सवाल लिनक्स: रूट के बिना उत्पादक sysadmins (बौद्धिक संपदा सुरक्षित)?


क्या उसे पूर्ण रूट पहुंच दिए बिना अनुभवी लिनक्स सिडमिन उत्पादक बनाने का कोई तरीका है?

यह सवाल बौद्धिक संपदा (आईपी) की सुरक्षा के परिप्रेक्ष्य से आता है, जो मेरे मामले में, पूरी तरह से कोड और / या कॉन्फ़िगरेशन फाइल है (यानी छोटी डिजिटल फाइलें जिन्हें आसानी से कॉपी किया जाता है)। हमारे गुप्त सॉस ने हमें हमारे छोटे आकार के सुझाव से अधिक सफल बना दिया है। इसी तरह, हम हैं दूध का जला छाछ भी फूँक - फूँककर पीता है कुछ पूर्व बेईमान कर्मचारियों (sysadmins नहीं) से जिन्होंने आईपी चोरी करने की कोशिश की। शीर्ष प्रबंधन की स्थिति मूल रूप से है, "हम लोगों पर भरोसा करते हैं, लेकिन स्व-हित से बाहर, किसी भी व्यक्ति को अपनी नौकरी करने की पूरी आवश्यकता के मुकाबले ज्यादा पहुंच देने का जोखिम नहीं उठा सकते हैं।"

पर डेवलपर पक्ष, यह वर्कफ़्लोज़ और पहुंच स्तरों को विभाजित करने के लिए अपेक्षाकृत आसान है जैसे कि लोग उत्पादक हो सकते हैं लेकिन केवल उन्हीं को देखते हैं जिन्हें उन्हें देखने की आवश्यकता है। केवल शीर्ष लोगों (वास्तविक कंपनी मालिकों) में सभी अवयवों को गठबंधन करने और विशेष सॉस बनाने की क्षमता है।

लेकिन मैं लिनक्स व्यवस्थापक पक्ष पर इस आईपी गोपनीयता को बनाए रखने के लिए एक अच्छे तरीके से नहीं आ पाऊंगा। हम कोड और संवेदनशील टेक्स्ट फाइलों के लिए जीपीजी का व्यापक उपयोग करते हैं ... लेकिन एक व्यवस्थापक को रोकने के लिए क्या करना है (उदाहरण के लिए) किसी उपयोगकर्ता को su'ing और उनके tmux या GNU स्क्रीन सत्र पर रोकना और यह देखना कि वे क्या कर रहे हैं?

(हमारे पास इंटरनेट एक्सेस भी हर जगह अक्षम है जो संभावित रूप से संवेदनशील जानकारी के संपर्क में आ सकता है। लेकिन, कुछ भी सही नहीं है, और नेटवर्क व्यवस्थापक पक्ष पर चालाक sysadmins या गलतियों के लिए छेद हो सकता है। या यहां तक ​​कि पुराने पुराने यूएसबी भी हैं। पाठ्यक्रम में कई अन्य उपाय हैं, लेकिन वे इस प्रश्न के दायरे से बाहर हैं।)

सबसे अच्छा मैं साथ आ सकता हूं मूल रूप से वैयक्तिकृत खातों का उपयोग कर रहा हूं sudo, जैसा कि वर्णन किया गया है के समान रूट के रूप में काम कर रहे एकाधिक लिनक्स sysadmins। विशेष रूप से: कंपनी के मालिकों को छोड़कर कोई भी वास्तव में प्रत्यक्ष रूट पहुंच नहीं लेगा। अन्य प्रशासकों के पास एक व्यक्तिगत खाता और क्षमता होगी sudo जड़ में इसके अलावा, रिमोट लॉगिंग स्थापित की जाएगी, और लॉग केवल एक सर्वर पर जायेंगे, केवल कंपनी के मालिक ही पहुंच सकते हैं। लॉगिंग बंद करने से कुछ प्रकार के अलर्ट बंद हो जाएंगे।

एक चालाक sysadmin शायद इस योजना में अभी भी कुछ छेद मिल सकता है। और वह एक तरफ, यह अभी भी है प्रतिक्रियाशील बजाय सक्रिय। हमारे आईपी के साथ समस्या ऐसी है कि प्रतियोगियों इसका बहुत जल्दी उपयोग कर सकते हैं, और बहुत कम क्रम में बहुत नुकसान पहुंचा सकते हैं।

तो अभी भी एक तंत्र होगा जो व्यवस्थापक को सीमित कर सकता है। लेकिन मैं मानता हूं कि यह एक नाजुक संतुलन है (विशेष रूप से समस्या निवारण के प्रकाश में और उत्पादन समस्याओं को ठीक करने के लिए जिन्हें हल करने की आवश्यकता है अभी)।

मैं मदद नहीं कर सकता लेकिन आश्चर्यचकित हूं कि बहुत संवेदनशील डेटा वाले अन्य संगठन इस मुद्दे का प्रबंधन कैसे करते हैं? उदाहरण के लिए, सैन्य sysadmins: गोपनीय जानकारी देखने में सक्षम होने के बिना वे सर्वर और डेटा का प्रबंधन कैसे करते हैं?

