सवाल आप पिछले आईटी व्यक्ति से बैकडोर्ड्स की खोज कैसे करते हैं?


हम सभी जानते हैं कि ऐसा होता है। एक कड़वा पुराना आईटी लड़का एक छोड़ देता है पीछे का दरवाजा नए लोगों के साथ मस्ती करने के लिए सिस्टम और नेटवर्क में और कंपनी को दिखाएं कि उसके बिना कितनी बुरी चीजें हैं।

मैंने कभी व्यक्तिगत रूप से इसका अनुभव नहीं किया है। मैंने जो अनुभव किया है वह वह है जिसने छोड़ने से पहले सामान तोड़ दिया और चुरा लिया। मुझे यकीन है कि यह होता है, यद्यपि।

इसलिए, जब एक नेटवर्क लेते हैं जिसे काफी भरोसा नहीं किया जा सकता है, तो यह सुनिश्चित करने के लिए कि क्या सब कुछ सुरक्षित और सुरक्षित है, क्या कदम उठाए जाने चाहिए?


355
2017-08-18 15:04


मूल


+1, मुझे यह सवाल पसंद है। एक नए ग्राहक से निपटने के दौरान यह मेरी सबसे पसंदीदा चीज है, खासकर अगर अंतिम व्यक्ति बुरी शर्तों पर छोड़ देता है। - DanBig
मेरे द्वारा छोड़े गए अधिकांश स्थान, मैं वहां नहीं कह रहा हूं कि "ऐसा न करें" नेटवर्क को नीचे लाने के लिए पर्याप्त है। मुझे दरवाजे वापस जाने की जरूरत नहीं है। - Paul Tomblin
@ पॉल, जो सुझाव देता है कि आपने सही तरीके से दस्तावेज़ नहीं किया है। आइए आशा करते हैं कि नया व्यक्ति अपने काम का वह हिस्सा सही तरीके से करे। - John Gardeniers
@ जॉन, आपके उपयोगकर्ता और सहकर्मी दस्तावेज पढ़ते हैं? मैं उनमें से कुछ कहां प्राप्त कर सकता हूं? - Paul Tomblin
@ पॉल, उपयोगकर्ता - नहीं, उन्हें क्यों चाहिए? सहकर्मियों (मानते हैं कि आप आईटी लोगों का मतलब है) - हाँ। दस्तावेज़ों को पढ़ना एक नया काम शुरू करने में पहला कदम होना चाहिए। - John Gardeniers


जवाब:


यह वास्तव में, वास्तव में, वास्तव में मुश्किल है। इसे एक बहुत ही पूर्ण लेखा परीक्षा की आवश्यकता है। यदि आप बहुत यकीन रखते हैं कि बूढ़े व्यक्ति ने पीछे कुछ छोड़ दिया है, तो उसे उछाल आएगा, या उन्हें फिर से किराए पर लेने की आवश्यकता होगी क्योंकि वे अकेले हैं जो आग लग सकते हैं, तो यह मानने का समय है कि आप को जड़ दिया गया है शत्रुतापूर्ण पार्टी इसका इलाज हैकर्स के एक समूह की तरह आया और सामान चुरा लिया, और आपको अपनी गड़बड़ी के बाद साफ करना होगा। क्योंकि यही वह है।

