนานในการทำงานของฉัน
Sirex

3
โปรดทราบว่าค่าใช้จ่ายที่เพิ่มขึ้นไม่สามารถใช้ได้กับการกระทำดูแลระบบทุกครั้ง อย่างไรก็ตามมันใช้กับทั้งการกระทำที่ยกระดับตัวเองเช่นเดียวกับการเตรียมการของพวกเขา IOW คุณไม่สามารถพูดได้ว่า: "ระบบดูแลระบบทำงาน 40 ชั่วโมงต่อสัปดาห์เพิ่มขึ้น 4 ครั้งดังนั้นค่าใช้จ่ายจะเพิ่มขึ้นเพียง 10%" ในด้านบวกโครงการยังจับข้อผิดพลาดปกติที่ซื่อสัตย์ ที่ช่วยประหยัดเงิน
MSalters

27

หากผู้คนต้องการการเข้าถึงของผู้ดูแลระบบอย่างแท้จริงมีเพียงเล็กน้อยที่คุณสามารถทำได้เพื่อ จำกัด กิจกรรมของพวกเขาในกล่องนั้น

องค์กรส่วนใหญ่ทำในสิ่งที่ไว้วางใจ แต่ยืนยัน - คุณอาจให้ผู้ใช้เข้าถึงส่วนต่าง ๆ ของระบบ แต่คุณใช้บัญชีผู้ดูแลระบบที่มีชื่อ (เช่นคุณไม่ให้พวกเขาเข้าถึงรูตโดยตรง) จากนั้นตรวจสอบกิจกรรมของพวกเขา ไม่สามารถแทรกแซง

มีการกระทำที่สมดุลที่นี่; คุณอาจจำเป็นต้องปกป้องระบบของคุณ แต่คุณต้องไว้วางใจผู้อื่นให้ทำงานของพวกเขาด้วย หากก่อนหน้านี้ บริษัท ถูก "กัด" โดยพนักงานที่ไร้ยางอายนี่อาจชี้ให้เห็นว่า บริษัท ที่จ้างวิธีปฏิบัติไม่ดีในทางใดทางหนึ่งและแนวทางเหล่านั้นถูกสร้างขึ้นโดย "ผู้จัดการระดับสูง" ความน่าเชื่อถือเริ่มต้นที่บ้าน พวกเขากำลังทำอะไรเพื่อแก้ไขทางเลือกการจ้างของพวกเขา


3
นี่คือการสังเกตที่ยอดเยี่ยม - การตรวจสอบที่ดีช่วยให้ผู้คนทำงานของพวกเขาได้สำเร็จ แต่ยังคงรับผิดชอบต่อการกระทำของพวกเขา
Steve Bonds

1
การใช้ auditd และ syslog ที่เหมาะสมสามารถไปได้ไกลเช่นกัน ข้อมูลนั้นสามารถตรวจสอบได้ด้วยเครื่องมือความปลอดภัยมากมายเพื่อค้นหาพฤติกรรมที่แปลกหรือไม่ดีอย่างชัดเจน
แอรอน

3
ปัญหาที่แท้จริงของการตรวจสอบคือมีสัญญาณรบกวนมากมาย หลังจากผ่านไปหลายเดือนจะไม่มีใครดูบันทึกยกเว้นเมื่อมีอะไรเกิดขึ้น
TomTom

1
ฉันยอมรับ TomTom การได้รับอัตราส่วนสัญญาณต่อเสียงรบกวนในบันทึกการรักษาความปลอดภัยเป็นปัญหา แต่คุณยังต้องเข้าสู่ระบบฉันคิดว่า @Sobrique ฉันจะบอกว่า 'sysadmins ที่ชั่วร้าย' ส่วนใหญ่เป็นปัญหาการจ้างงานมากกว่าปัญหาเทคโนโลยี คุณต้องปิดช่องว่างทั้งสองด้านดังนั้นฉันจะต้องมี 'การปฏิบัติที่ดีที่สุด' ในแต่ละวันและปรับปรุงกระบวนการจ้างงานพิจารณา '4 ตา' สำหรับสิ่งที่ซอสสูตรลับอย่างที่ทิมพูดถึงรวมถึงแผ่นร่อน
Rob Moir

1
นิดหน่อย แต่โปรดจำไว้ว่า 'วงจรการทำงาน' ก่อนหน้านี้นักแสดงที่มีความเชื่อที่ดีสามารถเปลี่ยนเป็นผู้มุ่งร้ายได้ นั่นคือเพิ่มเติมเกี่ยวกับการสละสิทธิ์และกำลังใจในการทำงานมากกว่าการจ้างงานแบบต่อคน สิ่งที่ทำให้คนดูแลระบบที่ดีก็จะทำให้พวกเขาเป็นแฮ็กเกอร์ที่ดี ดังนั้นบางทีในจุดนั้น - การว่าจ้าง sysadmins ปานกลางเป็นหนทางข้างหน้า?
Sobrique