संपादित करें: प्रारंभिक पोस्टिंग में, मेरा मतलब है कि सतह पर शुरू होने वाली "भर्ती प्रथाओं" टिप्पणियों को पूर्ववत रूप से संबोधित करना है। एक, यह एक माना जाता है तकनीकी सवाल, और भर्ती प्रथाओं आईएमओ अधिक दिशा में हैं सामाजिक प्रशन। लेकिन, दो, मैं यह कहूंगा: मेरा मानना ​​है कि हम सबकुछ करते हैं जो लोगों को भर्ती के लिए उचित है: साक्षात्कार विभिन्न फर्म में लोग; पृष्ठभूमि और संदर्भ जांच; सभी कर्मचारी कई कानूनी दस्तावेजों पर हस्ताक्षर करते हैं, जिनमें से एक कहते हैं कि उन्होंने हमारी पुस्तिका को पढ़ और समझ लिया है जो आईपी चिंताओं को विस्तार से बताता है। अब, यह इस प्रश्न / साइट के दायरे से बाहर है, लेकिन अगर कोई "सही" भर्ती प्रथाओं का प्रस्ताव दे सकता है जो 100% बुरे अभिनेताओं को फ़िल्टर करता है, तो मैं सभी कान हूं। तथ्य हैं: (1) मुझे विश्वास नहीं है कि ऐसी सही भर्ती प्रक्रिया है; (2) लोग बदलते हैं - आज का परी कल का शैतान हो सकता है; (3) कोशिश की गई कोड चोरी इस उद्योग में कुछ हद तक नियमित प्रतीत होती है।


64
2018-02-01 18:20


मूल


पहली बात जो आपके अंतिम प्रश्न को पढ़ने के दौरान दिमाग में आई ... स्नोडन। - Hrvoje Špoljar
आप उचित SELinux नीतियों के साथ दूर हो सकते हैं, लेकिन यह लागू करने के लिए काफी महंगा होगा। दिन के अंत में, sysadmins जरूर अपनी नौकरी करने के लिए सिस्टम और उस पर फाइलों तक कुछ पहुंच है। आपकी समस्या तकनीकी नहीं है, यह भर्ती प्रक्रिया में है। - Michael Hampton♦
सेना सुरक्षा मंजूरी का उपयोग करती है और दो व्यक्ति अखंडता। फिर भी, कभी-कभी उल्लंघन होते हैं। की संभावना दोनों घृणास्पद योजना वाले लोग बहुत कम हैं। - Steve
लोगों की समस्या की तरह यह गंध आती है क्योंकि यह लोगों की समस्या है। - Sirex
यही एनडीए के लिए है। - Michael Martinez


जवाब:


आप किस बारे में बात कर रहे हैं उसे "एविल सिसाडमिन" जोखिम के रूप में जाना जाता है। इसका लंबा और छोटा यह है:

  • एक sysadmin वह व्यक्ति है जिसने विशेषाधिकारों को बढ़ाया है
  • तकनीकी रूप से कुशल, एक स्तर पर जो उन्हें एक अच्छा 'हैकर' बना देगा।
  • असंगत परिदृश्यों में सिस्टम के साथ बातचीत।

इन चीजों का संयोजन दुर्भावनापूर्ण कार्रवाई को रोकने के लिए अनिवार्य रूप से असंभव बनाता है। यहां तक ​​कि ऑडिटिंग भी मुश्किल हो जाती है, क्योंकि आपके पास तुलना करने के लिए कोई 'सामान्य' नहीं है। (और स्पष्ट रूप से - एक टूटी हुई प्रणाली भी ऑडिटिंग तोड़ सकती है)।

कमजोर कदमों का गुच्छा है:

