Linux: продуктивні системні адміністратори без кореня (забезпечення інтелектуальної власності)?


66

Чи є спосіб зробити досвідченого Linux syadmin продуктивним, не надаючи йому повного кореневого доступу?

Це питання виникає з точки зору захисту інтелектуальної власності (IP), що в моєму випадку - це повністю кодові та / або конфігураційні файли (тобто невеликі цифрові файли, які легко копіюються). Наш секретний соус зробив нас більш успішними, ніж міг би запропонувати наш маленький розмір. Так само нас один раз кусають, двічі соромляться від кількох колишніх недобросовісних працівників (а не сисадмінів), які намагалися вкрасти IP. Позиція вищого керівництва в основному полягає в тому, що "ми довіряємо людям, але з власних інтересів не можемо дозволити собі ризик надати будь-якій людині більше доступу, ніж їм абсолютно потрібно робити свою роботу".

З боку розробника порівняно легко розділити робочі процеси та рівні доступу, щоб люди могли бути продуктивними, але бачили лише те, що їм потрібно. Тільки топ-люди (фактичні власники компанії) мають можливість поєднувати всі інгредієнти та створювати спеціальний соус.

Але мені не вдалося придумати хороший спосіб зберегти цю IP-таємницю на стороні адміністратора Linux. Ми широко використовуємо GPG для кодових та чутливих текстових файлів ... але що зупиняти адміністратора (наприклад) на позов користувачеві та скакання на його tmux або GNU Screen session і бачити, що вони роблять?

(У нас також відключений доступ до Інтернету скрізь, який, можливо, може контактувати з конфіденційною інформацією. Але нічого не ідеального, і на розумних сисадмінах або помилках на стороні мережевого адміністратора можуть бути отвори. Або навіть старий хороший USB. Звичайно, існують численні інші заходи, але вони виходять за рамки цього питання.)

Найкраще, що я можу придумати, - це в основному використання персоналізованих облікових записів з sudo , подібним до того, що описано в декількох системних адміністраторах Linux, що працюють як root . Зокрема, ніхто, крім власників компанії, насправді не матиме прямого доступу до кореня. Інші адміністратори матимуть персоналізований обліковий запис та можливість вживати судовий процес у root. Крім того, було б запроваджено віддалений журнал, і журнали переходитимуть до сервера, до якого могли отримати доступ лише власники компанії. Якщо вимкнути журнал, вимкнено певні сповіщення.

Розумний системдмін, ймовірно, все ще знайде дірки в цій схемі. І це осторонь, це все ще реактивне, а не ініціативне . Проблема з нашим ІС полягає в тому, що конкуренти можуть скористатися нею дуже швидко і за дуже короткий час завдати великої шкоди.

Тому все-таки краще буде механізм, який обмежує те, що може зробити адміністратор. Але я визнаю, що це делікатний баланс (особливо з огляду на усунення несправностей та виправлення виробничих проблем, які потрібно вирішити зараз ).

Не можу не задатися питанням, як інші організації з дуже чутливими даними управляють цим питанням? Наприклад, військові системні адміністратори: як вони керують серверами та даними, не маючи змоги бачити конфіденційну інформацію?

Редагувати: У початковій публікації я мав намір попередньо звернутися до коментарів "практики найму", які починають виходити на поверхню. По-перше, це має бути технічним питанням, а практики найму ІМО, як правило, більше спрямовані на соціальні питання. Але, два, я скажу так: я вважаю, ми робимо все, що є розумним для найму людей: інтерв'ю з кількомалюди на фірмі; довідкові та контрольні перевірки; всі співробітники підписують численні юридичні документи, включаючи той, який говорить, що вони прочитали та зрозуміли наш посібник, який детально стосується ІС. Зараз це не входить до сфери цього питання / сайту, але якщо хтось може запропонувати «ідеальні» практики найму, які відфільтрують 100% поганих акторів, я все вухо. Факти: (1) Я не вірю, що існує такий ідеальний процес найму; (2) люди змінюються - сьогодні ангел може бути завтрашнім дияволом; (3) спроба викрадення коду виглядає дещо звичною у цій галузі.