18

โดยไม่ต้องใช้ความคิดทางด้านเทคนิคที่บ้าคลั่งเพื่อพยายามหาวิธีที่จะให้พลังดูแลระบบโดยไม่ให้พลัง (อาจเป็นไปได้ แต่ในที่สุดก็จะมีข้อบกพร่อง)

จากมุมมองของการปฏิบัติทางธุรกิจมีชุดของโซลูชันที่ง่าย ไม่ใช่วิธีแก้ปัญหาราคาถูก แต่เรียบง่าย

คุณพูดถึงว่าชิ้นส่วนของทรัพย์สินทางปัญญาที่คุณกังวลถูกแบ่งออกและมีเพียงคนที่อยู่ด้านบนเท่านั้นที่มีอำนาจที่จะเห็นพวกเขา นี่คือคำตอบของคุณ คุณควรมีผู้ดูแลระบบหลายคนและไม่มีผู้ดูแลเหล่านี้ควรเป็นผู้ดูแลระบบที่เพียงพอที่จะรวบรวมรูปภาพทั้งหมด แน่นอนว่าคุณต้องมีผู้ดูแลอย่างน้อย 2 หรือ 3 คนสำหรับแต่ละชิ้นในกรณีที่ผู้ดูแลระบบป่วยหรืออุบัติเหตุทางรถยนต์หรืออะไรบางอย่าง บางทีอาจทำให้พวกเขาโซเซ บอกว่าคุณมีผู้ดูแลระบบ 4 คนและมีข้อมูล 8 ชิ้น ผู้ดูแลระบบ 1 สามารถเข้าถึงระบบที่มีส่วนที่ 1 และ 2 ผู้ดูแลระบบ 2 สามารถรับชิ้นที่ 2 และ 3 ผู้ดูแลระบบ 3 สามารถรับ 3 และ 4 และผู้ดูแลระบบ 4 สามารถรับ 4 และ 1 แต่ละระบบมีผู้ดูแลระบบสำรอง แต่ไม่มี ผู้ดูแลระบบสามารถประนีประนอมภาพที่สมบูรณ์

เทคนิคหนึ่งที่กองทัพใช้เช่นกันคือข้อ จำกัด ในการเคลื่อนย้ายข้อมูล ในพื้นที่อ่อนไหวอาจมีเพียงระบบเดียวที่สามารถเบิร์นดิสก์หรือใช้ USB แฟลชไดรฟ์ระบบอื่น ๆ ทั้งหมดจะถูก จำกัด และความสามารถในการใช้ระบบนั้นมี จำกัด อย่างมากและต้องได้รับการอนุมัติเป็นลายลักษณ์อักษรจาก ups ที่สูงขึ้นก่อนที่ใครก็ตามจะได้รับอนุญาตให้วางข้อมูลใด ๆ ในสิ่งที่อาจนำไปสู่การรั่วไหลของข้อมูล ในโทเค็นเดียวกันคุณมั่นใจได้ว่าทราฟฟิกเครือข่ายระหว่างระบบต่างๆจะถูก จำกัด ด้วยไฟร์วอลล์ฮาร์ดแวร์ ผู้ดูแลระบบเครือข่ายของคุณที่ควบคุมกำแพงไฟไม่สามารถเข้าถึงระบบที่พวกเขากำลังกำหนดเส้นทางดังนั้นพวกเขาจึงไม่สามารถเข้าถึงข้อมูลได้โดยเฉพาะและผู้ดูแลระบบเซิร์ฟเวอร์ / เวิร์กสเตชันของคุณมั่นใจได้ว่าข้อมูลทั้งหมดไปและกลับจากระบบได้รับการกำหนดค่าให้เข้ารหัส

แล็ปท็อป / เวิร์กสเตชันทั้งหมดควรมีฮาร์ดไดรฟ์เข้ารหัสและพนักงานแต่ละคนควรมีตู้เก็บของส่วนตัวที่พวกเขาจะต้องล็อคไดรฟ์ / แล็ปท็อปในตอนท้ายของคืนเพื่อให้แน่ใจว่าไม่มีใครมาก่อน / ออกล่าช้า พวกเขาไม่ควรที่จะ

แต่ละเซิร์ฟเวอร์ควรอยู่อย่างน้อยที่สุดในชั้นวางล็อคของตัวเองหากไม่ใช่ห้องล็อคของตัวเองดังนั้นเฉพาะผู้ดูแลระบบที่รับผิดชอบในแต่ละเซิร์ฟเวอร์เท่านั้นที่สามารถเข้าถึงได้ตั้งแต่สิ้นสุดวันที่มีการเข้าถึงทางกายภาพสำคัญกว่าทั้งหมด