  • विशेषाधिकार अलगाव - आप रूट से लड़के को रोकने से नहीं रोक सकते हैं कुछ भी सिस्टम पर लेकिन आप नेटवर्किंग के लिए जिम्मेदार एक टीम बना सकते हैं, और एक और टीम 'ऑपरेटिंग सिस्टम' (या यूनिक्स / विंडोज अलग से) के लिए ज़िम्मेदार है।
  • एक अलग टीम को किट तक भौतिक पहुंच सीमित करें, जिन्हें व्यवस्थापक खाते नहीं मिलते हैं ... लेकिन सभी 'हाथों' का ख्याल रखना।
  • 'डेस्कटॉप' और 'सर्वर' ज़िम्मेदारी अलग करें। डेटा को हटाने को रोकने के लिए डेस्कटॉप को कॉन्फ़िगर करें। डेस्कटॉप व्यवस्थापक के पास संवेदनशील तक पहुंचने की कोई क्षमता नहीं है, सर्वर व्यवस्थापक इसे चुरा सकते हैं, लेकिन इसे इमारत से बाहर निकालने के लिए हुप्स से कूदना है।
  • एक प्रतिबंधित पहुंच प्रणाली के लिए लेखा परीक्षा - syslog और घटना स्तर की लेखा परीक्षा, एक अपेक्षाकृत छेड़छाड़ प्रतिरोधी प्रणाली के लिए कि उन्हें विशेषाधिकार प्राप्त पहुंच नहीं है। लेकिन इसे इकट्ठा करना पर्याप्त नहीं है, आपको इसकी निगरानी करने की आवश्यकता है - और स्पष्ट रूप से, 'चोरी' जानकारी के तरीकों का एक समूह है जो ऑडिट रडार पर दिखाई नहीं दे सकता है। (पोकर बनाम गेमकीपर)
  • 'आराम पर' एन्क्रिप्शन लागू करें, इसलिए डेटा को 'स्पष्ट में' संग्रहीत नहीं किया जाता है, और इसके लिए एक लाइव सिस्टम की आवश्यकता होती है। इसका अर्थ यह है कि भौतिक पहुंच वाले लोग ऐसे सिस्टम तक नहीं पहुंच सकते हैं जिस पर सक्रिय रूप से निगरानी नहीं की जा रही है, और यह कि 'असंगत' परिदृश्य में जहां एक सिसडमिन इस पर काम कर रहा है, डेटा कम खुलासा हुआ है। (उदाहरण के लिए यदि डेटाबेस काम नहीं कर रहा है, तो डेटा शायद पठनीय नहीं है)
  • दो आदमी नियम - यदि आप अपनी उत्पादकता को अपंग करते हुए ठीक हैं, और इसी तरह आपका मनोबल भी है। (गंभीरता से - मैंने इसे देखा है, और काम करने की लगातार स्थिति और देखे जाने से यह बेहद मुश्किल काम करने की स्थिति बनाता है)।
  • अपने sysadmins Vet - विभिन्न रिकॉर्ड चेक देश के आधार पर मौजूद हो सकता है। (आपराधिक रिकॉर्ड की जांच, आप पराक्रम यहां तक ​​कि कुछ मामलों में सुरक्षा मंजूरी के लिए आवेदन कर सकते हैं, जो वीटिंग को ट्रिगर करेगा)
  • अपने sysadmins की देखभाल करें - पूर्ण अंतिम चीज़ जो आप करना चाहते हैं वह एक "भरोसेमंद" व्यक्ति को बताती है कि आप उन पर भरोसा नहीं करते हैं। और आप निश्चित रूप से मनोबल को नुकसान नहीं पहुंचाना चाहते हैं, क्योंकि वह बढ़ती है दुर्भावनापूर्ण व्यवहार का मौका (या 'काफी लापरवाही नहीं, लेकिन सतर्कता में फिसल रहा है')। लेकिन जिम्मेदारी के साथ ही कौशल सेट के अनुसार भुगतान करें। और 'परक्स' पर विचार करें - जो कि वेतन से सस्ता है, लेकिन शायद अधिक मूल्यवान है। सप्ताह में एक बार मुफ्त कॉफी, या पिज्जा की तरह।
  • और आप इसे रोकने के लिए अनुबंध की शर्तों को भी आजमा सकते हैं और लागू कर सकते हैं, लेकिन उपर्युक्त से सावधान रहें।

लेकिन मूल रूप से - आपको यह स्वीकार करने की आवश्यकता है कि यह एक ट्रस्ट चीज है, तकनीकी बात नहीं। इस सही तूफान के परिणामस्वरूप, आपके sysadmins हमेशा आपके लिए संभावित रूप से खतरनाक होंगे।


19
2018-02-02 10:04



मैं कभी-कभी sysadmin टोपी पहनता हूं। मुझे शक्तिशाली उपकरण रखने के लिए जरूरी पाया गया है जहां मैं उन पर जा सकता हूं, जिनमें से कुछ अपने डिज़ाइन किए गए उद्देश्य के रूप में सिस्टम एक्सेस कंट्रोल को बाधित करते हैं (यदि कोई व्यक्ति पाठ्यक्रम के वर्कस्टेशन से सभी को लॉक करने का प्रबंधन करता है)। उनके ऑपरेशन की प्रकृति के रूप में, ऑडिटिंग कमजोर या अप्रभावी है। - joshudson
हाँ। सभी कारणों से तालाब आपके घर में वैध रूप से तोड़ सकते हैं, sysadmins को नेटवर्क में तोड़ने की आवश्यकता हो सकती है। - Sobrique
@ सोब्रीक: ऐसा कुछ है जो मुझे अभी भी समझ में नहीं आता है: क्यों हम नकली sysadmins के बारे में बहुत सारे डेटा चुरा रहे हैं और बदनाम नौकरियों के बारे में नहीं (वे सबकुछ उस समय कर सकते थे जब सब कुछ कागज पर था)। - user2284570
वॉल्यूम - हार्डकॉपी के टेराबाइट्स बड़े हैं। और नुकसान। एक प्रणाली को साबित करना सचमुच एक कंपनी को तोड़ सकता है। - Sobrique