15
Перше, що прийшло в голову, читаючи ваше останнє запитання ... Сноуден.
Хрвой Шполяр

33
Ви можете дійти далеко за допомогою відповідної політики SELinux, але це буде досить дорого реалізувати. Зрештою, систематичні адміністратори повинні мати деякий доступ до системи та файлів на ній, щоб виконати свою роботу. Ваша проблема не технічна, вона знаходиться в процесі найму.
Майкл Хемптон

6
Військові використовують перевірку безпеки та недоторканність для двох осіб . Вже тоді інколи бувають порушення. Шанси обох людей мати грізні плани набагато менше.
Стів

14
Причина цього пахне проблемою людей - це проблема людей.
Сірекс

6
Це те, для чого призначені НДА.
Майкл Мартінес

Відповіді:


19

Те, про що ви говорите, відоме як ризик "Злий Сисадмін". Довгий і короткий він:

  • Сисадмін - це той, хто має підвищені привілеї
  • Технічно вмілий, до такого рівня, який би зробив їх хорошим "хакером".
  • Взаємодія із системами в аномальних сценаріях.

Поєднання цих речей робить по суті неможливим зупинити шкідливі дії. Навіть аудит стає важким, тому що у вас немає «нормального» для порівняння. (І, чесно кажучи - зламана система, можливо, теж зламала аудит).

Існує купа побічних заходів:

  • Розмежування привілеїв - ви не можете перешкодити хлопцеві з руттю робити щось у системі. Але ви можете зробити одну команду відповідальною за мережу, а іншу, відповідальну за "операційні системи" (або Unix / Windows окремо).
  • Обмежте фізичний доступ до комплекту для іншої команди, яка не має адміністраторських облікових записів ... але піклується про всю роботу "рук".
  • Відокремте відповідальність "робочий стіл" та "сервер". Налаштуйте робочий стіл, щоб запобігти видаленню даних. Настільні адміністратори не мають можливості доступу до чутливих, адміністратори сервера можуть вкрасти його, але доведеться стрибати через обручі, щоб вийти з будівлі.
  • Аудит до системи обмеженого доступу - syslogта аудиту рівня подій до відносно стійкої до несанкціонованої роботи системи, до якої вони не мають пільгового доступу. Але збирати його недостатньо, вам потрібно стежити за цим - і, чесно кажучи, існує купа способів "викрасти" інформацію, яка може не з’являтися на радарі аудиту. (Браконьєр проти геймерів)
  • застосувати шифрування "в спокої", тому дані не зберігаються "в чистоті", а для доступу потрібна жива система. Це означає, що люди з фізичним доступом не можуть отримати доступ до системи, за якою не ведуть активний моніторинг, і що в "аномальному" сценарії, коли системний адміністратор працює над нею, дані менше піддаються впливу. (наприклад, якщо база даних не працює, дані, ймовірно, не читаються)
  • Правило двох чоловіків - якщо ви все гаразд, калі ваша продуктивність покалічена, і мораль так само. (Серйозно - я бачив, що це робиться, і стійкий стан роботи та спостереження робить надзвичайно складними умови праці).
  • Перевірте своїх системних адміністраторів - залежно від країни можуть існувати різні перевірки записів. (Перевірка судимості, можливо , ви навіть виявите, що можете подати заявку на підтвердження безпеки в деяких випадках, що призведе до перевірки)
  • Доглядайте за вашими сисадмінами - останнє, що ви хочете зробити, - сказати людині, якій довіряють, що ви їй не довіряєте. І ви, звичайно, не хочете завдати шкоди моралі, тому що це збільшує ймовірність зловмисної поведінки (або «не зовсім недбалості, а прослизання пильності»). Але платіть відповідно до відповідальності, а також набору навичок. І врахуйте, що "перкі" - це дешевше зарплати, але, ймовірно, цінують більше. Як безкоштовна кава або піца раз на тиждень.
  • і ви також можете спробувати застосувати умови контракту, щоб гальмувати це, але будьте обережні.

Але досить принципово - потрібно визнати, що це довіра, а не технічна річ. Ваші сисадміни завжди будуть для вас потенційно дуже небезпечними внаслідок цієї ідеальної бурі.


