您是否曾向外部人員授予存取您伺服器的權限?

tag-icon tag-icon untagged
您是否曾向外部人員授予存取您伺服器的權限?

我有一個專用伺服器,在上面運行我的客製開發的網站。我並不是說它是有史以來最昂貴或最重要的軟體,但是,要讓它發揮作用還是需要付出很多努力。

現在我面臨的情況是,我需要聘請專業管理員來查看我的郵件伺服器(從我的伺服器發送的所有郵件都被標記為垃圾郵件),這將需要存取我的專用伺服器。我打算從 elance.com 等自由工作網站聘請這位專業人士,這意味著他完全是個陌生人。

我的問題是,將您的伺服器的存取權限授予您從網路上僱用的陌生人是不明智的嗎?您是否曾將您的伺服器的存取權限授予其他人?是透過遠端桌面嗎?請分享您的想法和經驗。

答案1

我必須說是的,給一個完全陌生的人提供網路上的存取權限是不明智的,尤其是作為一個自由工作者。更好的主意可能是聯繫當地的學校或企業,看看您所在地區有哪些顧問可以合作。

您必須記住,安全歸根結底是相信。您需要知道此人可以完全存取您的系統,並且可以輕鬆地將自己的腳本、修改過的二進位檔案等放置在您的系統上在你不知情的情況下,特別是如果您不精通管理的話。沒有什麼可以阻止此人確定您沒有向他支付足夠的費用或按時支付費用,並且有一個腳本來說明用戶 XYZ 是否在特定日期或 X 天內尚未登錄,「rm -fr /」。

如果你找到當地人,至少有人可以追究你的責任。您還應該確保您的工作備份在您自己控制的單獨磁碟上。您不能僅依賴備份,因為管理員對系統狀態進行工作...如果他們更改配置和/或向二進製文件添加一點“禮物”,您將把它們與其他所有內容一起備份,然後結束將木馬數據與其他數據一起複製。

你需要找到一個可以讓你承擔一定責任的人,或至少是經營一家信譽良好的企業的人。根據您對網站的收入或聲譽或您自己的業務需求的依賴程度,您需要決定管理員信任等級的優先順序。

我們是否給予其他人存取權?是的,我們學校已經與 IU(一種支持公立學校的國家機構)簽訂了合同,但我們認識擁有這些合同的人,並且我們會一對一地與他們打交道。他們能擾亂我們嗎?當然可以。我們自己的管理員也可以,如果他們被搞砸了,被當作污垢一樣對待,並且在他們離開時不愉快地發生了一些事情。同樣,安全性取決於您對使用者的信任程度以及您對他們絕對需要的內容的獨立存取程度。

遠端桌面並不能真正幫助解決許多安全問題。例如,我們對使用者進行桌面控制…什麼是最有價值的?資訊?如果我們願意,我們可以看到他們在不知道密碼的情況下輸入敏感電子郵件並被動獲取資訊。我們也讓遠端技術人員進行操作,例如我們的銷售點自助餐廳軟體的供應商遠端處理事情,因此他們沒有我們的管理員密碼,但自從我以管理員身份登入以來,他們確實具有管理員存取權限。我也一直在觀察他們在做什麼,我們再次信任他們。在沒有監督的情況下工作是不夠的:-)我也通常知道他們在做什麼。我知道他們沒有理由窺探我們的共享或在我們的伺服器上安裝某些軟體。如果您不知道系統管理需要什麼,那麼觀察他們在做什麼對您沒有多大幫助。只有當您了解其他人工作時該做什麼、不該做什麼時,這才會真正有幫助,並且如果您談論的是 SSH 訪問,那麼他們很可能在您觀看時獲得後門訪問權限還有其他事情正在發生。

我剛剛讀到一篇關於比失敗更糟糕的文章開發人員正在開發一個網站,並且在薪酬或其他問題上存在分歧,並且開發人員威脅要刪除網站,即使在所有者更改了密碼和資訊之後也是如此。開發人員說他仍然可以做到這一點,所以付錢......所以管理員做了一個快速的grep 並在PHP 中發現了一個愚蠢的語句,如果提交到Web 應用程式的URL 中存在某個關鍵字,則會刪除所有檔案。讓別人欺負你就是這麼簡單。

備份、備份、存檔和版本資訊您的應用程式和數據,並找到您可以負責和信任的人。您的系統管理員應該是您將與之建立良好業務關係的人,而不是一個隨口說「讓我們試試這個」的人。

答案2

在我看來,簡單的答案是,如果您不授予某人存取權限,他們將無法幫助解決問題。但使用您不信任的公司是不明智的。無論是街上的人還是網路上的人,您都必須信任某人才能解決問題。

許多公司(例如 elance.com)都會為其所有技術人員提供評級和評論,如果他們沒有,那麼他們會找到一家有此功能的公司。您也可以找到對該公司的整體評價。一般來說,註冊這些網站的技術人員是為了賺一些外快,並且會誠實地嘗試來幫你。但在他們看到問題之前,無法判斷他們是否能夠做到。

但請確保您有備份……謹慎一點總沒有壞處。

答案3

這是什麼作業系統?您能否為他建立一個受限帳戶,僅允許他存取他需要的內容?

我從來沒有允許隨機存取網路上的陌生人,也永遠不會。在與供應商的技術人員進行面對面的會議之前,我甚至不會允許他們訪問。

對於這種潛在有害的東西,您是否想使用 elance 而不是尋找可以坐在您辦公桌旁並讓您觀看他們輸入的每個命令的當地 IT 顧問?

答案4

我還沒有授予對我管理的任何伺服器的存取權限。但我已多次獲得存取權限。

我獲得了直接 RDP、SSH,其中一個使用了 logmein.com。從安全角度來看,我認為 logmein.com 的服務是最好的。 B/c 在您點擊 Windows 登入提示之前,這是一個安全層。如果你不能做這樣的事情。 RDP 將發揮作用。然後您可以在事後關閉訪問。

因為你不能保證他們一旦到達那裡就不會做出任何惡意行為。在移交帳戶之前,您應該詳細清點使用者帳戶和正在運行的服務。完整備份也始終是一個好主意。

當他完成後,您可以停用該帳戶。然後您可以將新的伺服器狀態與您取得的庫存進行比較。您還可以在 Windows 或 Linux 中進行文件搜索,並按修改日期進行搜索,以查看它們觸及的文件。

您可以採取的另一個步驟是授予他們非常基本的使用者權限,而不是管理員。然後在深入解決問題時升級他們所需的權限。這樣做的問題是它會花費你更多的時間來解決問題。

相關內容