  • यह सुनिश्चित करने के लिए कि यह एक विशिष्ट इकाई से जुड़ा हुआ है, प्रत्येक सिस्टम पर प्रत्येक खाते को ऑडिट करें।
    • ऐसे खाते जो सिस्टम से जुड़े प्रतीत होते हैं लेकिन कोई भी खाता नहीं ले सकता है, उन्हें अविश्वासित किया जाना चाहिए।
    • जिन खातों को किसी भी चीज़ से जुड़े नहीं हैं उन्हें शुद्ध करने की आवश्यकता है (इसे वैसे भी किया जाना चाहिए, लेकिन यह इस मामले में विशेष रूप से महत्वपूर्ण है)
  • किसी भी और सभी पासवर्ड को बदलें जो वे संभवतः संपर्क में आ सकते हैं।
    • यह उपयोगिता खातों के लिए एक वास्तविक समस्या हो सकती है क्योंकि उन पासवर्डों को चीजों में कड़ी मेहनत की जाती है।
    • अगर वे एक हेल्पडेस्क प्रकार थे जो एंड-यूजर कॉल का जवाब देते हैं, तो मान लीजिए कि उनके पास सहायता करने वाले किसी का पासवर्ड है।
    • अगर उनके पास एंटरप्राइज़ एडमिनिस्ट्रेशन या एक्टिव डायरेक्टरी के लिए डोमेन एडमिनिस्ट्रेशन था, तो मान लें कि उन्होंने छोड़े जाने से पहले पासवर्ड हैश की प्रतिलिपि ली है। इन्हें इतनी तेजी से क्रैक किया जा सकता है कि कंपनी के व्यापक पासवर्ड परिवर्तन को दिनों के भीतर मजबूर होना होगा।
    • अगर उनके पास किसी भी * निक्स बक्से की रूट पहुंच थी तो मान लें कि वे पासवर्ड हैंश के साथ चले गए हैं।
    • सभी कुंजी-कुंजी एसएसएच कुंजी उपयोग की समीक्षा करें ताकि उनकी चाबियाँ शुद्ध हो जाएं, और अगर आप इसमें हों तो निजी कुंजी का खुलासा किया जाए तो ऑडिट करें।
    • अगर उनके पास किसी भी दूरसंचार गियर तक पहुंच है, तो राउटर / स्विच / गेटवे / पीबीएक्स पासवर्ड बदलें। यह वास्तव में शाही दर्द हो सकता है क्योंकि इसमें महत्वपूर्ण आबादी शामिल हो सकती है।
  • पूरी तरह से अपने परिधि सुरक्षा व्यवस्था का लेखा परीक्षा।
    • ज्ञात अधिकृत उपकरणों और बंदरगाहों के लिए सभी फ़ायरवॉल छेद ट्रेस सुनिश्चित करें।
    • सभी रिमोट एक्सेस विधियों (वीपीएन, एसएसएच, ब्लैकबेरी, एक्टिव सिंक, साइट्रिक्स, एसएमटीपी, आईएमएपी, वेबमेल, जो कुछ भी) सुनिश्चित करें, पर कोई अतिरिक्त प्रमाणीकरण नहीं किया गया है, और अनधिकृत पहुंच विधियों के लिए उन्हें पूरी तरह से स्थापित करें।
    • पूरी तरह से नियोजित लोगों को रिमोट वैन लिंक ट्रेस सुनिश्चित करें, और इसे सत्यापित करें। विशेष रूप से वायरलेस कनेक्शन। आप नहीं चाहते हैं कि वे एक कंपनी द्वारा भुगतान सेल-मॉडेम या स्मार्ट फोन के साथ चलना चाहते हैं। यह सुनिश्चित करने के लिए कि उनके पास सही डिवाइस है, ऐसे सभी उपयोगकर्ताओं से संपर्क करें।
  • आंतरिक विशेषाधिकार प्राप्त पहुंच व्यवस्था पूरी तरह से लेखा परीक्षा। ये एसएसएच / वीएनसी / आरडीपी / डीआरएसी / आईएलओ / आईएमपीआई उन सर्वरों तक पहुंच हैं जो सामान्य उपयोगकर्ताओं के पास नहीं हैं, या पेरोल जैसे संवेदनशील सिस्टम तक पहुंच।
  • संपर्क सुनिश्चित करने के लिए सभी बाहरी विक्रेताओं और सेवा प्रदाताओं के साथ काम करें।
    • सुनिश्चित करें कि वे सभी संपर्क और सेवा सूचियों से हटा दिए गए हैं। यह किसी भी प्रस्थान के बाद भी किया जाना चाहिए, लेकिन अब अतिरिक्त महत्वपूर्ण है।
    • सभी संपर्कों को मान्य करें वैध हैं और सही संपर्क जानकारी है, यह उन भूतों को ढूंढना है जिन्हें प्रतिरूपित किया जा सकता है।
  • तर्क बम के लिए शिकार शुरू करें।
    • बुराई के संकेतों के लिए सभी स्वचालन (कार्य शेड्यूलर, क्रॉन जॉब्स, यूपीएस कॉल-आउट सूचियां, या शेड्यूल पर चलने वाली किसी भी चीज़ या घटना-ट्रिगर) की जांच करें। "सब" से मेरा मतलब है। प्रत्येक एकल crontab की जांच करें। अपने निगरानी प्रणाली में प्रत्येक स्वचालित स्वचालित कार्रवाई की जांच करें, जिसमें जांच स्वयं भी शामिल है। प्रत्येक विंडोज़ टास्क शेड्यूलर की जांच करें; यहां तक ​​कि वर्कस्टेशन। जब तक आप एक अत्यधिक संवेदनशील क्षेत्र में सरकार के लिए काम नहीं करते हैं, तब तक आप "सब कुछ" बर्दाश्त नहीं कर पाएंगे, जितना संभव हो उतना कर सकते हैं।
    • यह सुनिश्चित करने के लिए कि वे क्या हो, यह सुनिश्चित करने के लिए प्रत्येक सर्वर पर कुंजी सिस्टम बाइनरी मान्य करें। यह मुश्किल है, खासकर विंडोज़ पर, और एक-ऑफ सिस्टम पर पीछे हटने के लिए लगभग असंभव है।
    • रूटकिट के लिए शिकार शुरू करें। परिभाषा के अनुसार उन्हें खोजना मुश्किल होता है, लेकिन इसके लिए स्कैनर हैं।