2
Я час від часу ношу шапку sysadmin. Я вважав за потрібне тримати потужні інструменти, що лежать там, де я можу зайти в них, деякі з яких мають за мету обходу контролю доступу до системи (у випадку, якщо комусь вдасться заблокувати всіх із робочої станції, звичайно). Оскільки сама природа їх роботи, аудит ослаблений або неефективний.
Джошудсон

3
Так. З усіх причин слюсарів може законно ввірватися у ваш будинок, може виникнути необхідність проникнення системних службовців у мережу.
Sobrique

@Sobrique: є ще щось, чого я досі не розумію: чому ми чуємо про шахрайських сисадмінів, що збирають безліч даних, а не про те, що вони роблять те саме (вони могли це робити за час, коли все було на папері) .
користувач2284570

Обсяг - терабайт твердої копії великий. І шкода. Саботаж цієї системи може буквально зірвати компанію.
Sobrique

51

Все, що сказано дотепер, - це добрі речі, але є один "простий" нетехнічний спосіб, який допомагає заперечувати негідника-адмініструвальника - принцип чотирьох очей, який в основному вимагає наявності двох сисадмінів для будь-якого підвищеного доступу.

EDIT: Два найбільші пункти, які я бачив у коментарях, обговорюють вартість та можливість змови. Один з найбільш важливих способів, який я вважав уникнути обох цих проблем, - це використання керованої сервісної компанії, яка використовується лише для перевірки вжитих дій. Зроблено належним чином, техники не знали б один одного. Якщо припустити технічну доблесть, що MSP повинен мати, було б досить легко мати знак відхилення від вжитих дій .. можливо, навіть настільки ж просто, як так / ні для чогось нечесного.


17
@Sirex: Так, проблема в безпеці - вона завжди має вартість.
sleske

10
Ні, я працював у досить невеликих (100-1000 осіб) організаціях, які робили саме це. Вони просто прийняли, що їхні процедури принесуть всі заходи з систематичної системи в чотири-десять разів більше грошей, ніж інакше, і вони заплатили.
MadHatter

10
Це єдина реальна відповідь. Наш комплект сидить у деяких безпечних місцях влади (і серед інших кроків) ми використовуємо цей підхід, щоб гарантувати, що ніхто не може отримати доступ до підвищеного терміналу. Піднімається детальний запит, щоб робота була виконана, багато людей виписуються на нього (50+, зітхають ), потім два адміністратори збираються разом і роблять зміни. Це мінімізує ризик (а також нерозумні помилки). Коштувати щось дорого і монументально, але це ціна безпеки. Re: 50+ підписантів, що включає команду мережі, команду постійного струму, керівників проектів, безпеку, сховище, тестер ручки, постачальника програмного забезпечення тощо
Основне

4
Ви б, напевно, боролися з наймом, так. Це було б для мене миттєвим пробкою шоу, оскільки мені подобається насправді робити це, і це би каліло моє задоволення від роботи.
Сірекс

3
Зауважте, що збільшені витрати не стосуються кожної дії з системою адмін. Однак це стосується як самих підвищених дій, так і їх підготовки. IOW, ви не можете сказати: "sysadmin працює 40 годин на тиждень, 4 з них підвищені, тому збільшення витрат складе лише 10%". З позитивного боку, схема також вловлює звичайні, чесні помилки. Це економить гроші.
MSalters

27

Якщо людям справді потрібен доступ адміністратора до системи, ви можете мало що зробити, щоб обмежити їхню діяльність на цьому полі.

Більшість організацій займаються довірою, але переконайтеся, що ви можете надати людям доступ до частин системи, але ви використовуєте іменовані облікові записи адміністраторів (наприклад, ви не надаєте їм прямий доступ до root ), а потім ревізуєте свою діяльність до журналу, який вони не може заважати.

Тут є балансуючий акт; вам може знадобитися захистити свої системи, але вам потрібно довіряти людям теж робити свою роботу. Якщо раніше компанію "покусав" недобросовісний працівник, то це може підказати, що компанії, які наймають практику, в деякій мірі погані, і такі практики, ймовірно, були створені "топ-менеджерами". Довіра починається вдома; що вони роблять, щоб виправити свій вибір на роботу?