ถัดไปคือการฝึกฝนที่สามารถทำร้าย / ช่วยเหลือได้ สัญญา จำกัด หากคุณคิดว่าคุณสามารถจ่ายได้มากพอที่จะดึงดูดความสามารถใหม่ ๆ ตัวเลือกในการดูแลผู้ดูแลแต่ละคนตามเวลาที่กำหนดไว้ล่วงหน้า (IE 6 เดือน, 1 ปี, 2 ปี) จะช่วยให้คุณสามารถ จำกัด ระยะเวลาที่ใครบางคนจะมี เพื่อพยายามรวบรวมชิ้นส่วนทั้งหมดของ IP ของคุณ

การออกแบบส่วนบุคคลของฉันจะเป็นบางสิ่งบางอย่างตามแนว ... แยกข้อมูลของคุณออกเป็นหลาย ๆ ชิ้นสมมติว่ามีหมายเลข 8 คุณมีเซิร์ฟเวอร์ 8 git แต่ละตัวมีชุดฮาร์ดแวร์ซ้ำซ้อนแต่ละชุดมีการจัดการโดย ผู้ดูแลระบบชุดอื่น

เข้ารหัส hardrives สำหรับเวิร์กสเตชันทั้งหมดที่จะสัมผัส IP ด้วยไดเร็กตอรี่ "project" ที่ระบุในไดรฟ์ที่เป็นผู้ใช้ไดเรคทอรีเท่านั้นที่ได้รับอนุญาตให้ใส่โปรเจ็กต์ของพวกเขาในตอนท้ายของแต่ละคืนพวกเขาจะต้องทำให้ sanatize ไดเร็กตอรี่โปรเจคของพวกเขาด้วยเครื่องมือลบอย่างปลอดภัย ถูกล็อค (เพื่อความปลอดภัย)

แต่ละโครงการมีการมอบหมายผู้ดูแลระบบที่แตกต่างกันดังนั้นผู้ใช้จะโต้ตอบกับผู้ดูแลระบบเวิร์กสเตชันที่ได้รับมอบหมายเท่านั้นหากการเปลี่ยนแปลงการมอบหมายโครงการของพวกเขาข้อมูลถูกลบพวกเขาจะได้รับมอบหมายผู้ดูแลระบบใหม่ ระบบของพวกเขาไม่ควรมีความสามารถในการเบิร์นและควรใช้โปรแกรมความปลอดภัยเพื่อป้องกันการใช้แฟลชไดรฟ์ USB เพื่อถ่ายโอนข้อมูลโดยไม่ได้รับอนุญาต

เอาสิ่งนี้ไปทำ


2
ขอบคุณมีสิ่งดีๆมากมายและเรากำลังทำอยู่ ในขณะที่ฉันชอบความคิดของผู้ดูแลระบบหลายคนเราไม่ใหญ่พอที่จะต้องการมัน ฉันต้องการผู้ดูแลระบบเพียงคนเดียวเท่านั้นดังนั้นหากฉันมีสี่คนพวกเขาจะเบื่อหน่ายกับความคิดของพวกเขา เราจะค้นหาความสามารถระดับสูงที่เราต้องการได้ แต่ให้ภาระงานเล็ก ๆ ฉันกลัวว่าคนฉลาดจะเบื่ออย่างรวดเร็วและเดินหน้าต่อไปสู่ทุ่งหญ้าสีเขียว
Matt

2
ใช่นั่นเป็นปัญหาใหญ่และอันที่จริงเขตหนึ่งของรัฐบาลกำลังประสบปัญหาอย่างหนัก สถานที่ที่ฉันเริ่มต้นในฐานะผู้ดูแลระบบมักถูกเรียกว่า "ประตูหมุน" สิ่งทั้งหมดเป็นปัญหาที่ยากที่จะจัดการ การประกันข้อมูลโดยทั่วไปเป็นเรื่องยากที่จะแตก: \
น้ำเกรวี่

@Matt How do we find the top-tier talent we want, but only give them a teeny-tiny workload?ในระดับหนึ่งคุณสามารถลดสิ่งนี้ได้ด้วยการให้สภาพแวดล้อมการทดสอบ / การวิจัยและพัฒนาขนาดใหญ่เข้าถึงของเล่นใหม่ ๆ ที่ยอดเยี่ยมและกระตุ้นให้พวกเขาใช้ส่วนสำคัญของวันทำงานเพื่อพัฒนาทักษะด้านเทคโนโลยีของพวกเขา ปริมาณงานที่มีประสิทธิภาพ 25% อาจผลักดันให้ไกลเกินไป แต่ฉันจะอยู่เหนือดวงจันทร์อย่างแน่นอนเกี่ยวกับงานที่ได้งานจริง 50% และการพัฒนาด้านเทคนิค 50% / R & D (สมมติว่าค่าจ้างอยู่ในระดับเดียวกับปกติ ~ 100% " งานจริง "งาน)
HopelessN00b

