Ich habe einen dedizierten Server, auf dem ich meine individuell entwickelte Website betreibe. Ich behaupte nicht, dass es sich um die teuerste oder wichtigste Software handelt, die je geschrieben wurde, aber es war trotzdem eine Menge harte Arbeit, sie zum Laufen zu bringen.
Jetzt bin ich in einer Situation, in der ich einen professionellen Administrator beauftragen muss, der sich meinen Mailserver ansieht (alle von meinem Server gesendeten Nachrichten werden als Spam markiert), wofür ich Zugriff auf meinen dedizierten Server benötige. Ich habe vor, diesen Profi von einer Website für Freiberufler wie elance.com einzustellen, was bedeutet, dass er ein völlig Fremder ist.
Meine Frage ist: Ist es unklug, einem völlig Fremden, den Sie über das Internet angeheuert haben, Zugriff auf Ihren Server zu gewähren? Haben Sie schon einmal anderen Zugriff auf Ihre Server gewährt? War das über Remotedesktop? Bitte teilen Sie uns Ihre Gedanken und Erfahrungen mit.
Antwort1
Ich muss sagen, ja, es ist unklug, einem völlig Fremden aus dem Internet Zugriff zu gewähren, insbesondere als Freiberufler. Eine bessere Idee wäre wahrscheinlich, eine örtliche Schule oder ein Unternehmen zu kontaktieren und zu fragen, welche Berater in Ihrer Gegend verfügbar sind, mit denen Sie zusammenarbeiten können.
Man muss bedenken, dass Sicherheit darauf hinausläuft,VertrauenSie müssen wissen, dass diese Person vollständigen Zugriff auf Ihr System hat und problemlos eigene Skripte, manipulierte Binärdateien usw. auf Ihrem System platzieren kann.ohne Ihr Wissen, insbesondere wenn Sie sich nicht mit Verwaltung auskennen. Nichts hindert diese Person daran, zu entscheiden, dass Sie sie nicht genug oder nicht pünktlich bezahlen, und ein Skript zu haben, das besagt, dass „rm -fr /“ ausgeführt wird, wenn sich Benutzer XYZ bis zu einem bestimmten Datum oder innerhalb von X Tagen nicht angemeldet hat.
Wenn Sie jemanden vor Ort finden, haben Sie zumindest jemanden, den Sie zur Verantwortung ziehen können. Sie sollten auch sicherstellen, dass Sie Backups Ihrer Arbeit auf einer separaten Festplatte unter Ihrer eigenen Kontrolle haben. Sie können sich nicht nur auf Backups verlassen, da der Administrator den Systemstatus bearbeitet ... wenn sie die Konfigurationen ändern und/oder den Binärdateien ein kleines „Geschenk“ hinzufügen, sichern Sie diese zusammen mit allem anderen und kopieren am Ende die Trojaner-Daten zusammen mit Ihren anderen Daten.
Sie müssen jemanden finden, den Sie einigermaßen zur Verantwortung ziehen können oder der zumindest ein seriöses Geschäft betreibt. Je nachdem, wie sehr Sie für Ihr Einkommen oder Ihren Ruf oder Ihre eigenen Geschäftsanforderungen auf Ihre Website angewiesen sind, müssen Sie entscheiden, wie wichtig Ihnen das Vertrauensniveau Ihres Administrators ist.
Haben wir anderen Zugriff gewährt? Ja, unsere Schule hat einen Vertrag mit einer IU (eine Art staatliche Agentur, die öffentliche Schulen unterstützt), aber wir kennen die Leute, die sie haben, und wir gehen mit ihnen auf individueller Basis um. Können sie uns in Schwierigkeiten bringen? Sicher können sie das. Das können auch unsere eigenen Administratoren, wenn sie betrogen und wie Dreck behandelt werden und etwas passiert, wo sie im Streit gehen. Noch einmal: Sicherheit hängt davon ab, wie sehr Sie Ihren Benutzern vertrauen und wie sehr Sie den Zugriff auf das beschränken, was sie unbedingt brauchen.
Remote Desktop hilft nicht wirklich dabei, viele Sicherheitsprobleme zu vermeiden. Wir haben beispielsweise die Desktop-Kontrolle unserer Benutzer ... was ist am wertvollsten? Informationen? Wenn wir dazu geneigt wären, könnten wir sehen, wie sie vertrauliche E-Mails schreiben und passiv Informationen erhalten, ohne ihre Passwörter zu kennen. Wir hatten auch Remote-Techniker, die Dinge wie einen Anbieter für unsere Kassensoftware für die Cafeteria aus der Ferne bedienten, sodass sie unser Administratorkennwort nicht hatten, aber Administratorzugriff, da ich als Administrator angemeldet war. Ich habe auch die ganze Zeit beobachtet, was sie taten, und wir haben ihnen wiederum vertraut. Aber nicht genug, um ohne Aufsicht zu arbeiten :-) Ich weiß auch im Allgemeinen, was sie tun. Ich weiß, dass es für sie keinen Grund gibt, in unseren Freigaben herumzuschnüffeln oder bestimmte Software auf unserem Server zu installieren. Wenn Sie keine Ahnung haben, was Systemadministration beinhaltet, wird es Ihnen nicht viel helfen, zu beobachten, was sie tun. Es hilft wirklich nur, wenn Sie eine Vorstellung davon haben, woran Sie herumspielen dürfen und woran Sie nicht herumspielen dürfen, während die andere Person arbeitet. Und wenn es um SSH-Zugriff geht, ist es durchaus möglich, dass sich die andere Person über eine Hintertür Zugang verschafft, während Sie etwas anderes beobachten.