3
Це чудове спостереження - хороший аудит дозволяє людям виконувати свою роботу, але все ще залишатись відповідальними за свої дії.
Стів Бондс

1
Належне використання аудита та syslog може також пройти довгий шлях. Ці дані можна відстежувати за допомогою безлічі інструментів безпеки для пошуку дивної чи явно поганої поведінки.
Аарон

3
Справжня проблема аудиту полягає в тому, що існує багато шуму. Через кілька місяців ніхто не буде дивитися на журнали, за винятком випадків, коли щось сталося.
TomTom

1
Я погоджуюся з TomTom, отримання співвідношення сигнал / шум прямо в журналах безпеки є проблемою, але вам все одно потрібно ввійти в систему, я думаю. @Sobrique я хотів би сказати, що "злі сисадміни" - це переважно питання найму, а не технологія; вам потрібно закрити обидві сторони зазору, так що треба було б «кращої практики» , день у день і поліпшити наймаючи процеси, вважають «4 очі» для істинного секретного соусу речі , як Тім згадував, а також відсівати журнали
Rob Моїр

1
Трохи, але майте на увазі, що протягом «робочого циклу» попередній добросовісний актор може перетворитися на злісного. Це скоріше про безправ'я та моральний дух, ніж про наймання практик. Те, що робить когось хорошим сисадміном, також зробить їх добрим хакером. То, можливо, з цього приводу - наймання посередніх сисадмінів - це шлях вперед?
Sobrique

18

Не вкладаючи себе в божевільний технічний поворот розуму, щоб спробувати придумати спосіб надати сисадмін-силі, не даючи їм влади (це, ймовірно, можливо, але в кінцевому підсумку було б дефектом).

З точки зору ділової практики існує безліч простих рішень. Не дешеве рішення, але просте.

Ви згадали, що частини IP, які вас турбують, розділені, і лише люди вгорі мають право їх бачити. Це по суті ваша відповідь. У вас повинно бути декілька адміністраторів, і НІКОЛІ з них не повинен бути адміністратором на достатній кількості систем, щоб скласти повну картину. Вам, звичайно, знадобиться щонайменше 2 або 3 адміністратора на кожен шматок, якщо адміністратор хворий, в автокатастрофі чи щось подібне. Можливо, навіть приголомшити їх. скажімо, у вас є 4 адміністратори та 8 інформації. Адміністратор 1 може отримати доступ до систем, які мають шматки 1 і 2, адміністратор 2 може дістатись до частин 2 і 3, адміністратор 3 може дістатись до 3 і 4, а адміністратор 4 може дістатися до 4 і 1. Кожна система має адміністратора резервного копіювання, але ні Адміністратор може скомпрометувати повну картину.

Однією з методик, якою користуються і військові, є обмеження рухомих даних. У чутливій області може бути лише єдина система, здатна записати диск, або за допомогою флешки USB всі інші системи обмежені. А можливість використовувати цю систему вкрай обмежена і вимагає спеціального документального затвердження вищими вікнами, перш ніж комусь дозволяти розміщувати будь-які дані про що-небудь, що може призвести до розповсюдження інформації. Одночасно, ви гарантуєте, що мережевий трафік між різними системами обмежений апаратними брандмауерами. Ваші адміністратори мережі, які керують пожежними стінами, не мають доступу до систем, які вони маршрутизують, тому вони не можуть спеціально отримати доступ до інформації, а адміністратори вашого сервера / робочої станції гарантують, що всі дані до системи та з неї налаштовані для шифрування,

Усі ноутбуки / робочі станції повинні мати зашифровані жорсткі диски, і кожен працівник повинен мати особистий шафку, від якої потрібно заблокувати диски / ноутбуки наприкінці ночі, щоб ніхто не прийшов рано / пізно пішов і не отримав доступ до чогось вони не повинні.

Кожен сервер повинен принаймні знаходитись у власній заблокованій стійці, якщо не у власній заблокованій кімнаті, щоб тільки адміністратори, відповідальні за кожен сервер, мали доступ до нього, оскільки наприкінці дня фізичний доступ козирує всіх.

Далі є практика, яка може або нашкодити / допомогти. Обмежені договори. Якщо ви думаєте, що можете заплатити достатньо, щоб продовжувати приваблювати нові таланти, можливість лише тримати кожного адміністратора за попередньо визначений час (IE 6 місяців, 1 рік, 2 роки) дозволить вам обмежити, скільки часу у когось буде щоб спробувати зібрати всі частини вашого IP-адреси.