सबकुछ अब तक कहा गया है कि यहां अच्छी चीजें हैं लेकिन एक 'आसान' गैर तकनीकी तरीका है जो एक दुष्ट sys व्यवस्थापक को अस्वीकार करने में मदद करता है - चार आंखों सिद्धांत जो मूल रूप से आवश्यक है कि किसी भी उन्नत पहुंच के लिए दो sysadmins मौजूद हों।

संपादित करें: टिप्पणियों में मैंने जो दो सबसे बड़ी चीजें देखी हैं, वे लागत और जुड़ाव की संभावना पर चर्चा कर रहे हैं। उन दोनों मुद्दों से बचने के लिए मैंने जिन सबसे बड़े तरीकों से विचार किया है उनमें से एक है एक प्रबंधित सेवा कंपनी के उपयोग के साथ ही केवल किए गए कार्यों के सत्यापन के लिए उपयोग किया जाता है। ठीक से किया गया तकनीक तकनीक एक दूसरे को नहीं पता होगा। तकनीकी शक्ति को मानते हुए कि एक एमएसपी के पास होना चाहिए, जो कि किए गए कार्यों का संकेत बंद करना आसान होगा .. शायद कुछ हद तक हां / नहीं जितना सरल हो।


51
2018-02-01 19:52



@ साइरेक्स: हाँ, यह सुरक्षा के साथ समस्या है - यह हमेशा लागत है। - sleske
नहीं, मैंने काफी छोटे (100-1000 व्यक्ति) संगठनों में काम किया है जो वास्तव में ऐसा करते हैं। उन्होंने अभी स्वीकार किया है कि उनकी प्रक्रियाएं सभी सिसडमिन गतिविधि लागत को चार से दस गुना अधिक धन के रूप में बनाती हैं, अन्यथा यह भुगतान करती है। - MadHatter
यह एकमात्र असली जवाब है। हमारी किट कुछ सुरक्षित जगहों के भीतर बैठती है और (अन्य चरणों के साथ) हम इस दृष्टिकोण का उपयोग यह सुनिश्चित करने के लिए करते हैं कि कोई भी व्यक्ति ऊंचा टर्मिनल तक नहीं पहुंच सके। काम करने के लिए एक विस्तृत अनुरोध उठाया गया है, बहुत से लोग इस पर हस्ताक्षर करते हैं (50+, आह), तो दो व्यवस्थापक मिलकर मिलते हैं और परिवर्तन करते हैं। यह जोखिम को कम करता है (और मूर्खतापूर्ण गलतियों)। यह कुछ महंगा करने के लिए महंगा और एक बड़ा दर्द है, लेकिन यह सुरक्षा की कीमत है। पुन: 50+ हस्ताक्षरकर्ता, जिसमें नेटवर्क टीम, डीसी टीम, प्रोजेक्ट मैनेजर्स, सुरक्षा, भंडारण, कलम परीक्षक, सॉफ्टवेयर विक्रेता इत्यादि शामिल हैं। - Basic
आप शायद किराए पर लेने के लिए संघर्ष करेंगे, हाँ। यह मेरे लिए एक त्वरित शो स्टॉपर होगा क्योंकि मुझे वास्तव में चीजें करने की इच्छा है और यह मेरे काम के आनंद को अपंग करेगा। - Sirex
ध्यान दें कि बढ़ी हुई लागत प्रत्येक sysadmin कार्रवाई पर लागू नहीं होती है। हालांकि, यह ऊंचा कार्यों दोनों के साथ-साथ उनकी तैयारी दोनों पर भी लागू होता है। IOW, आप यह नहीं कह सकते: "sysadmin सप्ताह में 40 घंटे काम करता है, उनमें से 4 ऊंचा हो जाते हैं, इसलिए लागत में वृद्धि केवल 10% होगी"। प्लस तरफ, इस योजना में सामान्य, ईमानदार गलतियों को भी पकड़ लिया जाता है। वह पैसे बचाता है। - MSalters


अगर लोगों को वास्तव में किसी सिस्टम में व्यवस्थापक पहुंच की आवश्यकता होती है तो उस बॉक्स पर उनकी गतिविधियों को प्रतिबंधित करने के लिए आप बहुत कम कर सकते हैं।

अधिकांश संगठन क्या करते हैं विश्वास करो किन्तु सत्यापित करो - आप लोगों को सिस्टम के कुछ हिस्सों तक पहुंच सकते हैं लेकिन आप नामित व्यवस्थापक खातों का उपयोग करते हैं (उदा। आप उन्हें सीधे पहुंच नहीं देते हैं जड़) और उसके बाद अपनी गतिविधियों को एक लॉग में ऑडिट करें जो वे हस्तक्षेप नहीं कर सकते हैं।