कम से कम आसान नहीं है, यहां तक ​​कि दूरस्थ रूप से भी बंद नहीं है। उन सभी की कीमत को न्यायसंगत साबित करना बिना किसी सबूत के सचमुच कठिन हो सकता है कि अब-पूर्व व्यवस्थापक वास्तव में बुरा था। उपरोक्त की संपूर्णता कंपनी की संपत्तियों के साथ भी काम करने योग्य नहीं है, जिसके लिए इस काम में से कुछ करने के लिए सुरक्षा सलाहकारों को भर्ती करने की आवश्यकता होगी।

यदि वास्तविक बुराई का पता चला है, खासकर यदि बुराई किसी प्रकार के सॉफ़्टवेयर में है, तो प्रशिक्षित सुरक्षा पेशेवर समस्या की चौड़ाई निर्धारित करने के लिए सबसे अच्छे हैं। यह वह बिंदु भी है जब आपराधिक मामला बनना शुरू हो सकता है, और आप वास्तव में उन लोगों को चाहते हैं जो इस विश्लेषण को करने के लिए सबूत संभालने में प्रशिक्षित हैं।


लेकिन, वास्तव में, आपको कितना दूर जाना है? यह कहाँ है जोखिम प्रबंधन खेलने के लिए आता है। सरलता से, यह हानि के खिलाफ अपेक्षित जोखिम को संतुलित करने की विधि है। जब हम निर्णय लेते हैं तो Sysadmins ऐसा करते हैं कौन कौन से ऑफ़-साइट स्थान हम बैकअप रखना चाहते हैं; बैंक सुरक्षा जमा बॉक्स बनाम एक क्षेत्र के डेटासेंटर बनाम। यह पता लगाने के लिए कि इस सूची में से कितनी जरूरत है, जोखिम प्रबंधन में एक अभ्यास है।

इस मामले में मूल्यांकन कुछ चीजों से शुरू होगा:

  • प्रस्थान के अपेक्षित कौशल स्तर
  • प्रस्थान की पहुंच
  • उम्मीद है कि बुराई किया गया था
  • किसी भी बुराई के संभावित नुकसान
  • अप्रत्याशित बुराई की रिपोर्टिंग के लिए नियामक आवश्यकताएं पूर्ववत रूप से बुराई पाई गईं। आम तौर पर आपको पूर्व की रिपोर्ट करना पड़ता है, लेकिन बाद में नहीं।

उपरोक्त खरगोश-छेद को गोता लगाने के लिए कितने दूर तक निर्णय इन सवालों के जवाबों पर निर्भर करेगा। नियमित प्रशासन विभागों के लिए जहां बुराई की अपेक्षा बहुत मामूली है, पूर्ण सर्कस की आवश्यकता नहीं है; व्यवस्थापक-स्तरीय पासवर्ड बदलना और किसी बाहरी-बाहरी एसएसएच होस्ट को पुनः-कुंजी करना संभवतः पर्याप्त है। फिर, कॉर्पोरेट जोखिम प्रबंधन सुरक्षा मुद्रा यह निर्धारित करता है।