11

มันจะคล้ายกับความท้าทายในการว่าจ้างภารโรงสำหรับอาคาร ภารโรงจะได้รับกุญแจทั้งหมดสามารถเปิดประตูใด ๆ แต่เหตุผลคือภารโรงต้องการให้พวกเขาทำงาน เช่นเดียวกันกับผู้ดูแลระบบ สมมาตรเราสามารถคิดถึงปัญหาเก่าในยุคนี้ได้

แม้ว่าจะไม่มีวิธีแก้ปัญหาด้านเทคนิคที่สะอาด แต่ข้อเท็จจริงที่ว่าไม่มีเหตุผลใดที่เราไม่ควรลอง แต่การรวมโซลูชันที่ไม่สมบูรณ์เข้าด้วยกันสามารถให้ผลลัพธ์ที่ยอดเยี่ยมได้

แบบจำลองที่ได้รับความไว้วางใจ :

  • ให้สิทธิ์น้อยลงในการเริ่มต้นด้วย
  • เพิ่มสิทธิ์อย่างค่อยเป็นค่อยไป
  • ใส่ honeypot และติดตามสิ่งที่เกิดขึ้นในไม่กี่วันข้างหน้า
  • หากดูแลระบบรายงานแทนที่จะพยายามใช้ในทางที่ผิดนั่นเป็นการเริ่มต้นที่ดี

ใช้อำนาจการบริหารหลายระดับ :

  • ระดับ 1: สามารถแก้ไขชั้นล่างของไฟล์การกำหนดค่า
  • ระดับ 2: สามารถแก้ไขชั้นการกำหนดค่าไฟล์ที่สูงขึ้นเล็กน้อย
  • ระดับ 3: สามารถแก้ไขชั้นการกำหนดค่าไฟล์และการตั้งค่าระบบปฏิบัติการที่สูงขึ้นเล็กน้อย

สร้างสภาพแวดล้อมที่ไม่สามารถเข้าถึงทั้งหมดโดยหนึ่งคนได้เสมอ :

  • แยกระบบในกลุ่ม
  • ให้อำนาจผู้ดูแลระบบคลัสเตอร์แก่กลุ่มต่างๆ
  • ขั้นต่ำ 2 กลุ่ม

ใช้กฎ Two-man เมื่อทำการเปลี่ยนแปลงคอร์ระดับสูง :

เชื่อถือและตรวจสอบ :

  • บันทึกทุกอย่าง
  • การตรวจสอบบันทึกและการแจ้งเตือน
  • ตรวจสอบให้แน่ใจว่าการกระทำทั้งหมดมีความแตกต่าง

เอกสาร :

  • ให้พวกเขาเซ็นเอกสารเพื่อให้ระบบกฎหมายสามารถช่วยคุณได้โดยฟ้องพวกเขาหากพวกเขาทำร้ายคุณให้แรงจูงใจมากกว่าที่จะไม่ทำเช่นนั้น

ไม่เพียง แต่บันทึกทุกอย่าง แต่มีบางสิ่งที่จำเป็นต้องตรวจสอบและแจ้งเตือนในบันทึกเหล่านั้นในอุดมคติที่มนุษย์บริโภคได้ง่าย
แอรอน

9

มันยากมากที่จะรักษาความปลอดภัยโฮสต์กับผู้ที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ ในขณะที่เครื่องมือเช่นPowerBrokerพยายามทำสิ่งนี้ค่าใช้จ่ายเพิ่มทั้งสองอย่างที่สามารถทำลายและเพิ่มอุปสรรคในการแก้ไข ความพร้อมใช้งานของระบบของคุณจะลดลงเมื่อคุณใช้สิ่งนี้ดังนั้นให้ตั้งค่าความคาดหวังก่อนเป็นค่าใช้จ่ายในการปกป้องสิ่งต่าง ๆ

ความเป็นไปได้อีกอย่างก็คือดูว่าแอปของคุณสามารถทำงานบนโฮสต์ที่ใช้แล้วทิ้งผ่านผู้ให้บริการคลาวด์หรือในระบบคลาวด์ส่วนตัวที่โฮสต์ในพื้นที่ เมื่อมีคนหยุดพักแทนที่จะส่งผู้ดูแลเพื่อแก้ไขคุณทิ้งมันไปและสร้างการแทนที่อัตโนมัติ สิ่งนี้จะต้องใช้งานด้านแอพพลิเคชั่นค่อนข้างมากเพื่อให้สามารถทำงานในรุ่นนี้ได้ แต่สามารถแก้ไขปัญหาด้านการปฏิบัติงานและความปลอดภัยได้อย่างมาก หากทำไม่ดีอาจทำให้เกิดปัญหาด้านความปลอดภัยที่สำคัญดังนั้นรับความช่วยเหลือที่มีประสบการณ์ถ้าคุณไปเส้นทางนั้น