Мій особистий дизайн буде чимось узгоджувати ... Розподіліть ваші дані на скільки завгодно деталей, скажімо, задля того, щоб мати число 8, у вас є 8 git-серверів, кожен зі своїм набором зайвого обладнання, кожен адміністратором якого інший набір адміністраторів.

Зашифровані файли для всіх робочих станцій, які торкаються IP-адреси. зі специфічним каталогом "проект" на диску, який є єдиним користувачем каталогу, дозволяється розміщувати свої проекти. В кінці кожної ночі від них потрібно санатизувати свої каталоги проектів захищеним інструментом видалення, потім видаляються жорсткі диски і замкнений (просто для безпеки).

Кожен біт проекту має іншого адміністратора, призначеного для нього, тому користувач буде взаємодіяти лише з адміністратором робочої станції, якому він призначений, якщо призначення проекту змінюється, їх дані стираються, їм призначається новий адміністратор. Їх системи не повинні мати можливості запису, і вони повинні використовувати програму захисту для запобігання використанню флеш-накопичувачів USB для передачі даних без дозволу.

візьміть із цього те, що будете.


2
Дякую, багато хороших речей там, і ми багато робимо. Хоча мені подобається ідея кількох адміністраторів, ми насправді не досить великі, щоб цього потребувати. Мені справді потрібен лише один адміністратор, тож якби я мав чотирьох, вони, як правило, нудьгували б із них. Як ми можемо знайти талант вищого рівня, який ми хочемо, але лише надаємо їм підлітковий навантаження? Боюся, що розумним людям швидко набридне і перейти на зелені пасовища.
Мет

2
Так, це велика проблема, і насправді одне урядове поле сильно страждає. Місце, де я почав свою роботу адміністратором, часто називали "двері, що обертаються". Вся справа - це складна проблема. Забезпечення інформації в цілому є досить жорстким гайком: \
Gravy

@Matt В How do we find the top-tier talent we want, but only give them a teeny-tiny workload?деякій мірі ви можете пом'якшити це, надавши їм велике тестове / дослідницьке та дослідницьке середовище, доступ до нових класних іграшок та заохотивши їх витратити значну частину робочого дня на розвиток своїх технічних навичок. Ефективне навантаження на 25%, ймовірно, штовхає це занадто далеко, але я був би абсолютно над місяцем щодо роботи, яка становить 50% фактичної роботи та 50% технічного розвитку / НДДКР (якщо заробітна плата знаходиться на тому ж рівні, що і нормальна ~ 100% " фактична робота "робота).
HopelessN00b

11

Це було б подібним завданням, як найняти двірника для будівлі. Двірник має всі ключі, може відкрити будь-які двері, але причина полягає в тому, що двірник потребує їх, щоб виконати цю роботу. Те саме з системними адміністраторами. Симетрично можна подумати над цією віковою проблемою і подивитися на способи, яким довіра надається історично.

Хоча технічного рішення чітко не існує, той факт, що його немає, не повинно бути причиною того, що ми не намагаємось, а агрегація недосконалих рішень може дати дещо чудові результати.

Модель, де заслуговує довіра :

  • Дайте менше дозволів для початку
  • Поступово збільшуйте дозволи
  • Поставте медовий горщик і стежте за тим, що буде в найближчі дні
  • Якщо sysadmin повідомляє про це замість того, щоб намагатися зловживати цим, це хороший початок

Впровадити кілька рівнів адміністративних повноважень :

  • Рівень 1: Може змінювати нижній рівень файлів конфігурації
  • Рівень 2: Може змінювати трохи більш високий рівень файлів конфігурації
  • Рівень 3: Може змінювати трохи більш високий рівень файлів конфігурації та налаштувань ОС

Завжди створюйте середовище, коли повний доступ однієї людини неможливий :

  • Спліт-системи в кластерах
  • Надайте адміністратору кластер повноваження різним групам
  • Мінімум 2 групи

Використовуйте правило "Дві людини", коли вносите зміни до ядра високого рівня :

Довіряйте та підтверджуйте :

