Uzak Linux Yönetici Danışmanı - En İyi Uygulama [kapalı]

19

Linux Yöneticimiz olarak Hindistan'da bir danışmanla çalışıyoruz. Onu iyi tanımıyoruz ve işini yapmak için tüm sunucularımıza Root erişimi gerektiriyor (güvenlik denetimi dahil).

Herhangi bir malign aktiviteye karşı korunabilmemiz için bu tür bir iş için uzaktan danışman sağlamanın en iyi yolu nedir?

Şimdiden teşekkürler.

root 
Anderson Tess
kaynak
66
Birine güvenmiyorsanız, sunucularınıza erişmesine izin vermeyin. Dönemi. Güvenebileceğiniz birini işe alın.
EEAA
6
Bunun bir eylemin yüksek seviyeler tarafından zorunlu tutulup tutulmadığını ve buna karşı mühimmat / iyi argümanlar aradığınızı merak etmeye yardımcı olamıyor musunuz?
Matt
5
LOL ... Bu iyi bir fikir mi?
ewwhite
5
Birisine sunucularınıza root erişimi veriyorsanız, kendinizi bireyin kök erişimine sahip olduğu makine (ler) üzerindeki kötü niyetli etkinliklerden sistematik olarak korumanın hiçbir yolu yoktur.
Craig
3
Umarım iyi çevrimdışı yedeklemelere sahip olursun
CaffeineAddiction

Yanıtlar:

55

Yapma . Ayrıca, çok tehlike olarak konum beceriksizlik olarak kötülük ı şirketleri bu işi tipik şekilde gördüğüm kadarıyla.

Şunu söylemek isterim ki, muhtemelen Hindistan'da büyük sistem yöneticileri var, ancak birçok şirketin işleri yapma şekli korkunç.

Bir kaporta dükkanından geçiyorsanız, muhtemelen onlara büyük bir kesim görüyorsunuz ve birçoğunun çalışanlarını düzgün bir şekilde incelemesi pek olası değildir. Biriyle çalıştığım üç kişiyle konuştum ve hiçbiri teknik röportaj yapmadı.

Yani, birisini uzaktan kiralamanız gerekiyorsa, tanrı aşkına, kendinizle röportaj yapın ve işini bildiğinden emin olun. Sistem yönetimi birisine körü körüne teslim etmek için çok önemlidir

Şimdi "ineptitude" kısmını ele aldığım için,

Yönetim oldukça geniş bir ifadedir. Kök erişimi olan biri her şeyi yapabilir . Şimdi, kişisel olarak yönetici için bir hesap oluşturmayı düşünüyorum ve ona sudo aracılığıyla kendini yükseltme yeteneği vermek daha iyi bir fikirdir (çok sayıda sunucunuz varsa yapılandırma yönetim sisteminizin işlemesi gerekir). Bununla birlikte, bu bile belirli bir güvene dayanmaktadır. Hoşnutsuz bir sistem yöneticisinin yapabileceği çok fazla hasar var. Tüm şifreleriniz değiştirilsin mi? Tabii ki sonunda alabilirsiniz, ama bu önemsiz değil, ve muhtemelen tasarruf daha pahalı olacaktır.

Yani, bir yerel düşünün. Değilse, kendinizi denetlediğiniz ve doğrudan işe aldığınız birini düşünün .