4

นี่คือการสนทนาพื้นฐานของคุณ: https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

คุณแบ่งความรับผิดชอบของคุณโดยมีวิศวกรความปลอดภัยซึ่งมีหน้าที่ในการกำหนดค่าระบบและติดตั้ง แต่พวกเขาไม่ได้รับข้อมูลประจำตัวหรือการเข้าถึงเครื่องในการผลิต พวกเขายังใช้โครงสร้างพื้นฐานการตรวจสอบของคุณ

คุณมีผู้ดูแลระบบการผลิตที่ได้รับระบบ แต่ไม่มีกุญแจในการบูตเครื่องโดยไม่มีนโยบาย SELinux กำลังทำงานอยู่ การรักษาความปลอดภัยไม่ได้รับกุญแจในการถอดรหัสข้อมูลที่สำคัญที่จัดเก็บไว้ที่ดิสก์บนเมื่อพวกเขาได้รับเครื่องที่เสียหายจากการให้บริการ

ใช้ประโยชน์จากระบบการตรวจสอบสิทธิ์แบบรวมศูนย์ที่มีการตรวจสอบที่แข็งแกร่งเช่นVaultและใช้ประโยชน์จากการดำเนินการเข้ารหัสลับ แจกอุปกรณ์ Yubikey เพื่อให้กุญแจเป็นส่วนตัวและอ่านไม่ได้

เครื่องจักรถูกเช็ดทำความสะอาดด้วยการแตกหรือจัดการโดย ops และความปลอดภัยร่วมกันและหากคุณรู้สึกว่าจำเป็นต้องมีการควบคุมดูแล


2

ผู้ดูแลระบบโดยธรรมชาติของงานสามารถเข้าถึงทุกสิ่ง พวกเขาสามารถเห็นทุกไฟล์ในระบบไฟล์พร้อมกับข้อมูลประจำตัวของผู้ดูแลระบบ ดังนั้นคุณจะต้องมีวิธีในการเข้ารหัสไฟล์เพื่อให้ผู้ดูแลระบบมองไม่เห็น แต่ไฟล์นั้นยังคงสามารถใช้งานได้โดยทีมที่ควรเห็น ตรวจสอบการเข้ารหัสแบบโปร่งใสของ Vormetric ( http://www.vormetric.com/products/transparent-encryption )

วิธีการใช้งานคือตั้งอยู่ระหว่างระบบไฟล์และแอพพลิเคชั่นที่เข้าถึงได้ การจัดการสามารถสร้างนโยบายที่ระบุว่า "เฉพาะผู้ใช้ httpd การเรียกใช้เว็บเซิร์ฟเวอร์ daemon สามารถดูไฟล์ที่ไม่ได้เข้ารหัส" จากนั้นผู้ดูแลระบบที่มีข้อมูลประจำตัวรูทสามารถลองอ่านไฟล์และรับเฉพาะรุ่นที่เข้ารหัส แต่เว็บเซิร์ฟเวอร์และเครื่องมืออะไรก็ตามที่มันต้องการก็ไม่ได้เข้ารหัส มันสามารถตรวจสอบเลขฐานสองเพื่อให้ผู้ดูแลระบบสามารถทำได้ยากขึ้น

แน่นอนคุณควรเปิดใช้งานการตรวจสอบเพื่อให้ในกรณีที่ผู้ดูแลระบบพยายามเข้าถึงไฟล์ที่ข้อความถูกตั้งค่าสถานะและผู้คนรู้เกี่ยวกับมัน


1
ใครสามารถอัปเดตไฟล์ได้บ้าง พวกเขาจะไปเกี่ยวกับมันได้อย่างไร
Michael Hampton

3
บวก ... ถ้าฉันรูทในช่องนั้นโอกาสก็คือฉันสามารถทำลายเว็บเซิร์ฟเวอร์ daemon ได้ แม้ว่าจะมีการตรวจสอบแฮชแบบไบนารีเพื่อให้แน่ใจว่าฉันไม่ได้แทนที่ภูต แต่ก็มีบางวิธีที่ฉันสามารถหลอกเว็บเซิร์ฟเวอร์ให้ขอข้อมูลที่ถูกต้องตามกฎหมาย
พื้นฐาน

1
ที่จริงแล้ว SysAdmins อาจไม่สามารถเข้าถึงไฟล์ทั้งหมด - C2 และระบบที่ปลอดภัยกว่านั้นสามารถบล็อกผู้ดูแลระบบได้ พวกเขาสามารถใช้การเข้าถึงแบบบังคับได้ แต่สิ่งนี้ไม่สามารถเพิกถอนได้ (ตั้งค่าเป็นผู้ใช้) และทิ้งร่องรอย (บันทึกซึ่งสามารถลบได้ แต่ไม่สามารถเปลี่ยนแปลงได้อย่างง่ายดาย)
TomTom