  • Пропишіть все
  • Моніторинг журналу та оповіщення
  • Переконайтеся, що всі дії відрізняються

Паперова робота :

  • Запропонуйте їм підписати документи, щоб юридична система змогла допомогти вам, подавши в суд, якщо вони заподіюють вам шкоду, це дає більше стимулів не робити цього

Не тільки реєструвати все, але щось потрібно контролювати та оповіщати про ці журнали, в ідеалі таким чином, щоб люди легко споживали.
Аарон

9

Дуже важко захистити хостів від тих, хто має адміністративний доступ. У той час як такі інструменти, як PowerBroker намагаються це зробити, вартість додає і те, що інше, що може зламати І додає бар'єри для спроб виправити це. Ваша готовність системи БУДЕ падіння , коли ви реалізуєте що - щось на зразок цього так встановити , що очікування рано , так як вартість захисту речей.

Інша можливість полягає в тому, щоб перевірити, чи може ваш додаток працювати на одноразових хостах через хмарного постачальника або в приватній хмарі, що розміщена на локальному рівні. Коли один зламається, замість того, щоб відправляти адміністратора, щоб виправити його, ви викидаєте його та автоматично будуєте заміну. Для того, щоб запустити цю модель у цю модель, буде потрібно багато роботи, але це може вирішити багато оперативних та безпекових проблем. Якщо це зроблено неякісно, ​​це може створити значні проблеми із безпекою, тому скористайтеся досвідченою допомогою, якщо ви підете цим маршрутом.


4

Це ваше основне обговорення: https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

Ви поділяєте свою відповідальність, маючи інженерів з безпеки, завдання яких - робити конфігурації системи та встановлювати їх, але вони не отримують ніяких облікових даних або доступу до машин у виробництві. Вони також управляють вашою аудиторською інфраструктурою.

У вас є адміністратори виробництва, які отримують системи, але не мають ключів для завантаження машини без активної політики SELinux. Безпека не отримує ключі для розшифровки чутливих даних, що зберігаються в стані спокою на диску, коли вони отримують несправну машину, витягнуту з обслуговування.

Скористайтеся централізованою системою аутентифікації з сильним аудитом, як Vault, і скористайтеся своїми криптовалютами. Роздайте пристрої Yubikey, щоб зробити клавіші абсолютно приватними та нечитабельними.

Машини або витираються при поломці, або обробляються операційними силами та безпекою разом, і якщо ви відчуваєте необхідність контролю з боку керівництва.


2

Адміністратори за характером роботи мають доступ до всього. Вони можуть бачити кожен файл у файловій системі з обліковими записами адміністратора. Отже, вам знадобиться спосіб шифрування файлів, щоб адміністратори не могли його бачити, але файли все ще можуть бути використані командами, які повинні їх бачити. Подивіться на Vormetric Transparent Encryption ( http://www.vormetric.com/products/transparent-encryption )

Як би це працювало, це те, що він знаходиться між файловою системою та програмами, які мають доступ до неї. Управління може створити політику, яка говорить "Тільки користувач httpd, що працює демон веб-сервера, може бачити файли незашифрованими". Тоді адміністратор зі своїми кореневими обліковими даними може спробувати прочитати файли та отримати лише зашифровану версію. Але веб-сервер і всі необхідні інструменти бачать їх незашифрованими. Він може навіть перевірити суму двійкових, щоб ускладнити адміністратору обхід.

Звичайно, ви повинні включити аудит, щоб у випадку, якщо адміністратор намагається отримати доступ до файлів, повідомлення отримує позначку, і люди знають про нього.


1
Хто тоді може оновлювати файли? Як вони роблять це?
Майкл Хемптон

3
Плюс ... Якщо я ввійду в цю скриньку, шанси на те, що я можу підривати демон веб-сервера. Навіть якщо це перевірка бінарних хешів, щоб переконатися, що я не замінив демона, я певним чином зможу обманути веб-сервер зробити начебто законний запит на дані.
Основні

1
Насправді SysAdmins може не мати доступу до всіх файлів - C2 та краще захищені системи можуть блокувати адміністраторів. Вони можуть ПРИЙТАТИ доступ, але це безповоротно (встановивши їх як користувача) і залишає сліди (журнал, який вони можуть видалити, але не змінити легко).
TomTom