Journeyman Geek
kaynak
35
Birine 12 saat dilimi uzaktaki bir adam benden bir kapıya ayrıcalıklı erişim vermek için yeterince zorlanıyorum . Zihnim, herkesin bunu bir seçenek olarak göreceğini düşünüyor.
EEAA
7
Bir kaporta dükkanından geçiyorsanız, bu kök kimlik bilgilerine kimin sahip olduğunu bile bilemezsiniz, bugün sistemlerinizde çalışan kişinin yarın üzerinde çalışacak kişi olduğu konusunda hiçbir güvenceniz yoktur, Bu adamların tam anlamıyla kök düzeyinde şifrelerinizi net bir şekilde birbirlerine e-postayla göndermeyeceklerine dair bir garantiniz yok (bunu çok kez gördüm) vb.
Craig
2
Hiç kimse kök olarak modern bir Linux dağıtımına giriş yapmamalıdır. Kök hesabın bir parolası bile olmamalıdır. Bunun yerine, sukendilerini kök salmaya yetkisi olan kullanıcılar olmalıdır . Birisi "root erişimine" ihtiyaç duyduğunu söylediğinde, istediği budur. Bu kişi "root parolasına" ihtiyacı olduğunu söylüyorsa, işi yine de yapmaya yetkili değildir.
Monty Harder
@MontyHarder (belirli) kullanıcıların sudokendilerini köklerine yükseltmek için yetkileri olmalı mı demek istiyorsunuz ? Değilse su, bir root parolasına sahip olmadan ve dağıtmadan kendini köküne yükseltmek için en iyi uygulamalarınızı ana hatlarıyla anlatabilir misiniz ?
MadHatter, Monica
2
@MontyHarder çok mantıklı, ilk seferinde söyledikleriniz değil; sudove sutamamen farklı iki şeydir. Açıkladığınız için teşekkürler.
MadHatter,
33

Belirtildiği gibi, bunu yapma.

Kendinizi korumanın tek yolu böyle bir şey yapmaktır:

  1. Danışmanın seçtiğiniz bir yapılandırma yönetim sistemini kullanmasında ısrar edin.
  2. Danışman, tamamlamanız gereken eylemler için yapılandırma yönetimi bildirimleri yazacaktır.
  3. Danışman tezahürleri bir test sistemi üzerinde test edecektir.
  4. Hazır olduğunda, danışman yapılandırmayı bir kod deposuna gönderecektir.
  5. Tüm değişiklikler, personelinizin bir üyesi veya birincisi ile kesinlikle bir ilişkisi olmayan ve onlarla iletişim kurma yolu olmayan başka bir danışman tarafından incelenir .
  6. Değişiklikler kapatıldıktan sonra, siz veya personelinizin bir üyesi tarafından sunucuya uygulanır. Orijinal danışmanın hiçbir sisteminize erişimi olmamalıdır .

Açıkça görüldüğü gibi, bu çok beceriksiz ve verimsiz bir süreçtir, ancak güvenilir olmayan bir kişiden işi kabul etmekte ısrar ediyorsanız, bu işleri halletmenin bir yoludur.

Önerdiğim gibi, bilinen, güvenilir bir kişiyi işe almaktan daha iyi olursunuz.

EEAA
kaynak
Neden olmasın? Uzaktan çalışıyorum, yaklaşık +300 özel sunucuyu yönetiyorum, bir saat içinde istersem her şeyi yok edebilirim. Ama tabii ki kovulsam bile bunu yapmam. Yedekleme yapmaktan sorumluyum, en yüksek ayrıcalıklara sahibim (sadece ben değil, çiftimiz) ve her zaman kötü niyetli olabiliriz. Yapmamamızın nedeni ahlaki ve etik. Şirket ve çalışanları ve genel olarak işimizi seviyoruz. Buradaki en önemli şey birisine güvenmek ve bu iş için ahlaki bir kişi bulmak.
kaçak
@fugitive Farklı bir durumdan bahsediyorsunuz. Danışmanlık yaptığınız şirket tarafından güvendiğinizi düşünüyorum, aksi takdirde size sahip olduğunuz izinleri vermezlerdi. OP durumunda, bu danışmana güvenmedikleri açıktır, bu yüzden önemli olan herhangi bir sistemde bu kişiye izin vermemeyi tavsiye ettim.
EEAA
Güven kazanılmalıdır. :)
kaçak
10

Herhangi bir malign aktiviteye karşı korunabilmemiz için bu tür bir iş için uzaktan danışman sağlamanın en iyi yolu nedir?