สิ่งนี้จะไม่ช่วยให้ผู้ดูแลระบบสามารถ 'กลายเป็น' httpd ... ผู้ดูแลระบบยังสามารถอ่าน / dev / mem และดังนั้นคีย์ทั้งหมด
John Keates

2
@TomTom: ความเป็นไปได้ของระบบปฏิบัติการที่น่าพึงพอใจ C2 คือตำนาน Windows NT4 ผ่านการรับรอง แต่กลับกลายเป็นบัตรผ่านปลอม ความสามารถในการถอยออกจากการเข้าถึงแบบบังคับมีอยู่เสมอและฉันใช้มันและเรามีขั้นตอนที่ขึ้นอยู่กับว่ามันใช้งานได้เพราะบางโปรแกรมพยายามที่จะใช้มันเพื่อตรวจสอบว่าไฟล์นั้นไม่ได้ถูกดัดแปลง แต่เราจำเป็นต้องเปลี่ยน พวกเขา
joshudson

2

วิธีการปฏิบัติเพียงอย่างเดียวคือการ จำกัด ผู้ที่สามารถทำอะไรกับ sudo คุณสามารถทำสิ่งที่คุณต้องการได้มากที่สุดด้วย selinux แต่มันอาจใช้เวลาตลอดไปในการหาการกำหนดค่าที่ถูกต้องซึ่งอาจทำให้ไม่สามารถทำได้

ข้อตกลงที่ไม่เปิดเผย จ้างดูแลระบบพวกเขาต้องลงนามใน NDA หากพวกเขาผิดสัญญาให้พาพวกเขาขึ้นศาล สิ่งนี้อาจไม่ป้องกันพวกเขาจากการขโมยความลับ แต่ความเสียหายใด ๆ ที่เกิดจากการกระทำนั้นสามารถกู้คืนได้ในศาล

ผู้ดูแลระบบทหารและรัฐบาลจะต้องได้รับการฝึกปรือด้านความปลอดภัยของเกรดที่แตกต่างกันขึ้นอยู่กับความละเอียดอ่อนของวัสดุ ความคิดที่ว่าคนที่สามารถได้รับอนุญาตมีโอกาสน้อยที่จะขโมยหรือโกง


แนวคิดที่ว่า 1) การได้รับและการบำรุงรักษานั้นจำกัดความสามารถในการทำธุรกิจที่ร่มรื่น 2) งานที่ต้องมีการฝึกปรือด้านความปลอดภัยที่สูงขึ้นจ่ายให้ดีขึ้นซึ่งหมายถึงแรงจูงใจที่แข็งแกร่งในการรักษาช่องว่างนั้นโดยไม่คำนึงว่าคุณชอบนายจ้างปัจจุบันของคุณหรือไม่
Shadur

ที่กล่าวอีกครั้ง OP ระบุว่าเขาขอมาตรการป้องกัน - แน่นอนคุณสามารถฟ้องพวกเขาสำหรับการละเมิด NDA หลังจากนั้น แต่ผู้ดูแลระบบตีคุณเป็นโอกาสที่จะสร้างรายได้เพียงพอที่จะกู้คืนความเสียหายที่เขาหมายถึง?
Shadur

คุณไม่เพียงกู้คืนความเสียหายจากดูแลระบบ แต่จากใครก็ตามหรือธุรกิจอื่น ๆ ที่ทำเงินจากความลับเหล่านั้น
Michael Martinez

นี่คือสภาพแวดล้อมที่เป็นความลับเริ่มต้นด้วย ดังนั้นบอกว่าระบบดูแลระบบที่ไม่ดีจะขโมยซอสลับการตามหาคนที่เขาขายให้นั้นเป็นไปไม่ได้ จะเป็นอย่างไรถ้าเขาขโมยรหัสบางอย่างออกมาอย่างดีขายรหัสให้กับคู่แข่ง? ทันใดนั้นกำไรของเรากำลังเซาะ แต่เราไม่รู้ว่า (นี่คือการเงินตลาดที่ไม่ระบุชื่อ)
แมตต์

@ แมทนั่นเป็นความเสี่ยงอย่างมากสำหรับคนที่มีหน้าที่รับผิดชอบเหมือนคนที่ไม่ได้เป็น ผู้ที่มีซอสลับกังวลกับคนอื่นที่ขโมยมันเมื่อเป็นไปได้
Michael Martinez

1

อีกวิธีหนึ่งในการลดความเสี่ยง (ใช้ถัดจากที่กล่าวถึงก่อนหน้านี้ไม่ใช่แทนที่จะเป็น) คือการจ่ายเงินที่ดีให้กับผู้ดูแลระบบของคุณ ชำระเงินให้ดีเพื่อที่พวกเขาไม่ต้องการขโมยจาก IP ของคุณและปล่อยให้คุณ