उन कारणों के लिए जिन्हें कारण के लिए समाप्त कर दिया गया था, या उनके अन्यथा सामान्य प्रस्थान के बाद बुराई उठी, सर्कस की आवश्यकता अधिक हो गई। सबसे बुरी स्थिति परिदृश्य एक पागल बीओएफएच प्रकार है जिसे अधिसूचित किया गया है कि उनकी स्थिति 2 सप्ताह में अनावश्यक हो जाएगी, क्योंकि इससे उन्हें तैयार होने में काफी समय मिल जाता है; इन तरह की परिस्थितियों में काइल का उदार पृथक्करण पैकेज का विचार सभी प्रकार की समस्याओं को कम कर सकते हैं। यहां तक ​​कि 4 महीने के वेतन वाले चेक के बाद भी पायरनोइड्स बहुत सारे पापों को माफ कर सकता है। वह चेक शायद उनकी बुराई को खत्म करने के लिए आवश्यक सुरक्षा सलाहकारों की लागत से कम खर्च करेगी।

लेकिन आखिरकार, यह निर्धारित करने की लागत पर आता है कि क्या बुराई वास्तव में किए जा रहे किसी भी बुराई की संभावित लागत के विरुद्ध की गई थी।


329
2017-08-18 15:40



+1 - ऑडिटिंग सिस्टम बाइनरी के संबंध में कला की स्थिति आज बहुत खराब है। कंप्यूटर फोरेंसिक उपकरण आपको बाइनरी पर हस्ताक्षर सत्यापित करने में मदद कर सकते हैं, लेकिन विभिन्न बाइनरी संस्करणों (विशेष रूप से विंडोज़ पर, प्रत्येक महीने क्या हो रहा है / सभी अपडेट) के प्रसार के साथ एक दृढ़ परिदृश्य के साथ आना मुश्किल है जहां आप 100% बाइनरी सत्यापन। (यदि आप कर सकते हैं तो मैं +10 चाहता हूं, क्योंकि आपने पूरी समस्या को बहुत अच्छी तरह से समझाया है। यह एक कठिन समस्या है, खासकर यदि विभागीकरण और नौकरी कर्तव्यों को अलग नहीं किया गया था।) - Evan Anderson
+++ पुन: सेवा खाता पासवर्ड बदलना। इसे किसी भी तरह से पूरी तरह से दस्तावेज किया जाना चाहिए, इसलिए यदि आपको अपनी नौकरी करने की उम्मीद की जा रही है तो यह प्रक्रिया दोगुनी महत्वपूर्ण है। - Kara Marfia
@ जो एच .: उत्पादन बुनियादी ढांचे से स्वतंत्र रूप से कहा गया बैकअप की सामग्री को सत्यापित करना न भूलें। बैकअप सॉफ्टवेयर trojanized किया जा सकता है। (मेरे ग्राहकों में से एक का तीसरा पक्ष w / उनके LOB एप्लिकेशन की एक स्वतंत्र स्थापना थी, जिसे बैकअप को पुनर्स्थापित करने के लिए अनुबंधित किया गया था, उन्हें ऐप में लोड किया गया था, और सत्यापित किया गया था कि उत्पादन प्रणाली द्वारा उत्पन्न बैकअप से उत्पन्न वित्तीय विवरण। सुंदर जंगली ...) - Evan Anderson
बहुत बढ़िया जवाब। साथ ही, सेवा प्रदाताओं और विक्रेताओं के लिए एक अधिकृत बिंदु के रूप में विलंबित कर्मचारी को हटाने के लिए मत भूलना। डोमेन रजिस्ट्रार। इंटरनेट सेवा प्रदाता। दूरसंचार कंपनियों। इन सभी बाहरी पार्टियों को यह शब्द प्राप्त करें कि कर्मचारी अब किसी भी बदलाव करने या कंपनी के खातों पर चर्चा करने के लिए अधिकृत नहीं है। - Mox
"उपरोक्त की संपूर्णता कंपनी की संपत्तियों के साथ भी काम करने योग्य नहीं हो सकती है, जिसके लिए इस काम में से कुछ करने के लिए सुरक्षा सलाहकारों को भर्ती करने की आवश्यकता होगी।" - निश्चित रूप से यह हो सकता है इस एक्सपोजर जो समझौता करता है। लेखापरीक्षा के इस स्तर के लिए बेहद कम स्तर की प्रणाली पहुंच की आवश्यकता होती है - और व्यक्तियों द्वारा जानना चीजों को छिपाने के लिए कैसे। - MightyE


