私はカスタム開発した Web サイトを運営するための専用サーバーを持っています。これが今までに書かれたソフトウェアの中で最も高価で重要なものだとは言いませんが、それでもこれを機能させるのに大変な努力を要しました。
現在、私はメール サーバー (サーバーから送信されたすべてのメッセージはスパムとしてフラグ付けされます) を確認するためにプロの管理者を雇う必要がある状況にあります。そのためには専用サーバーへのアクセスが必要になります。この専門家は、elance.com などのフリーランス Web サイトから雇う予定なので、まったくの他人です。
私の質問は、インターネットで雇った全く知らない人にサーバーへのアクセス権を与えるのは賢明ではないでしょうか? 他の人にサーバーへのアクセス権を与えたことはありますか? リモート デスクトップ経由でしたか? ご意見やご経験を共有してください。
答え1
はい、そうだと思います。特にフリーランサーの場合、インターネット上で全く知らない人にアクセス権を与えるのは賢明ではありません。地元の学校や企業に連絡して、あなたの地域で協力できるコンサルタントがいるかどうかを確認するのがおそらくより良いアイデアでしょう。
セキュリティは信頼この人物はあなたのシステムに完全にアクセスでき、自分のスクリプトや改ざんされたバイナリなどを簡単にあなたのシステムに配置できることを知っておく必要があります。あなたの知らないうちに特に、あなたが管理に精通していない場合はそうです。この人物が、あなたが彼に十分な給料を払っていない、または時間通りに給料を払っていないと判断し、ユーザー XYZ が特定の日付または X 日以内にログインしていない場合は「rm -fr /」というスクリプトを実行することを妨げるものは何もありません。
地元に誰かを見つけたら、少なくとも責任を問う相手がいることになります。また、自分の管理下にある別のディスクに作業のバックアップを取っておくことも忘れないでください。管理者はシステム状態を管理するため、バックアップだけに頼ることはできません。管理者が構成を変更したり、バイナリにちょっとした「贈り物」を追加したりした場合、他のすべてのものと一緒にバックアップを取ってしまい、トロイの木馬のデータを他のデータと一緒にコピーすることになります。
ある程度の責任を負わせられる人、または少なくとも評判の良いビジネスを運営している人を見つける必要があります。収入や評判、または自分のビジネスニーズのために Web サイトにどの程度依存しているかに応じて、管理者の信頼レベルをどの程度優先するかを決定する必要があります。
他の人にアクセス権を与えましたか? はい、私たちの学校は IU (公立学校を支援する州政府機関のようなもの) と契約していますが、その IU の担当者は知っていますし、1 対 1 で対応しています。彼らが私たちを台無しにする可能性はありますか? もちろんあります。私たち自身の管理者も、不当に扱われてひどい扱いを受け、不和な状態で辞めるようなことがあれば、台無しにする可能性があります。繰り返しますが、セキュリティは、ユーザーをどれだけ信頼し、絶対に必要なものへのアクセスをどれだけ分離するかにかかっています。
リモート デスクトップは、多くのセキュリティ問題をブロックするのにはあまり役立ちません。たとえば、ユーザーのデスクトップ コントロールがありますが、最も価値があるものは何でしょうか? 情報でしょうか? そうしたければ、ユーザーが機密メールを入力しているのを確認したり、パスワードを知らなくても情報を受動的に取得したりできます。また、POS カフェテリア ソフトウェアのベンダーなどのリモート テクニシャンがリモートで処理を行ったため、管理者パスワードは知りませんでしたが、私が管理者としてログインしていたため、管理者アクセス権はありました。私はずっと彼らが何をしているのか見ていましたが、やはり彼らを信頼していました。ただ、監督なしで作業するには十分ではありませんでした :-) また、彼らが何をしているのかは大体わかっています。共有を漁ったり、サーバーに特定のソフトウェアをインストールしたりする理由がないこともわかっています。システム管理が何を伴うのかがわからない場合、彼らが何をしているのかを見てもあまり役に立ちません。他の人が作業している間に何をいじってもよいか、何をいじってはいけないかについてある程度の考えを持っている場合にのみ、本当に役立ちます。また、SSH アクセスについて話している場合は、何か他のことが起こっているのを監視している間に、相手がバックドア アクセスを取得できる可能性が非常に高くなります。
私はちょうど「失敗よりも悪い」の記事ある開発者が Web サイトに取り組んでいて、支払いやその他の問題で意見の相違があり、所有者がパスワードや情報を変更した後でも、開発者はサイトを削除すると脅迫しました。開発者は、まだ削除できるから支払えと言いました...そこで管理者はすばやく grep を実行し、Web アプリに送信された URL に特定のキーワードが含まれている場合にすべてのファイルを消去するという PHP の愚かなステートメントを発見しました。誰かに騙されるのは、それほど簡単なことです。
アプリケーションとデータのバックアップ、バックアップ、アーカイブ、バージョン情報を作成し、責任を負い、信頼できる人を見つけてください。システム管理者は、一時的な「これを試してみましょう」という相手ではなく、良好なビジネス関係を築く相手である必要があります。
答え2
私の意見では、簡単な答えは、誰かにアクセスを許可しなければ、問題の解決には役立たないということです。しかし、信頼できない会社を利用するのは賢明ではありません。近所の人でも、Web 上の誰かでも、問題を解決するには誰かを信頼する必要があります。
elance.comのような多くの会社では、すべての技術者の評価とレビューを公開しています。そうでない場合は、そうしている会社を探してください。会社全体のレビューを見つけることもできます。一般的に、これらのサイトに登録する技術者は、余分なお金を稼ぎたいと思っており、正直に言うと、試すあなたを助けるために。しかし、問題を確認するまで、彼らが助けることができるかどうかはわかりません。
ただし、必ずバックアップを取ってください...慎重に行動しても損はありません。
答え3
これは何の OS ですか? 必要なものだけにアクセスできるようにする限定アカウントを作成できますか?
私はインターネット上の見知らぬ人にアクセス権を与えたことは一度もありませんし、今後も与えるつもりはありません。ベンダーの技術スタッフと直接会うまでは、ベンダーにアクセス権を与えることもありません。
このように潜在的に危険なものに対して、あなたのデスクに一緒に座り、入力するすべてのコマンドを監視できる地元の IT コンサルタントを探す代わりに、elance を使用する理由はありますか?
答え4
私が管理しているサーバーへのアクセス権は付与していません。しかし、アクセス権を付与されたことは複数回あります。
直接 RDP、SSh、および logmein.com を使用しました。セキュリティの観点からは、logmein.com サービスが最適だと思います。Windows ログイン プロンプトが表示される前にセキュリティ レイヤーが設けられていたからです。そのようなことができない場合は、RDP が機能します。その後、事後的にアクセスを遮断できます。
一度ログインすると、悪意のある行為をしないという保証はありません。アカウントを譲渡する前に、ユーザー アカウントと実行中のサービスのインベントリをきちんと作成する必要があります。また、完全バックアップも常にお勧めです。
作業が完了したら、アカウントを無効にできます。その後、新しいサーバーの状態を取得したインベントリと比較できます。また、Windows または Linux でファイル検索を実行し、変更された日付で検索して、どのファイルが変更されたかを確認することもできます。
他に実行できる手順としては、管理者権限ではなく、非常に基本的なユーザー権限を与えることです。その後、問題解決に必要な権限を昇格させます。これを行うと、問題のトラブルシューティングに時間がかかるため、コストがかかるという問題があります。