Це не допоможе, оскільки адміністратор може "стати" httpd ... Адміністратори також можуть читати / dev / mem, і тому всі клавіші.
Джон Кітс

2
@TomTom: Можливість операційної системи, що задовольняє C2, є міфом. Windows NT4 пройшов сертифікацію, але це виявилося шахрайським пропуском. Можливість відмовитись від примусового доступу завжди існувала, і я використовував її, і у нас є процедура, яка залежить від неї, оскільки якась програма намагається використовувати її для перевірки того, що її файли не були підроблені, але нам потрібно змінити їх.
Джошудсон

2

Єдиний практичний спосіб - обмежити, хто може робити те, що з судо. Можливо, ви також можете робити більшість того, що ви хочете, з selinux, але, ймовірно, знадобиться назавжди, щоб з'ясувати правильну конфігурацію, яка може зробити це непрактичним.

Угоди про нерозголошення. Наймайте сисадміна, вони повинні підписати НДА, якщо вони порушують обіцянку, віднесіть їх до суду. Це може не заважати їм красти секрети, але будь-які збитки, завдані ними, підлягають стягненню в суді.

Військові та урядові сисадміни повинні отримувати перевірки безпеки різних ступенів залежно від того, наскільки чутливий матеріал. Ідея полягає в тому, що той, хто може отримати дозвіл, менше шансів вкрасти чи обдурити.


Ідея полягає в тому, що 1) отримання та підтримання цього оформлення обмежує їхню здатність робити тіньовий бізнес; 2) робочі місця, які потребують більш високого доступу до безпеки, платять краще, що означає сильний стимул дотримуватися цього оформлення незалежно від того, чи подобається вам ваш поточний роботодавець.
Шадур

З цього приводу, знову ж таки, ОП спеціально сказав, що він просить запобіжних заходів, - звичайно, ви можете подати позов до них за порушення NDA, але сисадмін пошкодить вас, швидше за все, щоб заробити достатньо грошей для стягнення збитків, які він має на увазі?
Шадур

ви не просто відновлюєте збитки від системного адміністратора, але і від кого-небудь чи будь-якого іншого бізнесу, заробляючи гроші на цих секретах.
Майкл Мартінес

Це дуже потаємне середовище для початку. Так що, скажімо, поганий сисадмін краде секретний соус, відстежувати, кого він продав, в принципі неможливо. Що робити, якщо він вкраде якийсь код, виходить з добрими умовами, продає код конкуренту? Раптом наші прибутки стираються, але ми не знаємо як (це фінанси, анонімний ринок).
Метт

@Matt Це стільки ризику для відповідальних людей, скільки для тих, хто цього не робить. Люди з таємним соусом переживають за те, щоб хтось вкрав його, коли це так само ймовірно, хтось із них захоче.
Майкл Мартінес

1

Ще один спосіб зменшити ризик (використовувати поруч із зазначеними раніше, а не замість них) - платити хороші гроші своїм сисадмінам. Платіть їм так добре, що вони не захочуть викрасти ваш IP-адресу та покинути вас.


2
Я бачу, звідки ви родом, але думаю, що більшість із нас більше професійної етики. Я не краду секрети своїх клієнтів, але це не тому, що вони платять мені достатньо, щоб я не відчував потреби, це тому, що це було б неправильно робити; Я підозрюю, що я не єдина людина, яка так почуває себе.
MadHatter

1
Так, як колись писав Бен Франклін, "Ніколи не звинувачуй когось більше, ніж коштує тебе вбити". Але навпаки.
Брюс Едігер

Ви не можете підкупити когось доброчесності. Це просто не буде працювати. Як казав колись мудрець: ми встановили, яка ти людина, зараз ми просто тормозимо ціну. Але ви можете заробити чиюсь вірність, зробивши їх правильно. Оплата є частиною цього, але так багато речей. Автономія та майстерність - дають свободу та навчання та розвиток. Проблема в тому, що спокуса може полягати в тому, щоб пригнічувати їх, щоб вони не збивалися, а потім підкуповували їх, щоб "виправити" це. Але, як і всі жорстокі відносини, це призведе до негараздів.
Sobrique

2
Я щойно написав, що це інший спосіб, не гарний спосіб. Я думаю, що коли хтось наймає нового сисадміна, мусить бути довіра. Тому що sysadmin - поруч із генеральним директором та фінансовим директором - хтось, хто може за лічені хвилини знищити компанію. Хороший адміністратор не буде працювати за невеликі гроші (чи хтось із вас буде?), А сисадмін, який буде працювати на невеликі гроші, небезпечніший.
Ondra Sniper Flidr

1

Я думаю, що на це питання неможливо відповісти повністю без додаткових деталей, таких як:

Скільки сисадмінів, як ви очікуєте, залишатимуться "обмеженими"?