2
ฉันเห็นว่าคุณมาจากไหน แต่ฉันคิดว่าพวกเราส่วนใหญ่มีจรรยาบรรณวิชาชีพมากกว่านั้น ฉันไม่ขโมยความลับของลูกค้า แต่ไม่ใช่เพราะพวกเขาจ่ายเงินให้ฉันมากพอที่ฉันจะไม่รู้สึกต้องการ แต่เป็นเพราะการทำเช่นนั้นผิด ฉันสงสัยว่าฉันไม่ใช่คนเดียวที่นี่ที่รู้สึกอย่างนั้น
MadHatter

1
ใช่ดังที่เบ็นแฟรงคลินเคยเขียนไว้ว่า "อย่าคิดค่าใช้จ่ายกับใครสักคนที่จะฆ่าคุณ" แต่ในทางกลับกัน
Bruce Ediger

คุณไม่สามารถติดสินบนคนอื่นด้วยความซื่อสัตย์ นั่นเป็นเพียงไม่ไปทำงาน ในฐานะที่เป็นนักปราชญ์เคยกล่าวไว้ว่า: เราได้กำหนดประเภทของบุคคลที่คุณเป็นอยู่ตอนนี้เรากำลังต่อรองราคากันอยู่ แต่คุณสามารถได้รับความภักดีของใครบางคนโดยทำในสิ่งที่ถูกต้อง การจ่ายเป็นส่วนหนึ่งของสิ่งนั้น แต่ก็มีหลายอย่าง เอกราชและความเชี่ยวชาญ - ให้อิสระและฝึกอบรมและพัฒนา ปัญหาคือการทดลองอาจกดขี่พวกเขาเพื่อไม่ให้หลงทางและติดสินบนพวกเขาเพื่อ "แก้ไข" สิ่งนั้น แต่ก็เหมือนกับความสัมพันธ์ที่ไม่เหมาะสมทั้งหมดที่จะย้อนกลับมา
Sobrique

2
ฉันเพิ่งเขียนมันเป็นวิธีอื่นไม่ใช่วิธีที่ดี ฉันคิดว่าเมื่อมีคนจ้างดูแลระบบใหม่จะต้องมีความไว้วางใจ เพราะดูแลระบบคือ - ถัดจาก CEO และ CFO - คนที่สามารถทำลาย บริษัท ได้ในไม่กี่นาที ผู้ดูแลระบบที่ดีจะไม่ทำงานเพื่อเงินจำนวนเล็กน้อย (หรือใครบางคนที่คุณต้องการ) และดูแลระบบที่จะทำงานเพื่อเงินเพียงเล็กน้อยนั้นอันตรายกว่า
Ondra Sniper Flidr

1

ฉันคิดว่าคำถามนี้อาจเป็นไปไม่ได้ที่จะตอบอย่างเต็มที่หากไม่มีรายละเอียดเพิ่มเติมเช่น:

คุณคาดหวังว่าจะรักษา "จำกัด " ไว้จำนวนเท่าใด?

ผู้คนต้องการเข้าถึง "ดูแลระบบ" เพื่อทำอะไร

ก่อนอื่นจงระวังสิ่งที่คุณสามารถทำได้กับ sudo ด้วย sudo คุณสามารถอนุญาตการยกระดับสิทธิ์ให้เรียกใช้เพียงคำสั่งเดียว (หรือรูปแบบต่างๆเช่นคำสั่งที่ขึ้นต้นด้วย "mount -r" แต่ไม่อนุญาตให้ใช้คำสั่งอื่น) ด้วยคีย์ SSH คุณสามารถกำหนดข้อมูลรับรองที่อนุญาตให้บุคคลรันคำสั่งบางอย่างเท่านั้น (เช่น "sudo mount -r / dev / sdd0 / media / backup") ดังนั้นจึงมีวิธีที่ค่อนข้างง่ายในการอนุญาตให้ใครก็ได้ (ผู้ที่มีคีย์ SSH) สามารถดำเนินการบางอย่างได้โดยไม่ต้องให้พวกเขาทำทุกอย่างอย่างอื่น

สิ่งต่าง ๆ มีความท้าทายมากขึ้นถ้าคุณต้องการให้ช่างเทคนิคทำการแก้ไขสิ่งที่เสียหาย โดยทั่วไปแล้วจะต้องใช้สิทธิ์จำนวนมากขึ้นและอาจเข้าถึงเพื่อเรียกใช้คำสั่งที่หลากหลายและ / หรือเขียนไปยังไฟล์ที่หลากหลาย