मैं कहूंगा कि यह एक संतुलन है कि आपके द्वारा भुगतान किए जाने वाले पैसे के मुकाबले कितनी चिंता है।

बहुत चिंतित:
यदि आप बहुत चिंतित हैं तो आप बाहर और आंतरिक परिप्रेक्ष्य दोनों से सब कुछ का पूरा स्कैन करने के लिए बाहरी सुरक्षा सलाहकार को किराए पर लेना चाहेंगे। यदि यह व्यक्ति विशेष रूप से स्मार्ट था तो आप परेशानी में पड़ सकते हैं, उनके पास ऐसा कुछ हो सकता है जो थोड़ी देर के लिए निष्क्रिय हो। दूसरा विकल्प बस सब कुछ पुनर्निर्माण करना है। यह बहुत अधिक ध्वनिपूर्ण हो सकता है लेकिन आप पर्यावरण को अच्छी तरह से सीखेंगे और आप एक आपदा पुनर्प्राप्ति परियोजना भी करेंगे।

हल्के से चिंतित:
यदि आप केवल हल्के से चिंतित हैं तो आप बस ऐसा करना चाहते हैं:

  • बाहर से एक पोर्ट स्कैन।
  • वायरस / स्पाइवेयर स्कैन। लिनक्स मशीनों के लिए रूटकिट स्कैन।
  • आप जो कुछ भी समझ में नहीं आते हैं उसके लिए फ़ायरवॉल कॉन्फ़िगरेशन देखें।
  • सभी पासवर्ड बदलें और किसी भी अज्ञात खाते की तलाश करें (सुनिश्चित करें कि उन्होंने किसी ऐसे व्यक्ति को सक्रिय नहीं किया है जो अब कंपनी के साथ नहीं है ताकि वे इसका उपयोग कर सकें)।
  • घुसपैठ जांच प्रणाली (आईडीएस) स्थापित करने के लिए यह एक अच्छा समय भी हो सकता है।
  • सामान्य रूप से लॉग से अधिक बारीकी से देखें।

भविष्य के लिए:
जब एक व्यवस्थापक के पत्ते उसे एक अच्छी पार्टी देते हैं तो आगे बढ़ते हैं और फिर जब वह नशे में पड़ता है तो उसे सिर्फ एक सवारी घर प्रदान करता है - फिर उसे निकटतम नदी, मार्श या झील में निपटाना। अधिक गंभीरता से, यह प्रशासकों को उदार पृथक वेतन देने के अच्छे कारणों में से एक है। आप चाहते हैं कि वे जितना संभव हो सके छोड़ने के बारे में ठीक महसूस करें। यहां तक ​​कि अगर उन्हें अच्छा महसूस नहीं करना चाहिए, तो कौन परवाह करता है ?, इसे चूसो और उन्हें खुश कर दें। दिखाओ कि यह तुम्हारी गलती है और नहीं। बेरोजगारी बीमा और पृथक्करण पैकेज के लिए लागत में वृद्धि की लागत उनके द्वारा किए जा सकने वाले नुकसान की तुलना नहीं करती है। यह सब कम से कम प्रतिरोध के मार्ग के बारे में है और जितना संभव हो उतना नाटक बना रहा है।


98
2017-08-18 15:18



जिन उत्तरों में हत्या शामिल नहीं है उन्हें शायद पसंद किया जाएगा :-) - Jason Berg
बीओएफएच सुझाव के लिए +1। - jscott
@ केली: यह हमारा छोटा रहस्य माना जाता था ... - GregD
मृत आदमी स्विच, केली। अगर हम थोड़ी देर के लिए दूर जाते हैं तो हम उन्हें वहां डाल देते हैं :) "हम" से, मेरा मतलब है, हे, वे? - Bill Weiss
+1 - यह एक व्यावहारिक उत्तर है, और मुझे जोखिम / लागत विश्लेषण के आधार पर चर्चा पसंद है (क्योंकि यह वही है)। Sysadmin1138 का जवाब थोड़ा और व्यापक है: "रबड़ सड़क से मिलता है", लेकिन यह आवश्यक रूप से जोखिम / लागत विश्लेषण में नहीं जाता है और तथ्य यह है कि, ज्यादातर समय, आपको कुछ धारणाओं को एक तरफ " दूरस्थ "। (यह गलत निर्णय हो सकता है, लेकिन किसी के पास अनंत समय / पैसा नहीं है।) - Evan Anderson