Ich habe gerade von einemArtikel in Worse Than FailureWenn ein Entwickler an einer Website arbeitete und es zu Meinungsverschiedenheiten über die Bezahlung oder andere Probleme kam, drohte der Entwickler, die Website zu löschen, selbst nachdem der Eigentümer Passwörter und Informationen geändert hatte. Der Entwickler sagte, er könne es trotzdem tun, also müsse er bezahlen ... also führte der Administrator eine schnelle Suche durch und fand eine dumme Anweisung im PHP, die alle Dateien löschte, wenn ein bestimmtes Schlüsselwort in der an die Webanwendung übermittelten URL enthalten war. So einfach kann man sich von jemandem übers Ohr hauen lassen.
Sichern Sie Ihre Anwendungen und Daten, archivieren Sie sie und führen Sie Versionsinformationen durch. Suchen Sie sich jemanden, der Ihnen vertrauen kann und der die Verantwortung übernimmt. Ihr Systemadministrator sollte jemand sein, mit dem Sie eine gute Geschäftsbeziehung aufbauen können, und nicht jemand, mit dem Sie nur kurz „das mal ausprobieren“ können.
Antwort2
Meiner Meinung nach lautet die einfache Antwort: Wenn Sie jemandem keinen Zugriff gewähren, kann dieser Ihnen nicht helfen, das Problem zu beheben. Es ist jedoch unklug, ein Unternehmen zu beauftragen, dem Sie nicht vertrauen. Egal, ob es der Typ von nebenan oder jemand aus dem Internet ist, Sie müssen jemandem vertrauen, um das Problem beheben zu können.
Viele Unternehmen wie elance.com bieten Bewertungen und Rezensionen für alle ihre Techniker an. Wenn nicht, suchen Sie nach einem Unternehmen, das Bewertungen und Rezensionen anbietet. Sie können auch Bewertungen für das Unternehmen insgesamt finden. Im Allgemeinen möchten Techniker, die sich bei diesen Websites anmelden, etwas zusätzliches Geld verdienen und werden ehrlichversuchenum Ihnen zu helfen. Aber man kann nicht sagen, ob sie dazu in der Lage sind oder nicht, bis sie sich das Problem ansehen.
Aber stellen Sie sicher, dass Sie ein Backup haben … Vorsicht kann nicht schaden.
Antwort3
Welches Betriebssystem ist das? Können Sie für ihn ein eingeschränktes Konto erstellen, das ihm NUR Zugriff auf das gibt, was er braucht?
Ich habe noch nie einem beliebigen Fremden aus dem Internet Zugriff gewährt und würde das auch nie tun. Ich werde nicht einmal Anbietern Zugriff gewähren, bevor ich nicht ein persönliches Treffen mit ihrem technischen Personal hatte.
Gibt es einen Grund, warum Sie bei einem so potenziell schädlichen Programm Elance verwenden möchten, anstatt einen IT-Berater vor Ort zu suchen, der mit Ihnen an Ihrem Schreibtisch sitzt und Sie jeden eingegebenen Befehl beobachten lässt?
Antwort4
Ich habe keinem der von mir verwalteten Server Zugriff gewährt. Mir wurde jedoch mehrfach Zugriff gewährt.
Ich habe direktes RDP und SSh erhalten und einer hat logmein.com verwendet. Aus Sicherheitsgründen war der Dienst logmein.com meiner Meinung nach der beste. Denn er war eine Sicherheitsebene, bevor man auf die Windows-Anmeldeaufforderung gestoßen ist. Wenn Sie so etwas nicht tun können, funktioniert RDP. Und dann können Sie den Zugriff nachträglich sperren.
Da Sie nicht garantieren können, dass sie dort keine schädlichen Aktionen ausführen, sollten Sie eine gründliche Bestandsaufnahme der Benutzerkonten und ausgeführten Dienste durchführen, bevor Sie das Konto übergeben. Eine vollständige Sicherung ist auch immer eine gute Idee.
Wenn er fertig ist, können Sie das Konto deaktivieren. Dann können Sie Ihren neuen Serverstatus mit der Bestandsaufnahme vergleichen, die Sie durchgeführt haben. Sie können auch eine Dateisuche in Windows oder Linux durchführen und nach dem Änderungsdatum suchen, um zu sehen, welche Dateien betroffen sind.
Ein weiterer Schritt, den Sie unternehmen können, besteht darin, ihnen sehr grundlegende Benutzerrechte zu erteilen, keinen Administrator. Dann erhöhen Sie die erforderlichen Berechtigungen, wenn Sie sich mit dem Problem befassen. Das Problem dabei ist, dass es Sie etwas kostet, weil die Behebung des Problems länger dauert.