Yasal açıdan: önceden gerekli özen ve sözleşmenin ihlali için kesin cezalar.

Sağlanan özgeçmişi kontrol etmeyi, eğitim transkriptlerini ve sertifika numaralarını sormayı, referanslarını kontrol edip aramayı, röportajı, belki de arka plan kontrolü veya güvenlik taraması vb.

Sonra havuç uygulayın : adil değer ödeyin, çekici işler, harika meslektaşlar, iyi çalışma koşulları ve faydalar vb. Sunun ( fıstık öderseniz maymun alırsınız. )

Ve sopa : iş / hizmet sözleşmenizin şartlarını ihlal ederseniz, avukatlarımızı size hasta edeceğiz ve sizi iflas ettireceğiz!

Ne yazık ki sınırlar ve zaman dilimleri arasında yukarıdakilerin her ikisi de giderek zorlaşmaktadır.

Birini işe almaya karar verdiğinizde:

  • açık yönergeler ve politikalar, insanlar ne yapmaları ve yapmamaları gerektiğinin farkında olmalıdır.
  • minimal erişim ilkesi geçerlidir, insanların (yanlışlıkla veya bilerek) yapmamaları gereken şeyleri yapmalarını zorlaştırır. Tipik sistem yöneticisi için bu genellikle tam erişim anlamına gelir, ancak örneğin bir güvenlik denetçisinin tam yönetici erişimine ihtiyacı yoktur, ancak varolan yöneticilerin adına raporunu hazırlaması için gereken bilgileri toplayan bir komut dosyası çalıştırmasını isteyebilir. Böyle bir komut dosyası önceden kolayca kontrol edilebilir.
  • güven, ancak doğrulayın. Mevcut personelin yeni bir birleştiricinin çalışmasını kontrol etmesini ve her zaman olduğu gibi denetim bilgilerini toplamasını sağlamanız yeterlidir.
  • vs vs.

Bu soru, müşterilerimden benim için uzaktan erişim sağlamak için genellikle ne yapmamı istediğimi detaylandırıyor, bu da sizin için bir başlangıç ​​noktası olabilir.

HBruijn
kaynak
3
"Fıstık öderseniz maymun alırsınız" Veya filler. Düşünmeye gelmesine rağmen, bunun maymunlardan daha iyi veya daha kötü olup olmadığından emin değilim.
CVn
Eklemek gerekirse, diğer taraf farklı bir ülkedeyse cevabınızın "sopa" kısmının uygulanması daha zor olabilir. Bir şeyler ters gittiğinde ne gibi imkanlara sahip olduğunuzu görmek için önce bilgili / deneyimli bir avukata danışmalısınız.
user121391
Ayrıca, bir olaydan sonra icra muhtemelen ilk etapta güvenebileceğiniz bir partiyle çalışmaktan daha fazla berbattır. Aynı şekilde, otomatik olarak eğilimli olamayacağınız tamamen güvenebileceğiniz insanlar ve içgüdüsel olarak muhtemelen güvenmemeniz gereken kişilere yöneldiğiniz insanlar vardır.
Craig
7

Kendinizi korumanın aklıma gelen, bahsetmediğim sistemik bir yöntemi var.

Linux örneklerinizi sanallaştırma hipervizöründe (VMware, Xenserver, Hyper-V vb.) VM'ler olarak barındırın.

Uzaktan yöneticiye hipervizöre yönetici erişimi VERMEYİN. Uzak yönetici yalnızca sanal makinelerin kendilerine kök erişimi elde eder.

DO Hipervizör tabanlı bir yedekleme sistemi uygulayın (Unitrends, Veeam, vSphere Data Protection, vb.)

Her Linux VM'sinin günde en az bir anlık görüntüsünü YAPIN, gerekli gördüğünüz zamanda geriye gidin.