यहां एक संतुलित कार्य है; आपको अपने सिस्टम की रक्षा करने की आवश्यकता हो सकती है लेकिन आपको लोगों को अपनी नौकरियां करने पर भरोसा करने की आवश्यकता है। अगर कंपनी को पहले एक बेईमान कर्मचारी द्वारा "काटा" था तो यह सुझाव दे सकता है कि प्रथाओं को भर्ती करने वाली कंपनियां किसी भी तरह से खराब होती हैं, और उन प्रथाओं को संभावित रूप से "शीर्ष प्रबंधकों" द्वारा बनाया गया था। ट्रस्ट घर पर शुरू होता है; वे अपने भर्ती विकल्पों को ठीक करने के लिए क्या कर रहे हैं?


27
2018-02-01 19:18



यह एक महान अवलोकन है - अच्छी लेखा परीक्षा लोगों को अपना काम पूरा करने देती है फिर भी उनके कार्यों के लिए उत्तरदायी रहती है। - Steve Bonds
ऑडिट और सिसलॉग का उचित उपयोग भी एक लंबा रास्ता तय कर सकता है। अजीब या स्पष्ट रूप से खराब व्यवहार की तलाश करने के लिए सुरक्षा डेटा के असंख्य से उस डेटा की निगरानी की जा सकती है। - Aaron
लेखा परीक्षा के साथ वास्तविक समस्या यह है कि बहुत शोर है। कुछ महीनों के बाद जब कुछ हुआ तो छोड़कर कोई भी लॉग देखेगा। - TomTom
मैं टॉमटॉम से सहमत हूं, सुरक्षा लॉग पर शोर अनुपात के संकेत को प्राप्त करना एक मुद्दा है लेकिन आपको अभी भी लॉग इन करने की आवश्यकता है, मुझे लगता है। @ सोब्रीक मैं कहूंगा कि, 'बुराई sysadmins' मुख्य रूप से एक तकनीकी मुद्दे के बजाय एक भर्ती मुद्दा हैं; आपको अंतराल के दोनों तरफ बंद करने की ज़रूरत है, इसलिए मुझे दिन में 'सर्वोत्तम अभ्यास' की आवश्यकता होगी और भर्ती प्रक्रियाओं में सुधार होगा, सच गुप्त सॉस सामान के लिए '4 आंखें' पर विचार करें, जैसे टिम ने संकेत दिया है, साथ ही साथ सिफ्ट लॉग - Rob Moir
थोड़ा सा, लेकिन 'नौकरी चक्र' पर ध्यान में रखना एक अच्छा अच्छा विश्वास अभिनेता दुर्भावनापूर्ण हो सकता है। यह भर्ती प्रथाओं की तुलना में वंचित और मनोबल के बारे में अधिक है। चीजें जो किसी को एक अच्छा sysadmin बनाती है उन्हें भी एक अच्छा हैकर बना देगा। तो शायद उस बिंदु पर - माध्यमिक sysadmins भर्ती आगे रास्ता है? - Sobrique


अपने आप को एक पागल तकनीकी दिमाग में डालने के बिना कोशिश करने के लिए और एक शक्ति के बिना एक sysadmin शक्ति देने के लिए एक रास्ता के साथ आना (इसकी संभावना संभव है, लेकिन आखिरकार किसी तरह से त्रुटिपूर्ण हो जाएगा)।

एक व्यवसाय अभ्यास दृष्टिकोण से सरल समाधान का एक सेट है। सस्ता समाधान नहीं है, लेकिन सरल है।

आपने उल्लेख किया है कि आप जिन आईपी के बारे में चिंतित हैं, वे विभाजित हैं और केवल शीर्ष पर लोगों को देखने की शक्ति है। यह अनिवार्य रूप से आपका जवाब है। आपके पास एकाधिक व्यवस्थापक होना चाहिए, और उनमें से कोई भी पूरी तस्वीर को एक साथ रखने के लिए पर्याप्त सिस्टम पर व्यवस्थापक होना चाहिए। यदि कोई व्यवस्थापक बीमार है या कार दुर्घटना या कुछ में है, तो आपको निश्चित रूप से प्रत्येक टुकड़े के लिए कम से कम 2 या 3 व्यवस्थापक की आवश्यकता होगी। शायद उन्हें भी परेशान कर सकते हैं। कहें कि आपके पास 4 व्यवस्थापक हैं, और जानकारी के 8 टुकड़े हैं। व्यवस्थापक 1 उन सिस्टमों तक पहुंच सकता है जिनमें टुकड़ा 1 और 2 है, व्यवस्थापक 2 टुकड़े 2 और 3 तक पहुंच सकते हैं, व्यवस्थापक 3 3 और 4 तक पहुंच सकता है, और व्यवस्थापक 4 4 और 1 तक पहुंच सकता है। प्रत्येक सिस्टम में बैकअप व्यवस्थापक होता है, लेकिन नहीं व्यवस्थापक पूरी तस्वीर समझौता करने में सक्षम है।