Teamviewer, LogmeIn, आदि की पसंदों को न भूलें ... मुझे पता है कि यह पहले से ही उल्लेख किया गया था, लेकिन प्रत्येक सर्वर / वर्कस्टेशन के एक सॉफ्टवेयर ऑडिट (वहां से कई ऐप्स) चोट नहीं पहुंचाएंगे, जिसमें एनएमएपी के साथ सबनेट (स्कैन) स्कैन शामिल हैं एनएसई स्क्रिप्ट्स।


19
2017-08-24 22:40





सबसे पहले चीज़ें - ऑफ-साइट स्टोरेज (जैसे टेप, या एचडीडी जिसे आप डिस्कनेक्ट करते हैं और स्टोरेज में डालते हैं) पर सब कुछ का बैकअप लें। इस तरह, अगर कुछ दुर्भावनापूर्ण होता है, तो आप थोड़ा सा पुनर्प्राप्त करने में सक्षम हो सकते हैं।

इसके बाद, अपने फ़ायरवॉल नियमों के माध्यम से कंघी करें। किसी भी संदिग्ध खुले बंदरगाहों को बंद किया जाना चाहिए। यदि कोई पिछला दरवाजा है तो उस तक पहुंच को रोकना एक अच्छी बात होगी।

उपयोगकर्ता खाते - अपने असंतुष्ट उपयोगकर्ता की तलाश करें और सुनिश्चित करें कि जितनी जल्दी हो सके उनकी पहुंच हटा दी गई हो। यदि एसएसएच कुंजी हैं, या / etc / passwd फ़ाइलें, या एलडीएपी प्रविष्टियां, यहां तक ​​कि .htaccess फ़ाइलें भी स्कैन की जानी चाहिए।

अपने महत्वपूर्ण सर्वर पर एप्लिकेशन और सक्रिय श्रवण बंदरगाहों की तलाश करें। सुनिश्चित करें कि उनसे जुड़ी चल रही प्रक्रियाएं समझदार दिखाई देंगी।

आखिरकार एक निर्धारित असंतुष्ट कर्मचारी कुछ भी कर सकता है - आखिरकार, उन्हें सभी आंतरिक प्रणालियों का ज्ञान है। एक उम्मीद करता है कि उनके पास नकारात्मक कार्यवाही न करने की अखंडता है।


18
2017-08-18 15:25



कुछ घटित होने पर बैकअप भी महत्वपूर्ण हो सकता है, और आप अभियोजन पक्ष के साथ जाने का फैसला कर सकते हैं, ताकि आप यह जानना चाहें कि सबूत हैंडलिंग के नियम क्या हैं, और सुनिश्चित करें कि आप इस मामले का पालन करते हैं। - Joe H.
लेकिन यह न भूलें कि आपने जो बैक अप लिया है, उनमें रूट एप्स / कॉन्फ़िगर / डेटा इत्यादि शामिल हो सकते हैं। - Shannon Nelson
यदि आपके पास रूट सिस्टम का बैकअप है, तो आपके पास सबूत हैं। - XTL


बड़े पैमाने पर इसे रोकने के लिए एक अच्छी तरह से चलने वाले बुनियादी ढांचे में उपकरण, निगरानी और नियंत्रण होने जा रहे हैं। इसमें शामिल है:

यदि ये उपकरण ठीक से हैं, तो आपके पास ऑडिट ट्रेल होगा। अन्यथा, आपको एक पूर्ण प्रदर्शन करना होगा प्रवेश परीक्षा

पहला कदम सभी पहुंच का ऑडिट करना और सभी पासवर्ड बदलना होगा। बाहरी पहुंच और संभावित प्रवेश बिंदुओं पर ध्यान केंद्रित करें - यह वह जगह है जहां आपका समय सबसे अच्छा खर्च होता है। यदि बाहरी पदचिह्न उचित नहीं है, तो इसे खत्म करें या इसे कम करें। यह आपको आंतरिक रूप से अधिक जानकारी पर ध्यान केंद्रित करने का समय देगा। सभी आउटबाउंड यातायात के बारे में भी जागरूक रहें, क्योंकि प्रोग्रामेटिक समाधान बाहरी डेटा को बाहरी रूप से स्थानांतरित कर सकते हैं।

