У меня есть выделенный сервер, на котором я запускаю свой веб-сайт, разработанный по индивидуальному заказу. Я не утверждаю, что это самая дорогая или важная часть программного обеспечения, когда-либо написанного, но все же, чтобы заставить его работать, пришлось много потрудиться.
Теперь я в ситуации, когда мне нужно нанять профессионального администратора, чтобы он посмотрел на мой почтовый сервер (все сообщения, отправленные с моего сервера, помечаются как спам), что потребует доступа к моему выделенному серверу. Я планирую нанять этого профессионала с сайта фриланса, например elance.com, а это значит, что он мне совершенно незнаком.
Мой вопрос: неразумно ли давать доступ к своему серверу совершенно незнакомому человеку, которого вы нанимаете через интернет? Вы когда-нибудь давали доступ к своим серверам другим? Это было через удаленный рабочий стол? Пожалуйста, поделитесь своими мыслями и опытом.
решение1
Я бы сказал, да, неразумно давать доступ совершенно незнакомому человеку из Интернета, особенно фрилансеру. Лучшей идеей, вероятно, будет связаться с местной школой или компанией и узнать, какие консультанты доступны в вашем регионе для работы.
Вы должны помнить, что безопасность сводится кдоверять. Вам нужно знать, что этот человек имеет полный доступ к вашей системе и может легко размещать в ней свои собственные скрипты, измененные двоичные файлы и т. д.без вашего ведома, особенно если вы не разбираетесь в администрировании. Ничто не мешает этому человеку решить, что вы платите ему недостаточно или не вовремя, и написать скрипт, который сообщает, что если пользователь XYZ не вошел в систему к определенной дате или в течение X дней, "rm -fr /".
Если вы найдете кого-то местного, у вас, по крайней мере, будет кто-то, за кого можно будет нести ответственность. Вы также должны убедиться, что у вас есть резервные копии вашей работы на отдельном диске под вашим собственным контролем. Вы не можете полагаться только на резервные копии, поскольку администраторы системы работают с состоянием... если они изменят конфигурации и/или добавят небольшой "подарок" в двоичные файлы, вы сделаете их резервную копию вместе со всем остальным, а затем в конечном итоге скопируете данные трояна вместе с другими вашими данными.
Вам нужно найти кого-то, кого вы можете считать ответственным или, по крайней мере, кто управляет авторитетным бизнесом. В зависимости от того, насколько вы полагаетесь на свой веб-сайт для получения дохода или репутации или потребностей вашего собственного бизнеса, вам нужно решить, насколько приоритетным будет уровень доверия вашего администратора.
Дали ли мы доступ другим? Да, наша школа заключила контракт с IU (своего рода государственное агентство, которое поддерживает государственные школы), но мы знаем парней, у которых они есть, и мы разбираемся с ними индивидуально. Могут ли они нам навредить? Конечно, могут. Так же могут и наши собственные администраторы, если их обманут и будут обращаться с ними как с грязью, и случится что-то, из-за чего они уйдут на плохих условиях. Опять же, безопасность сводится к тому, насколько вы доверяете своим пользователям и насколько вы разделяете доступ к тому, что им действительно нужно.
Удаленный рабочий стол на самом деле не помогает блокировать множество проблем безопасности. Например, у нас есть контроль рабочего стола наших пользователей... что самое ценное? информация? Если бы мы были так настроены, мы могли бы увидеть, как они набирают конфиденциальные электронные письма и пассивно получают информацию, не зная их паролей. У нас также были удаленные технические специалисты, работающие с такими вещами, как поставщик программного обеспечения для нашего кафетерия точек продаж, которые управляли всем удаленно, поэтому у них не было нашего пароля администратора, но у них был доступ администратора, так как я вошел в систему как администратор. Я также наблюдал за тем, что они делали все это время, и снова мы доверяли им. Просто недостаточно, чтобы работать без надзора :-) Я также в целом знаю, что они делают. Я знаю, что у них нет причин ковыряться в наших общих папках или устанавливать определенное программное обеспечение на наш сервер. Если вы понятия не имеете, что подразумевает системное администрирование, наблюдение за тем, что они делают, не сильно вам поможет. По-настоящему это поможет только в том случае, если вы имеете некоторое представление о том, что можно и что нельзя менять, пока другой человек работает, а что нет, и если вы говорите о доступе по SSH, то вполне возможно, что он сможет получить доступ через черный ход, пока вы смотрите что-то другое.