सेना का उपयोग करने वाली एक तकनीक भी चलती डेटा की सीमा है। एक संवेदनशील क्षेत्र में केवल एक ही प्रणाली हो सकती है जो डिस्क को जलाने में सक्षम है, या यूएसबी फ्लैश ड्राइव का उपयोग कर, अन्य सभी सिस्टम प्रतिबंधित हैं। और उस प्रणाली का उपयोग करने की क्षमता बेहद सीमित है और किसी भी चीज पर किसी भी डेटा को रखने की अनुमति देने से पहले उच्च अप्स द्वारा विशिष्ट दस्तावेज अनुमोदन की आवश्यकता होती है जो सूचना स्पिलेज का कारण बन सकती है। एक ही टोकन के साथ, आप सुनिश्चित करते हैं कि विभिन्न सिस्टम के बीच नेटवर्क यातायात हार्डवेयर फ़ायरवॉल द्वारा सीमित है। आपके नेटवर्क प्रशासक जो अग्नि दीवारों को नियंत्रित करते हैं, उनके पास सिस्टम की कोई पहुंच नहीं है, इसलिए वे विशेष रूप से जानकारी तक पहुंच प्राप्त नहीं कर सकते हैं, और आपके सर्वर / वर्कस्टेशन व्यवस्थापक यह सुनिश्चित करते हैं कि सिस्टम से और उसके सभी डेटा को एन्क्रिप्ट करने के लिए कॉन्फ़िगर किया गया है, इसलिए कि आपके नेटवर्क व्यवस्थापक नेटवर्क को टैप नहीं कर सकते हैं और डेटा तक पहुंच प्राप्त कर सकते हैं।

सभी लैपटॉप / वर्कस्टेशंस में हार्ड ड्राइव एन्क्रिप्टेड होना चाहिए, और प्रत्येक कर्मचारी को व्यक्तिगत लॉकर होना चाहिए, ताकि रात के अंत में ड्राइव / लैपटॉप को लॉक करने के लिए उन्हें आवश्यक हो ताकि यह सुनिश्चित किया जा सके कि कोई भी देर से / पत्तियों में देर से नहीं पहुंचता है और कुछ तक पहुंच प्राप्त करता है वे नहीं माना जाता है।

प्रत्येक सर्वर को कम से कम अपने लॉक किए गए रैक में होना चाहिए, यदि इसका अपना लॉक रूम नहीं है, ताकि प्रत्येक सर्वर के लिए ज़िम्मेदार प्रशासक केवल उस तक पहुंच सकें, क्योंकि दिन के अंत में भौतिक पहुंच सभी को टंप करता है।

इसके बाद एक ऐसा अभ्यास है जो या तो चोट पहुंचा सकता है / मदद कर सकता है। सीमित अनुबंध यदि आपको लगता है कि आप नई प्रतिभा को आकर्षित करने के लिए पर्याप्त भुगतान कर सकते हैं, तो प्रत्येक व्यवस्थापक को केवल पूर्व निर्धारित निर्धारित समय (आईई 6 महीने, 1 वर्ष, 2 साल) के लिए रखने का विकल्प आपको सीमित करेगा कि किसी के पास कितना समय होगा अपने आईपी के सभी टुकड़ों को एक साथ रखने का प्रयास करने के लिए।

मेरा व्यक्तिगत डिजाइन लाइनों के साथ कुछ होगा ... अपने डेटा को कई टुकड़ों में विभाजित करें, 8 नंबर रखने के लिए कहें, आपके पास 8 गीट सर्वर हैं, जिनमें से प्रत्येक अपने अनावश्यक हार्डवेयर के सेट के साथ है, प्रत्येक द्वारा प्रशासित व्यवस्थापक का एक अलग सेट।

आईपी ​​को छूने वाले सभी वर्कस्टेशंस के लिए एन्क्रिप्टेड हार्ड्रिव। ड्राइव पर एक विशिष्ट "प्रोजेक्ट" निर्देशिका के साथ, जो एकमात्र निर्देशिका उपयोगकर्ताओं को अपनी परियोजनाओं को रखने की अनुमति है। प्रत्येक रात के अंत में उन्हें अपनी परियोजना निर्देशिका को एक सुरक्षित हटाने उपकरण के साथ sanatize करने की आवश्यकता होती है, तो हार्ड ड्राइव हटा दिए जाते हैं और बंद कर दिया (बस सुरक्षित होने के लिए)।

