Tengo un servidor dedicado en el que ejecuto mi sitio web desarrollado a medida. No pretendo que sea el software más caro o importante jamás escrito, aun así, ha sido un gran trabajo conseguir que esto funcione.
Ahora me encuentro en una situación en la que necesito contratar a un administrador profesional para que revise mi servidor de correo (todos los mensajes enviados desde mi servidor se marcan como spam), lo que requerirá acceso a mi servidor dedicado. Estoy pensando en contratar a este profesional de un sitio web independiente, como elance.com, lo que significa que es un completo desconocido.
Mi pregunta es: ¿es imprudente dar acceso a su servidor a un completo desconocido que usted contrata en Internet? ¿Alguna vez ha dado acceso a sus servidores a otras personas? ¿Fue a través de escritorio remoto? Por favor comparta sus pensamientos y experiencias.
Respuesta1
Debo decir que sí, que no es prudente dar acceso a un completo desconocido fuera de Internet, especialmente si eres un profesional independiente. Probablemente una mejor idea sería ponerse en contacto con una escuela o empresa local y ver qué consultores están disponibles en su área para trabajar.
Tienes que recordar que la seguridad se reduce aconfianza. Debe saber que esta persona tiene acceso completo a su sistema y puede colocar fácilmente sus propios scripts, archivos binarios manipulados, etc. en su sistema.sin tu conocimiento, especialmente si no eres un experto en administración. Nada impide que esta persona decida que no le está pagando lo suficiente o a tiempo y tiene un script que indica si el usuario XYZ no ha iniciado sesión en una fecha determinada o dentro de X días, "rm -fr /".
Si encuentra a alguien local, al menos tendrá a alguien a quien responsabilizar. También debes asegurarte de tener copias de seguridad de tu trabajo en un disco separado bajo tu propio control. No puede confiar solo en las copias de seguridad mientras el administrador trabaja en el estado del sistema... si modifican las configuraciones y/o agregan un pequeño "regalo" a los archivos binarios, los respaldará junto con todo lo demás y luego finalizará. hasta copiar los datos del troyano junto con el resto de sus datos.
Necesita encontrar a alguien a quien pueda responsabilizar en cierta medida o que al menos esté operando un negocio de buena reputación. Dependiendo de cuánto dependa de su sitio web para obtener ingresos o reputación o de sus propias necesidades comerciales, debe decidir cuánto priorizar el nivel de confianza de su administrador.
¿Hemos dado acceso a otros? Sí, nuestra escuela tiene un contrato con una IU (una especie de agencia estatal que apoya a las escuelas públicas), pero conocemos a los chicos que las tienen y tratamos con ellos individualmente. ¿Pueden arruinarnos? Seguro que pueden. También pueden hacerlo nuestros propios administradores, si los joden y los tratan como basura y algo sucede y se van en malos términos. Nuevamente, la seguridad se reduce a cuánto confía en sus usuarios y cuánto separa el acceso a lo que absolutamente necesitan.
El escritorio remoto realmente no ayuda a bloquear muchos problemas de seguridad. Por ejemplo, tenemos control de escritorio de nuestros usuarios... ¿qué es lo más valioso? ¿información? Si así lo deseamos, podemos verlos escribiendo correos electrónicos confidenciales y obteniendo información de forma pasiva, sin conocer sus contraseñas. También tuvimos técnicos remotos que operaban cosas como un proveedor de nuestro software de cafetería de punto de ventas que manejaba las cosas de forma remota, por lo que no tenían nuestra contraseña de administrador, pero sí tenían acceso de administrador ya que yo inicié sesión como administrador. También estuve observando lo que hacían todo el tiempo y nuevamente confiamos en ellos. Simplemente no es suficiente trabajar sin supervisión :-) Generalmente también sé lo que están haciendo. Sé que no hay razón para que husmeen en nuestros recursos compartidos o instalen cierto software en nuestro servidor. Si no tiene idea de lo que implica la administración del sistema, observar lo que hacen no le ayudará mucho. Realmente solo ayuda si tienes una idea de lo que se debe y lo que no se debe manipular mientras la otra persona está trabajando, y si estás hablando de acceso SSH, es muy posible que puedan obtener acceso por la puerta trasera mientras estás mirando. algo más está pasando.
Estaba leyendo sobre unartículo en Peor que el fracasodonde un desarrollador estaba trabajando en un sitio web y hubo desacuerdos sobre el pago o algún otro tema y el desarrollador amenazó con eliminar el sitio, incluso después de que el propietario cambió las contraseñas y la información. El desarrollador dijo que todavía podía hacerlo, así que pague... entonces el administrador hizo una búsqueda rápida y encontró una declaración estúpida en PHP que borraba todos los archivos si una determinada palabra clave estaba en la URL enviada a la aplicación web. Es así de simple que alguien te joda.
Copias de seguridad, copias de seguridad, archivos y versiones de información de su aplicación y datos, y encuentre a alguien a quien pueda responsabilizar y en quien pueda confiar. El administrador de su sistema debe ser alguien con quien vaya a establecer una buena relación comercial, no un simple "probemos esto".
Respuesta2
En mi opinión, la respuesta simple es que si no le da acceso a alguien, no podrá ayudar a solucionar el problema. Pero no es aconsejable utilizar una empresa en la que no se confía. Ya sea el chico de la calle o alguien fuera de la web, debes confiar en alguien para solucionar el problema.
Muchas empresas como elance.com tendrán calificaciones y reseñas disponibles para todos sus técnicos, si no encuentran una empresa que sí las tenga. También puede encontrar reseñas de la empresa en general. Generalmente, los técnicos que se registran en estos sitios buscan ganar algo de dinero extra y, honestamente,intentarpara ayudarte. Pero no se sabe si podrán hacerlo o no hasta que analicen el problema.
Pero asegúrate de tener una copia de seguridad... no está de más ser cauteloso.
Respuesta3
¿Qué sistema operativo es este? ¿Puedes crear una cuenta limitada para él que le dé acceso SÓLO a lo que necesita?
Nunca le he dado acceso a un desconocido de Internet y nunca lo daría. Ni siquiera daré acceso a los proveedores hasta que tenga una reunión cara a cara con su personal técnico.
¿Hay alguna razón por la que, para algo tan potencialmente dañino, desee utilizar elance en lugar de buscar un consultor de TI local que pueda sentarse en su escritorio con usted y permitirle observar cada comando que escribe?
Respuesta4
No he dado acceso a ninguno de mis servidores que administro. Pero me han dado acceso en múltiples ocasiones.
Me dieron RDP directo, SSh y uno usó logmein.com. Desde el punto de vista de la seguridad, creo que el servicio logmein.com fue el mejor. Porque era una capa de seguridad antes de acceder al mensaje de inicio de sesión de Windows. Si no puedes hacer algo así. RDP funcionará. Y luego puedes cerrar el acceso después del hecho.
Ya que no puedes garantizar que no harán nada malicioso una vez que estén allí. Debe realizar un buen inventario de las cuentas de usuario y los servicios en ejecución antes de entregar la cuenta. Una copia de seguridad completa también es siempre una buena idea.
Cuando termine, puede desactivar la cuenta. Luego podrá comparar el estado de su nuevo servidor con el inventario que realizó. También puedes hacer una búsqueda de archivos en Windows o Linux y buscar por fecha de modificación para ver qué archivos tocaron.
Otro paso que puedes dar es otorgarles derechos de usuario muy básicos, sin administrador. Luego aumente los privilegios que necesitan a medida que se sumerge en el problema. El problema de hacer esto es que le costará porque llevará más tiempo solucionar el problema.