Що потрібно людям для "систематичного" доступу?

Перш за все, пам’ятайте, що можна зробити із судо. За допомогою sudo ви можете дозволити підвищеним дозволам виконувати лише одну команду (або варіації, як команди, які починаються з "mount -r", але інші команди заборонені). За допомогою ключів SSH ви можете призначити облікові дані, які дозволяють людині виконувати лише певну команду (наприклад, "sudo mount -r / dev / sdd0 / media / backup"). Тому існує відносно простий спосіб дозволити майже будь-кому (у кого ключ SSH) мати можливість робити якісь конкретні операції, не дозволяючи їм робити абсолютно все інше.

Речі стають трохи складнішими, якщо ви хочете, щоб технічні працівники виконували виправлення того, що порушено. Зазвичай це вимагає більшого обсягу дозволів і, можливо, доступу для запуску найрізноманітніших команд та / або запису в різні файли.

Я пропоную розглянути підхід веб-систем, таких як CPanel (який використовується багатьма провайдерами) або хмарних систем. Вони часто можуть змусити проблеми на машині згасати, роблячи всю машину. Отже, людина може мати змогу запустити команду, яка замінює машину (або відновлює машину до добре відомого зображення), не обов'язково надаючи людині доступ до читання безлічі даних або внесення невеликих змін (наприклад, поєднання незначного виправлення із введенням несанкціонованої задньої двері). Тоді вам потрібно довіряти людям, які створюють зображення, але ви зменшуєте кількість людей, яким потрібно довіряти, щоб робити дрібніші речі.

Зрештою, певна довіра повинна бути надана деякій ненульовій кількості людей, які допомагають розробити систему та працюють на найвищому рівні.

Одне, що роблять великі компанії, - це покладатися на такі речі, як SQL-сервери, які зберігають дані, доступ до яких може віддалено отримати більшу кількість машин. Тоді більша кількість технічних працівників може мати повний кореневий доступ на деяких машинах, не маючи кореневого доступу до SQL-серверів.

Інший підхід - бути занадто великим, щоб не вдатися. Не думайте, що у великих військових чи гігантських корпорацій ніколи не трапляються випадки безпеки. Однак вони знають, як:

  • одужати,
  • обмежити шкоду (відокремлюючи цінні речі)
  • мають контрзаходи, включаючи погрози судового розгляду
  • мати процеси, які допоможуть обмежити небажане потрапляння до преси, і планують, як впливати на розкручування будь-яких негативних історій, які все-таки розвиваються

Основне припущення полягає в тому, що збитки, які виникають, - це просто ризик і вартість їх ведення бізнесу. Вони розраховують продовжувати свою діяльність, і постійні розробки та вдосконалення протягом багатьох років обмежуватимуть шкоду, який може призвести до того, що один інцидент фактично вплине на їх довгострокову вартість протягом певного періоду часу.



0

Помістіть машину кореневого адміністрування в приміщення, замкнене двома ключами, і дайте лише один для кожного з двох адміністраторів. Адміністратори завжди працюватимуть разом, спостерігаючи за діяльністю один одного. Це повинна бути єдина машина, що містить приватний ключ для входу в систему як корінь.

Деякі види діяльності можуть не потребувати кореневих прав, тому лише частина роботи потребує переходу до цієї кімнати для "парного програмування"

Ви також можете проводити відеозаписи в цій кімнаті, головним чином для того, щоб переконатися, що ніхто не працює один (що багато добре видно). Також переконайтесь, що робоче місце таке, щоб екран був легко видно обом людям (можливо, великий телевізійний екран із великими шрифтами).

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.