प्रोजेक्ट के प्रत्येक बिट में एक अलग व्यवस्थापक होता है, इसलिए उपयोगकर्ता केवल उनके द्वारा असाइन किए गए वर्कस्टेशन व्यवस्थापक से बातचीत करेगा, यदि उनके प्रोजेक्ट असाइनमेंट में परिवर्तन होता है, तो उनका डेटा मिटा दिया जाता है, उन्हें एक नया व्यवस्थापक असाइन किया जाता है। उनके सिस्टम में जलने की क्षमता नहीं होनी चाहिए और प्राधिकरण के बिना डेटा स्थानांतरित करने के लिए यूएसबी फ्लैश ड्राइव के उपयोग को रोकने के लिए सुरक्षा कार्यक्रम का उपयोग करना चाहिए।

इस से ले लो जो आप करेंगे।


18
2018-02-01 23:28



धन्यवाद, वहां बहुत अच्छी चीजें हैं, और हम बहुत कुछ कर रहे हैं। जबकि मुझे एकाधिक व्यवस्थापक विचार पसंद हैं, हम वास्तव में इसकी आवश्यकता के लिए पर्याप्त नहीं हैं। मैं वास्तव में केवल जरुरत एक व्यवस्थापक, तो अगर मेरे पास चार थे, तो वे आम तौर पर अपने दिमाग से ऊब जाएंगे। हम अपनी इच्छित शीर्ष-स्तरीय प्रतिभा कैसे प्राप्त करते हैं, लेकिन केवल उन्हें एक छोटा-छोटा वर्कलोड प्रदान करते हैं? मुझे डर है कि स्मार्ट लोग जल्दी ऊब जाएंगे और हिरण के चरागाहों पर चले जाएंगे। - Matt
हाँ, यह एक बड़ी समस्या है, और वास्तव में एक सरकारी क्षेत्र भारी से पीड़ित है। जिस स्थान पर मुझे एक व्यवस्थापक के रूप में अपनी शुरुआत मिली, उसे अक्सर "घुमावदार दरवाजा" कहा जाता था। पूरी बात को संभालने में एक मुश्किल समस्या है। सामान्य रूप से सूचना आश्वासन क्रैक करने के लिए एक बहुत कठिन अखरोट है: \ - Gravy
@Matt How do we find the top-tier talent we want, but only give them a teeny-tiny workload? कुछ हद तक, आप उन्हें एक बड़ा परीक्षण / आर एंड डी पर्यावरण, शांत नए खिलौनों तक पहुंच प्रदान करके और उन्हें अपने तकनीकी कौशल के विकास पर अपने कार्यदिवस के महत्वपूर्ण हिस्सों को खर्च करने के लिए प्रोत्साहित करके इसे कम कर सकते हैं। एक प्रभावी 25% वर्कलोड शायद उस बहुत दूर धक्का दे रहा है, लेकिन मैं पूरी तरह चाँद पर एक नौकरी के बारे में सोचूंगा जो 50% वास्तविक काम है और 50% तकनीकी विकास / आर एंड डी (माना जाता है कि भुगतान सामान्य ~ 100% के समान स्तर पर है " वास्तविक काम "नौकरी)। - HopelessN00b


यह एक इमारत के लिए एक प्रबंधक के भर्ती की चुनौती के समान होगा। जेनिटर को सभी चाबियां मिलती हैं, कोई दरवाजा खुल सकता है, लेकिन इसका कारण यह है कि जेनिटर को उन्हें नौकरी करने की ज़रूरत होती है। सिस्टम प्रशासकों के साथ ही। समरूप रूप से कोई इस उम्र की पुरानी समस्या के बारे में सोच सकता है और उन तरीकों को देख सकता है जो विश्वास ऐतिहासिक रूप से दिए जाते हैं।

यद्यपि कोई साफ-सफाई तकनीकी समाधान नहीं है, तथ्य यह है कि कोई भी कारण नहीं होना चाहिए कि हम किसी भी कोशिश नहीं करते हैं, अपूर्ण समाधानों का एकत्रीकरण कुछ हद तक अच्छे परिणाम दे सकता है।

एक मॉडल जहां ट्रस्ट अर्जित किया जाता है:

  • शुरू करने के लिए कम अनुमति दें
  • धीरे-धीरे अनुमतियों को बढ़ाएं
  • एक हनीपॉट रखो और आने वाले दिनों में क्या होता है इसकी निगरानी करें
  • यदि sysadmin इसे दुरुपयोग करने की कोशिश करने के बजाय इसकी रिपोर्ट करता है, तो यह एक अच्छी शुरुआत है

प्रशासनिक शक्तियों के कई स्तरों को लागू करें:

  • स्तर 1: कॉन्फ़िगरेशन फ़ाइलों के निम्न स्तर को संशोधित कर सकते हैं
  • स्तर 2: कॉन्फ़िगरेशन फ़ाइलों के थोड़ा उच्च स्तर को संशोधित कर सकते हैं
  • स्तर 3: कॉन्फ़िगरेशन फ़ाइलों और ओएस सेटिंग्स के थोड़ा उच्च स्तर को संशोधित कर सकते हैं