Я только что читал остатья в Worse Than Failureкогда разработчик работал над веб-сайтом, и возникли разногласия по поводу оплаты или какой-то другой проблемы, и разработчик пригрозил удалить сайт, даже после того, как владелец сменил пароли и информацию. Разработчик сказал, что он все еще может это сделать, так что платите... поэтому администратор быстро провел grep и нашел глупое выражение в PHP, которое стирало все файлы, если определенное ключевое слово было в URL, отправленном в веб-приложение. Вот так просто можно, чтобы кто-то вас обманул.
Резервные копии, резервные копии, архив и информация о версии вашего приложения и данных, и найдите того, за кого вы можете нести ответственность и кому вы можете доверять. Ваш системный администратор должен быть тем, с кем вы собираетесь сформировать хорошие деловые отношения, а не мимолетное «давайте попробуем это».
решение2
По моему мнению, простой ответ заключается в том, что если вы не даете кому-то доступ, они не могут помочь решить проблему. Но неразумно обращаться в компанию, которой вы не доверяете. Будь то парень на улице или кто-то вне сети, вам нужно довериться кому-то, чтобы решить проблему.
Многие компании, такие как elance.com, будут иметь рейтинги и обзоры, доступные для всех их техников, если у них нет, то найдите компанию, которая это делает. Вы также можете найти обзоры для компании в целом. Как правило, техники, которые регистрируются на этих сайтах, хотят заработать немного дополнительных денег и будут честнопытатьсячтобы помочь вам. Но неизвестно, смогут ли они это сделать или нет, пока не посмотрят на проблему.
Но убедитесь, что у вас есть запасной вариант... осторожность не помешает.
решение3
Какая это ОС? Можно ли создать для него ограниченную учетную запись, которая даст доступ ТОЛЬКО к тому, что ему нужно?
Я никогда не давал доступа случайному незнакомцу из Интернета и никогда не дам. Я даже не дам доступ поставщикам, пока не встречусь с их техническим персоналом лицом к лицу.
Есть ли причина, по которой для чего-то столь потенциально опасного вы хотите использовать elance вместо того, чтобы найти местного ИТ-консультанта, который мог бы сидеть с вами за столом и позволять вам следить за каждой вводимой им командой?
решение4
Я не давал доступ ни к одному из моих серверов, которыми я управляю. Но мне давали доступ несколько раз.
Мне давали прямой RDP, SSh и один используемый logmein.com. С точки зрения безопасности, я думаю, что служба logmein.com была лучшей. Потому что это был уровень безопасности до того, как вы нажмете на приглашение входа в Windows. Если вы не можете сделать что-то подобное, RDP будет работать. А затем вы можете отключить доступ постфактум.
Поскольку вы не можете гарантировать, что они не сделают ничего вредоносного, как только окажутся там. Вам следует провести хорошую инвентаризацию учетных записей пользователей и запущенных служб, прежде чем передавать учетную запись. Полное резервное копирование также всегда является хорошей идеей.
Когда он закончит, вы можете отключить учетную запись. Затем вы можете сравнить новое состояние сервера с инвентаризацией, которую вы взяли. Вы также можете выполнить поиск файлов в Windows или Linux и выполнить поиск по дате изменения, чтобы увидеть, какие файлы они затронули.
Другой шаг, который вы можете сделать, — дать им очень простые права пользователя, без прав администратора. Затем повышайте привилегии, которые им нужны, по мере погружения в проблему. Проблема в том, что это будет стоить вам, потому что на устранение проблемы уйдет больше времени.