ฉันขอแนะนำให้พิจารณาวิธีการของระบบบนเว็บเช่น CPanel (ซึ่งใช้โดย ISP หลายแห่ง) หรือระบบบนคลาวด์ พวกเขามักจะสามารถทำให้ปัญหาในเครื่องหายไปโดยทำให้เครื่องทั้งหมดหายไป ดังนั้นบุคคลอาจสามารถเรียกใช้คำสั่งที่แทนที่เครื่อง (หรือเรียกคืนเครื่องเป็นรูปภาพที่รู้จักดี) โดยไม่จำเป็นต้องให้บุคคลสามารถเข้าถึงข้อมูลจำนวนมากหรือทำการเปลี่ยนแปลงเล็กน้อย (เช่นการรวมการแก้ไขเล็กน้อย ด้วยการแนะนำประตูหลังที่ไม่ได้รับอนุญาต) จากนั้นคุณต้องเชื่อใจคนที่สร้างภาพ แต่คุณกำลังลดจำนวนคนที่คุณต้องไว้ใจให้ทำสิ่งเล็ก ๆ

อย่างไรก็ตามในท้ายที่สุดความเชื่อมั่นจำนวนหนึ่งจำเป็นต้องมอบให้กับบุคคลที่ไม่เป็นศูนย์จำนวนหนึ่งซึ่งช่วยออกแบบระบบและดำเนินงานในระดับสูงสุด

สิ่งหนึ่งที่ บริษัท ขนาดใหญ่ทำคือต้องพึ่งพาสิ่งต่าง ๆ เช่นเซิร์ฟเวอร์ SQL ซึ่งเก็บข้อมูลที่สามารถเข้าถึงได้จากระยะไกลด้วยเครื่องจำนวนมาก จากนั้นช่างเทคนิคจำนวนมากขึ้นสามารถเข้าถึงรูททั้งหมดบนเครื่องบางเครื่องในขณะที่ไม่มีการเข้าถึงรูทไปยังเซิร์ฟเวอร์ SQL

อีกวิธีคือใหญ่เกินกว่าจะล้มเหลว อย่าคิดว่ากองทัพขนาดใหญ่หรือ บริษัท ยักษ์ใหญ่ไม่เคยมีเหตุการณ์ด้านความปลอดภัย อย่างไรก็ตามพวกเขารู้วิธี:

  • กู้คืน
  • จำกัดความเสียหาย (โดยแยกสิ่งที่มีค่า)
  • มีมาตรการตอบโต้รวมถึงการคุกคามของการฟ้องร้อง
  • มีกระบวนการที่จะช่วย จำกัด การเปิดรับสื่อที่ไม่พึงประสงค์และวางแผนว่าจะมีอิทธิพลต่อการหมุนของเรื่องราวเชิงลบใด ๆ ที่เกิดขึ้นได้อย่างไร

สมมติฐานพื้นฐานคือความเสียหายที่เกิดขึ้นเป็นเพียงความเสี่ยงและค่าใช้จ่ายในการทำธุรกิจ พวกเขาคาดหวังที่จะดำเนินงานต่อไปและการพัฒนาและปรับปรุงอย่างต่อเนื่องในช่วงหลายปีที่ผ่านมาจะ จำกัด จำนวนความเสียหายที่เกิดขึ้นเพียงครั้งเดียวที่มีแนวโน้มว่าจะส่งผลกระทบต่อมูลค่าระยะยาวในระยะเวลาหนึ่ง


0

การตรวจสอบเชิงรุกทำได้ยากมาก

โซลูชันเช่น http://software.dell.com/solutions/privileged-management/ (ฉันไม่ได้ทำงานกับ Dell และโซลูชันที่คล้ายกันอื่น ๆ ) มีประสิทธิภาพมากในการบังคับใช้ความรับผิดชอบ sysadmin


0

วางเครื่องบริหารระบบรูทไว้ในห้องที่ล็อคด้วยกุญแจสองดอกและให้หนึ่งอันสำหรับผู้ดูแลระบบทั้งสองคนเท่านั้น ผู้ดูแลระบบจะทำงานร่วมกันโดยสังเกตกิจกรรมอื่น ๆ เสมอ ควรเป็นเครื่องเดียวที่มีไพรเวตคีย์เพื่อล็อกอินเป็นรูท

กิจกรรมบางอย่างอาจไม่จำเป็นต้องมีสิทธิ์รูทดังนั้นส่วนหนึ่งของงานที่จะต้องไปที่ห้องนั้นสำหรับ "การเขียนโปรแกรมคู่"

คุณอาจทำกิจกรรมบันทึกวิดีโอในห้องนั้นเพื่อให้แน่ใจว่าไม่มีใครทำงานคนเดียว (มองเห็นได้ง่าย) นอกจากนี้ตรวจสอบให้แน่ใจว่าสถานที่ทำงานเป็นเช่นนั้นหน้าจอสามารถมองเห็นได้ง่ายสำหรับทั้งสองคน (อาจเป็นหน้าจอทีวีขนาดใหญ่ที่มีตัวอักษรขนาดใหญ่)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.