Tenho um servidor dedicado no qual executo meu site desenvolvido sob medida. Não afirmo que seja o software mais caro ou importante já escrito; ainda assim, tem sido muito trabalhoso fazer isso funcionar.
Agora estou numa situação em que preciso contratar um administrador profissional para dar uma olhada no meu servidor de e-mail (todas as mensagens enviadas do meu servidor são sinalizadas como spam), o que exigirá acesso ao meu servidor dedicado. Estou planejando contratar esse profissional de um site freelancer, como o elance.com, o que significa que ele é um completo estranho.
Minha pergunta é: não é sensato dar acesso ao seu servidor a um estranho que você contrata na Internet? Você já concedeu acesso aos seus servidores a outras pessoas? Foi através da área de trabalho remota? Por favor, compartilhe seus pensamentos e experiências.
Responder1
Eu teria que dizer que sim, não é sensato dar acesso a um estranho na Internet, especialmente como freelancer. Uma ideia melhor provavelmente seria entrar em contato com uma escola ou empresa local e ver quais consultores estão disponíveis em sua área para trabalhar.
Você deve lembrar que a segurança se resume aconfiar. Você precisa saber que essa pessoa tem acesso completo ao seu sistema e pode facilmente colocar seus próprios scripts, binários adulterados, etc.sem o seu conhecimento, especialmente se você não tiver experiência em administração. Nada impede que essa pessoa decida que você não está pagando o suficiente ou dentro do prazo e tenha um script que informa se o usuário XYZ não fez login até uma determinada data ou dentro de X dias, "rm -fr /".
Se você encontrar alguém local, pelo menos terá alguém para responsabilizar. Você também deve certificar-se de ter backups de seu trabalho em um disco separado sob seu próprio controle. Você não pode confiar apenas em backups enquanto o administrador trabalha no estado do sistema... se eles alterarem as configurações e/ou adicionarem um pequeno "presente" aos binários, você fará backup deles junto com todo o resto, então terminará copiando os dados do trojan junto com seus outros dados.
Você precisa encontrar alguém que possa responsabilizar de alguma forma ou que pelo menos administre um negócio respeitável. Dependendo de quanto você depende de seu site para obter receita ou reputação ou para suas próprias necessidades de negócios, você precisa decidir quanto priorizar o nível de confiança de seu administrador.
Demos acesso a outros? Sim, nossa escola tem contrato com uma IU (uma espécie de agência estadual que apoia escolas públicas), mas conhecemos os caras que as possuem e lidamos com eles individualmente. Eles podem nos bagunçar? Claro que podem. O mesmo pode acontecer com nossos próprios administradores, se eles forem ferrados e tratados como lixo e algo acontecer e eles saírem em más condições. Novamente, a segurança se resume ao quanto você confia em seus usuários e ao quanto você separa o acesso ao que eles realmente precisam.
A área de trabalho remota realmente não ajuda a bloquear muitos problemas de segurança. Por exemplo, temos controle de desktop de nossos usuários...o que é mais valioso? Informação? Se quisermos, poderemos vê-los digitando e-mails confidenciais e obter informações passivamente, sem saber suas senhas. Também tivemos técnicos remotos operando coisas como um fornecedor de nosso software de cafeteria de ponto de vendas cuidando das coisas remotamente, então eles não tinham nossa senha de administrador, mas tinham acesso de administrador desde que eu estava logado como administrador. Eu também estava observando o que eles faziam o tempo todo e, novamente, confiamos neles. Só não o suficiente para trabalhar sem supervisão :-) Geralmente também sei o que eles estão fazendo. Eu sei que não há razão para eles bisbilhotarem nossos compartilhamentos ou instalarem determinados softwares em nosso servidor. Se você não tem ideia do que envolve a administração do sistema, observar o que eles estão fazendo não vai te ajudar muito. Realmente só ajuda se você tiver alguma ideia do que deve ou não ser mexido enquanto a outra pessoa está trabalhando, e se você estiver falando sobre acesso SSH, é muito possível que eles possam obter acesso pela porta dos fundos enquanto você está assistindo alguma outra coisa acontecendo.
Eu estava lendo sobre umartigo em Pior que o fracassoonde um desenvolvedor estava trabalhando em um site e houve divergências sobre pagamento ou alguma outra questão e o desenvolvedor ameaçou excluir o site, mesmo depois que o proprietário alterou senhas e informações. O desenvolvedor disse que ainda poderia fazer isso, então pague... então o administrador fez um rápido grep e encontrou uma declaração estúpida no PHP que apagava todos os arquivos se uma determinada palavra-chave estivesse no URL enviado ao aplicativo da web. É tão simples ter alguém ferrando com você.
Backups, backups, arquivamento e informações de versão de seus aplicativos e dados, e encontre alguém em quem você possa responsabilizar e confiar. O administrador do sistema deve ser alguém com quem você estabelecerá um bom relacionamento comercial, e não uma coisa passageira do tipo "vamos tentar isso".
Responder2
Na minha opinião, a resposta simples é: se você não conceder acesso a alguém, essa pessoa não poderá ajudar a resolver o problema. Mas não é aconselhável usar uma empresa em que você não confia. Seja o cara da rua ou alguém da web, você precisa confiar em alguém para resolver o problema.
Muitas empresas como a elance.com terão classificações e análises disponíveis para todos os seus técnicos; se não encontrarem uma empresa que o faça. Você também pode encontrar avaliações gerais sobre a empresa. Geralmente, os técnicos que se inscrevem nesses sites procuram ganhar algum dinheiro extra e honestamentetentarpara ajudá-lo. Mas não há como dizer se eles conseguirão ou não até que analisem o problema.
Mas certifique-se de ter um backup... não custa nada ser cauteloso.
Responder3
Que sistema operacional é esse? Você pode criar uma conta limitada para ele que dê acesso APENAS ao que ele precisa?
Nunca dei acesso a um estranho aleatório da Internet e nunca daria. Não darei acesso nem aos fornecedores até ter uma reunião presencial com sua equipe técnica.
Existe uma razão pela qual, para algo tão potencialmente prejudicial, você deseja usar o elance em vez de encontrar um consultor de TI local que possa sentar-se em sua mesa com você e permitir que você observe cada comando digitado?
Responder4
Não concedi acesso a nenhum dos servidores que gerencio. Mas tive acesso em várias ocasiões.
Recebi RDP direto, SSh e um logmein.com usado. Do ponto de vista de segurança, acho que o serviço logmein.com foi o melhor. B/c era uma camada de segurança antes de você acessar o prompt de login do Windows. Se você não pode fazer algo assim. O RDP funcionará. E então você pode desligar o acesso após o fato.
Já que você não pode garantir que eles não farão nada mal-intencionado quando estiverem lá. Você deve fazer um bom inventário das contas de usuário e dos serviços em execução antes de entregar a conta. Um backup completo também é sempre uma boa ideia.
Quando terminar, você pode desativar a conta. Então você pode comparar o estado do seu novo servidor com o inventário que você fez. Você também pode fazer uma pesquisa de arquivos no Windows ou Linux e pesquisar pela data de modificação para ver quais arquivos eles tocaram.
Outra etapa que você pode realizar é conceder a eles direitos de usuário básicos, sem administrador. Em seguida, aumente os privilégios necessários à medida que se aprofundam no problema. O problema de fazer isso é que isso custará porque levará mais tempo para solucionar o problema.