आखिरकार, एक सिस्टम और नेटवर्क प्रशासक होने पर सभी चीजों की पूरी पहुंच नहीं होगी। इसके साथ, जिम्मेदारी की एक उच्च डिग्री आता है। इस स्तर की जिम्मेदारी के साथ भर्ती को हल्के ढंग से नहीं लिया जाना चाहिए और शुरुआत से जोखिम को कम करने के लिए कदम उठाए जाने चाहिए। यदि एक पेशेवर को किराए पर लिया जाता है, यहां तक ​​कि बुरी शर्तों को छोड़कर, वे ऐसे कार्य नहीं करेंगे जो गैर-व्यावसायिक या अवैध हों।

सर्वर फॉल्ट पर कई विस्तृत पोस्ट हैं जो सुरक्षा के लिए उचित सिस्टम ऑडिटिंग को कवर करती हैं और साथ ही किसी के समापन के मामले में क्या करना है। यह स्थिति उन लोगों से अद्वितीय नहीं है।


17
2017-08-18 15:31





एक चालाक बीओएफएच निम्न में से कोई भी कर सकता है:

  1. आवधिक कार्यक्रम जो आदेश लेने के लिए एक प्रसिद्ध बंदरगाह पर नेटकैट आउटबाउंड कनेक्शन शुरू करता है। जैसे पोर्ट 80. यदि अच्छी तरह से किया जाता है तो आगे और आगे यातायात में उस बंदरगाह के लिए यातायात की उपस्थिति होगी। तो अगर पोर्ट 80 पर, इसमें HTTP शीर्षलेख होंगे, और पेलोड छवियों में एम्बेडेड भाग होंगे।

  2. एपीरियोडिक कमांड जो फ़ाइलों को निष्पादित करने के लिए विशिष्ट स्थानों में दिखता है। स्थान उपयोगकर्ता कंप्यूटर, नेटवर्क कंप्यूटर, डेटाबेस में अतिरिक्त तालिकाओं, अस्थायी स्पूल फ़ाइल निर्देशिकाओं पर हो सकते हैं।

  3. कार्यक्रम जो जांचते हैं कि एक या अधिक बैकडोर्ड्स अभी भी मौजूद हैं या नहीं। यदि ऐसा नहीं है, तो उस पर एक संस्करण स्थापित है, और विवरण बीओएफएच को ईमेल किया गया है

  4. चूंकि बैकअप के रास्ते में अब डिस्क के साथ किया जाता है, कम से कम कुछ रूट किट रखने के लिए बैकअप को संशोधित करें।

इस तरह की चीज़ से खुद को बचाने के तरीके:

  1. जब कोई बीओएफएच वर्ग कर्मचारी छोड़ देता है, तो डीएमजेड में एक नया बॉक्स इंस्टॉल करें। यह फ़ायरवॉल पास करने वाले सभी यातायात की एक प्रति प्राप्त करता है। इस यातायात में विसंगतियों की तलाश करें। उत्तरार्द्ध गैर-तुच्छ है, खासकर यदि बीओएफएच सामान्य यातायात पैटर्न की नकल करने में अच्छा है।

  2. अपने सर्वर को फिर से करें ताकि महत्वपूर्ण बाइनरी केवल-पढ़ने वाले मीडिया पर संग्रहीत हों। यही है, अगर आप संशोधित / bin / ps को संशोधित करना चाहते हैं, तो आपको मशीन पर जाना होगा, शारीरिक रूप से आरओ से आरडब्लू में स्विच ले जाना होगा, एकल उपयोगकर्ता को रीबूट करना होगा, विभाजन आरडब्लू को रिमाउंट करें, पीएस की अपनी नई प्रतिलिपि इंस्टॉल करें, सिंक करें, रीबूट करें, टॉगल स्विच। इस तरह से किए गए एक सिस्टम में कम से कम कुछ विश्वसनीय कार्यक्रम और आगे काम करने के लिए एक विश्वसनीय कर्नेल है।