हमेशा एक ऐसा वातावरण बनाएं जहां एक व्यक्ति द्वारा कुल पहुंच संभव न हो:

  • समूहों में विभाजन प्रणाली
  • क्लस्टर व्यवस्थापक शक्तियों को विभिन्न समूहों को दें
  • न्यूनतम 2 समूह

उच्च स्तरीय कोर परिवर्तन करते समय दो-व्यक्ति नियम का प्रयोग करें:

  • https://en.wikipedia.org/wiki/Two-man_rule
  • कोर परिवर्तनों के लिए क्लस्टर 1 और क्लस्टर 2 से व्यवस्थापक की आवश्यकता है

विश्वास करो और सत्यापित करें:

  • सबकुछ लॉग करें
  • लॉग निगरानी और चेतावनी
  • सुनिश्चित करें कि सभी कार्य अलग-अलग हैं

कागजी कार्रवाई:

  • उन्हें पेपरवर्क पर हस्ताक्षर करने के लिए कानूनी व्यवस्था करने में सक्षम होने के लिए उन्हें सक्षम करने में सक्षम होना चाहिए यदि वे आपको चोट पहुंचाने के लिए अधिक प्रोत्साहन देते हैं तो ऐसा करने के लिए

11
2018-02-02 03:39



न केवल सब कुछ लॉग इन करें, लेकिन कुछ लोगों को उन लॉगों पर नजर रखने और सतर्क करने की ज़रूरत है, आदर्श रूप से ऐसे लोगों के लिए जो मनुष्यों के उपभोग के लिए आसान है। - Aaron


प्रशासनिक पहुंच वाले लोगों के खिलाफ होस्ट सुरक्षित करना बहुत मुश्किल है। जबकि उपकरण की तरह सत्ता के दलाल ऐसा करने का प्रयास करें, लागत कुछ और जो कुछ तोड़ सकती है जोड़ रही है तथा इसे ठीक करने के प्रयासों में बाधाएं जोड़ना। आपकी प्रणाली की उपलब्धता मर्जी जब आप इस तरह कुछ लागू करते हैं तो ड्रॉप करें ताकि चीजों की सुरक्षा की लागत के रूप में अपेक्षा की अपेक्षा की जा सके।

एक और संभावना यह देखने के लिए है कि आपका ऐप क्लाउड प्रदाता या स्थानीय रूप से होस्ट किए गए निजी क्लाउड के माध्यम से डिस्पोजेबल होस्ट पर चला सकता है या नहीं। जब कोई टूट जाता है, तो इसे ठीक करने के लिए व्यवस्थापक में भेजने की बजाय, आप इसे फेंक देते हैं और एक प्रतिस्थापन स्वतः बनाते हैं। इस मॉडल में चलने वाले लोगों को बनाने के लिए आवेदन पक्ष पर बहुत सारे काम की आवश्यकता होगी, लेकिन यह बहुत से परिचालन और सुरक्षा मुद्दों को हल कर सकता है। यदि खराब तरीके से किया जाता है, तो यह कुछ महत्वपूर्ण सुरक्षा समस्याएं पैदा कर सकता है, इसलिए यदि आप उस मार्ग पर जाते हैं तो अनुभवी सहायता प्राप्त करें।


9
2018-02-01 18:36





यह आपकी आधारभूत चर्चा है: https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

आप सुरक्षा इंजीनियरों को अपनी ज़िम्मेदारी विभाजित करते हैं जिनके काम को सिस्टम कॉन्फ़िगरेशन और इंस्टॉल करना है, लेकिन उन्हें उत्पादन में मशीनों के लिए कोई प्रमाण-पत्र या पहुंच नहीं मिलती है। वे आपके लेखापरीक्षा बुनियादी ढांचे को भी चलाते हैं।

आपके पास उत्पादन प्रशासक हैं जो सिस्टम प्राप्त करते हैं लेकिन SELinux नीतियों के सक्रिय होने के बिना मशीन को बूट करने की कुंजी नहीं है। सुरक्षा को डिस्क पर आराम से संग्रहीत संवेदनशील डेटा को डिक्रिप्ट करने के लिए कुंजी नहीं मिलती है जब उन्हें सेवा से खींची गई टूटी हुई मशीन मिलती है।

मजबूत लेखा परीक्षा के साथ केंद्रीकृत प्रमाणीकरण प्रणाली का उपयोग करें मेहराब और इसके क्रिप्टो संचालन का उपयोग करें। कुंजी को पूरी तरह से निजी और अपठनीय बनाने के लिए Yubikey उपकरणों को बाहर रखें।

मशीनों को तोड़ने या ओप और सुरक्षा द्वारा एक साथ संभाला जाता है, और यदि आपको कार्यकारी पर्यवेक्षण की आवश्यकता महसूस होती है।


4
2018-02-03 18:49