30
ผู้ตรวจสอบความปลอดภัยของเราเป็นคนงี่เง่า ฉันจะให้ข้อมูลที่ต้องการได้อย่างไร
ผู้ตรวจสอบความปลอดภัยสำหรับเซิร์ฟเวอร์ของเราได้เรียกร้องสิ่งต่อไปนี้ภายในสองสัปดาห์: รายการชื่อผู้ใช้ปัจจุบันและรหัสผ่านข้อความล้วนสำหรับบัญชีผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ทั้งหมด รายการการเปลี่ยนแปลงรหัสผ่านทั้งหมดสำหรับหกเดือนที่ผ่านมาอีกครั้งในข้อความธรรมดา รายการ "ทุกไฟล์ที่เพิ่มไปยังเซิร์ฟเวอร์จากอุปกรณ์ระยะไกล" ในช่วงหกเดือนที่ผ่านมา พับลิกและไพรเวตคีย์ของคีย์ SSH ใด ๆ อีเมลที่ส่งถึงเขาทุกครั้งที่ผู้ใช้เปลี่ยนรหัสผ่านประกอบด้วยรหัสผ่านข้อความล้วน เราใช้กล่อง Red Hat Linux 5/6 และ CentOS 5 พร้อมการตรวจสอบสิทธิ์ LDAP เท่าที่ฉันทราบทุกอย่างในรายการนั้นเป็นไปไม่ได้หรือยากที่จะได้รับอย่างเหลือเชื่อ แต่ถ้าฉันไม่ให้ข้อมูลนี้เราต้องเผชิญกับการสูญเสียการเข้าถึงแพลตฟอร์มการชำระเงินของเราและสูญเสียรายได้ในช่วงระยะเวลาการเปลี่ยนแปลง บริการใหม่ คำแนะนำใด ๆ สำหรับฉันจะแก้ไขหรือปลอมข้อมูลนี้ได้อย่างไร วิธีเดียวที่ฉันคิดว่าจะได้รับรหัสผ่านแบบข้อความล้วนคือให้ทุกคนรีเซ็ตรหัสผ่านและจดบันทึกสิ่งที่พวกเขาตั้งไว้ ไม่ได้แก้ปัญหาการเปลี่ยนแปลงรหัสผ่านหกเดือนที่ผ่านมาเพราะฉันไม่สามารถบันทึกสิ่งต่าง ๆ ย้อนหลังแบบเดียวกันได้เช่นเดียวกันสำหรับการบันทึกไฟล์ระยะไกลทั้งหมด การรับคีย์ SSH สาธารณะและส่วนตัวทั้งหมดเป็นไปได้ (แม้ว่าจะน่ารำคาญ) เนื่องจากเรามีผู้ใช้และคอมพิวเตอร์เพียงไม่กี่คน หากฉันไม่ได้ทำวิธีนี้ง่ายกว่านี้อีก ฉันอธิบายให้เขาหลายครั้งว่าสิ่งที่เขาขอนั้นเป็นไปไม่ได้ เพื่อตอบข้อกังวลของฉันเขาตอบกลับด้วยอีเมลต่อไปนี้: ฉันมีประสบการณ์มากกว่า 10 ปีในการตรวจสอบความปลอดภัยและเข้าใจวิธีการรักษาความปลอดภัย redhat ดังนั้นฉันขอแนะนำให้คุณตรวจสอบข้อเท็จจริงของคุณเกี่ยวกับสิ่งที่เป็นและเป็นไปไม่ได้ คุณบอกว่าไม่มี บริษัท ใดอาจมีข้อมูลนี้ แต่ฉันได้ทำการตรวจสอบหลายร้อยครั้งซึ่งข้อมูลนี้พร้อมใช้งานแล้ว ลูกค้า [ผู้ให้บริการประมวลผลบัตรเครดิตทั่วไป] …