बेशक यदि आप खिड़कियों का उपयोग कर रहे हैं, तो आप को रोक दिया गया है।

  1. अपने इन्फ्रा-स्ट्रक्चर को विभाजित करें। छोटे से मध्यम आकार की फर्मों के साथ उचित नहीं है।

इस तरह की चीज को रोकने के तरीके।

  1. आवेदकों सावधानी से।

  2. पता करें कि क्या ये लोग असंतुष्ट हैं और समय से पहले कर्मियों की समस्याओं को ठीक करते हैं।

  3. जब आप इस तरह के शक्तियों के साथ एक व्यवस्थापक को खारिज करते हैं तो पाई को मीठा करें:

    ए। उनके वेतन या उनके वेतन का एक अंश समय के लिए जारी रहता है या जब तक कि सिस्टम व्यवहार में कोई बड़ा बदलाव नहीं होता है जो आईटी कर्मचारियों द्वारा अस्पष्ट है। यह एक घातीय क्षय पर हो सकता है। जैसे उसे 6 महीने के लिए पूर्ण वेतन मिलता है, इसमें से 80% 6 महीने के लिए, 80 प्रतिशत उस अगले 6 महीनों के लिए।

    ख। उनके वेतन का हिस्सा स्टॉक विकल्पों के रूप में है जो छोड़ने के बाद एक से पांच साल तक प्रभावी नहीं होते हैं। जब वे छोड़ते हैं तो इन विकल्पों को हटाया नहीं जाता है। उन्हें यह सुनिश्चित करने के लिए एक प्रोत्साहन है कि कंपनी 5 वर्षों में अच्छी तरह से चल रही है।


16
2017-08-25 15:37



डब्ल्यूटीएफ एक बीओएफएच है ?? - Chloe
च्लोए, बीओएफएच नरक से बस्टर्ड ऑपरेटर के लिए खड़ा है, प्रतिष्ठित परावर्तक-भ्रमपूर्ण मेग्लोमैनियाल सोसायपाथ दुष्ट सिसडमिन कि आईटी लोग जो बनने के फर्श के सपने से किसी के माउस को उठाते हुए बहुत अधिक समय बिताते हैं। मूल रूप से alt.sysadmin.recovery पर देखी गई कहानियों की एक श्रृंखला है bofh.ntk.net/Bastard.html  en.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
आपके सर्वरफॉल्ट जितना अधिक होगा बीओएफएच होने की संभावना उतनी अधिक होगी :-) - dunxd
"निश्चित रूप से यदि आप खिड़कियों का उपयोग कर रहे हैं, तो आप को रोक दिया गया है।" मैं इसे अपनी दीवार पर चाहता हूँ। - programmer5000


यह मुझे मारता है कि व्यवस्थापक पत्तियों से पहले भी समस्या मौजूद है। यह सिर्फ उस समय समस्या को और अधिक नोटिस करता है।

-> प्रत्येक परिवर्तन को ऑडिट करने की प्रक्रिया की आवश्यकता होती है, और प्रक्रिया का हिस्सा यह है कि परिवर्तन केवल इसके माध्यम से लागू होते हैं।


13
2017-08-24 22:55



मैं इस तरह की प्रक्रिया को कैसे लागू करता हूं इस बारे में उत्सुक हूं? - Mr. Shiny and New 安宇
यह एक छोटी सी कंपनी में करना मुश्किल है (यानी 1-2 एसआईएस प्रशासन प्रकार लोग) - Beep beep
यह लागू करने के लिए एक दर्द है, लेकिन यह लागू करने योग्य है। बड़े ग्राउंड नियमों में से एक यह है कि कोई भी बस एक बॉक्स पर लॉग ऑन नहीं करता है और इसे सूडो के माध्यम से भी प्रशासित करता है। परिवर्तन एक विन्यास प्रबंधन उपकरण के माध्यम से जाना चाहिए, या एक फायरकॉल प्रकार घटना के संदर्भ में होना चाहिए। सिस्टम में प्रत्येक एकल रूटीन परिवर्तन कठपुतली, सीएफएनजीन, शेफ, या इसी तरह के उपकरण के माध्यम से जाना चाहिए, और आपके sysadmins के लिए काम का पूरा शरीर इन स्क्रिप्ट के संस्करण नियंत्रित भंडार के रूप में मौजूद होना चाहिए। - Stephanie