Uzak yöneticiye yedekleme havuzlarına yazma erişimi VERMEYİN.

Bu şeyleri yaparsanız, uzak yöneticinin üzerinde denetimi olmayan her Linux örneğinin yedek anlık görüntülerine sahip olursunuz. Uzak yönetici, kasıtlı veya yanlışlıkla olsun, hinky bir şey yaparsa, olanları değerlendirmek ve muhtemelen temiz bir duruma geri dönmek için hinkeness gerçekleşmeden önce her zaman bir yedek monte edebilirsiniz.

Bu, saldırganın kök erişimine sahip olduğu bir sanal makineden potansiyel olarak monte edilebilen bir hipervizör yan kanal saldırısına karşı kanıt olmayacaktır.

Yedekleriniz zaman içinde yeterince ileri gitmezse, bu sizi korumaz.

Hipervizörünüzün ve yedekleme altyapınızın kontrolünü elinde bulunduran kişiye iyice güvenmeniz gerekir.

Bunu bulutta (AWS, Azure vb.) Yapıyorsanız, uygulama ayrıntıları farklı olacaktır, ancak genel konsept aynı olacaktır.

Özünde, sorumlulukları yalnızca güvendiğiniz kişileri işe almanın yanı sıra, birbirleriyle iş ortağı olmayan taraflar arasında bölüştürün.

Craig
kaynak
1
Tüm bunları yaptıktan sonra, zaten sistem yöneticisiniz ve uzak bir peygamber veya PFY tutuyorsunuz.
Criggie
3
Tamamen değil. Sadece hipervizörü ve yedekleri yönetiyorsunuz. Kuşkusuz ki hiçbir şey değil. Ancak, aynı beceri seti veya idari yük de olması gerekmez. Muhtemelen sanallaştırma yapıyorsanız (biz), farklı VM'lerde zaten olanlardan sorumlu olan farklı bir kişi veya insanlara sahip olmanızdır.
Craig
1
Her ne kadar genel fikir iyi olsa da, kötülüğe karşı değil, sadece yetersizlik / hatalara (üretim veritabanını silme vb.) Karşı yardımcı olur (her değişikliği her gün kontrol edip değişikliklerin içeriğini, aslında günlük tam bir denetimi karşılaştırmazsanız). Ayrıca, hasar teknik meselelerle ilgili olmayabilir, örneğin sifonlanan müşteri verileri veya ticari sırlar, yalnızca reaktif olduğu için bu şekilde içerilemez.
user121391
@ user121391: Özellikle veri dışa aktarma sorunu konusunda gerçekten katılmıyorum. Veri alındıktan sonra tamamen sizin kontrolünüz dışındadır.
Craig
-1

Ona kendi kullanıcı hesabını ver. Sonra tam olarak neye erişmesi gerektiğini öğrenin ve sadece bu erişimi verin, ancak başka bir şey vermeyin. Örneğin, bir Apache web sunucusunu yeniden yapılandırması gerekiyorsa, ona bir ApL yapılandırma dosyalarına yazma erişimi vermek için bir ACL kullanın sudove Apache hizmetini yeniden başlatmasına izin verecek şekilde yapılandırın , ancak kök olarak başka komutları yürütmedi. Her zaman olduğu gibi, ona erişim verdiğiniz her şeyin yedeklerini tutun (bu durumda Apache yapılandırma dosyalarınız).

Micheal Johnson
kaynak
3
Kök olarak çalışan bir Apache'yi yapılandırma ve yeniden başlatma iznine sahip olmak, temel olarak kök ayrıcalıkları verir. Apache işlemi tarafından rastgele bir ikili program yürütmek, örneğin boru günlükleri için yeterince kolaydır. Apache'yi root olmayan olarak çalışabilmesi ve yine de ayrıcalıklı bağlantı noktalarına bağlanabilmesi için daha iyi ayarlayın. Bu durumda geçmişte bunu yaptım .
MvG
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.