लिनक्स: रूट के बिना उत्पादक sysadmins (बौद्धिक संपदा हासिल करना)?

क्या कोई रूटीन सीडैमिन उत्पादक बनाने का कोई तरीका है जो उसे पूर्ण रूट एक्सेस दिए बिना है?

यह प्रश्न बौद्धिक संपदा (आईपी) की रक्षा के एक परिप्रेक्ष्य से आता है, जो मेरे मामले में, पूरी तरह से कोड और / या कॉन्फ़िगरेशन फ़ाइलें (यानी छोटी डिजिटल फाइलें जो आसानी से कॉपी की जाती हैं) है। हमारी गुप्त चटनी ने हमारे छोटे आकार की तुलना में हमें अधिक सफल बना दिया है। इसी तरह, हम एक बार काटे जाते हैं, कुछ पूर्व बेईमान कर्मचारियों (नहीं sysadmins) से दो बार शर्माते हैं जिन्होंने आईपी चुराने की कोशिश की। शीर्ष प्रबंधन की स्थिति मूल रूप से है, "हम लोगों पर भरोसा करते हैं, लेकिन स्व-हित से बाहर, किसी भी एक व्यक्ति को अधिक पहुंच देने के जोखिम को बर्दाश्त नहीं कर सकते हैं क्योंकि उन्हें पूरी तरह से अपना काम करने की आवश्यकता है।"

पर डेवलपर की ओर, यह वर्कफ़्लो और एक्सेस स्तर ऐसा है कि लोग उत्पादक हो सकते हैं विभाजन लेकिन केवल केवल देखें कि वे क्या देखने की जरूरत अपेक्षाकृत आसान है। केवल शीर्ष लोगों (वास्तविक कंपनी मालिकों) में सभी अवयवों को संयोजित करने और विशेष सॉस बनाने की क्षमता है।

लेकिन मैं लिनक्स एडमिन की ओर से इस आईपी गोपनीयता को बनाए रखने के लिए एक अच्छा तरीका नहीं ला सका हूं। हम कोड और संवेदनशील पाठ फ़ाइलों के लिए GPG का व्यापक उपयोग करते हैं ... लेकिन उपयोगकर्ता (su मिंग) से किसी व्यवस्थापक को रोकने के लिए क्या करना है?

(हमारे पास हर जगह इंटरनेट एक्सेस अक्षम है जो संभवतः संवेदनशील जानकारी के संपर्क में आ सकता है। लेकिन, कुछ भी सही नहीं है, और नेटवर्क व्यवस्थापक की ओर से चालाक sysadmins या गलतियों के लिए खुले छेद हो सकते हैं। या यहां तक ​​कि पुराने यूएसबी भी अच्छे हैं। बेशक कई अन्य उपाय जगह में हैं, लेकिन वे इस सवाल के दायरे से परे हैं।)

सबसे अच्छा मैं साथ आ सकता हूं मूल रूप से सुडो के साथ व्यक्तिगत खातों का उपयोग करना , जो कि रूट के रूप में काम करने वाले मल्टीपल लिनक्स सिसडमिन में वर्णित है । विशेष रूप से: कंपनी के मालिकों को छोड़कर कोई भी वास्तव में सीधे रूट का उपयोग नहीं करेगा। अन्य प्रवेशों में एक व्यक्तिगत खाता और जड़ में sudo करने की क्षमता होगी । इसके अलावा, रिमोट लॉगिंग की स्थापना की जाएगी, और लॉग केवल एक सर्वर पर जाएंगे जो कंपनी के मालिक एक्सेस कर सकते हैं। लॉगिंग बंद देखकर कुछ तरह के अलर्ट सेट हो जाएंगे।

एक चतुर sysadmin शायद अभी भी इस योजना में कुछ छेद पा सकता है। और यह एक तरफ, यह अभी भी सक्रिय के बजाय प्रतिक्रियाशील है । हमारे आईपी के साथ समस्या ऐसी है कि प्रतियोगी इसका उपयोग बहुत जल्दी कर सकते हैं, और बहुत ही कम क्रम में बहुत अधिक नुकसान पहुंचा सकते हैं।

तो फिर भी बेहतर एक ऐसा तंत्र होगा जो सीमित कर सकता है कि व्यवस्थापक क्या कर सकता है। लेकिन मैं मानता हूं कि यह एक नाजुक संतुलन है (विशेष रूप से समस्या निवारण और उत्पादन के मुद्दों को हल करने के लिए, जिन्हें अभी हल करने की आवश्यकता है )।

मैं मदद नहीं कर सकता लेकिन आश्चर्य है कि बहुत संवेदनशील डेटा वाले अन्य संगठन इस मुद्दे को कैसे प्रबंधित करते हैं? उदाहरण के लिए, सैन्य sysadmins: वे गोपनीय जानकारी देखने में सक्षम होने के बिना सर्वर और डेटा का प्रबंधन कैसे करते हैं?

संपादित करें: शुरुआती पोस्टिंग में, मेरा मतलब "हायरिंग प्रैक्टिस" टिप्पणियों को संबोधित करना था जो सतह पर शुरू हो रही हैं। एक, यह एक तकनीकी प्रश्न माना जाता है , और आईएमओ को काम पर रखने से सामाजिक प्रश्नों की ओर अधिक रुझान होता है । लेकिन, दो, मैं यह कहूंगा: मेरा मानना ​​है कि हम वह सब कुछ करते हैं जो लोगों को काम पर रखने के लिए उचित है: एकाधिक के साथ साक्षात्कारफर्म के लोग; पृष्ठभूमि और संदर्भ जांच; सभी कर्मचारी कई कानूनी दस्तावेजों पर हस्ताक्षर करते हैं, जिनमें से एक यह कहता है कि उन्होंने हमारे हैंडबुक को पढ़ा और समझा है जो आईपी चिंताओं के बारे में विस्तार से बताता है। अब, यह इस प्रश्न / साइट के दायरे से बाहर है, लेकिन अगर कोई "सही" काम पर रखने की प्रथा का प्रस्ताव कर सकता है जो 100% खराब अभिनेताओं को फ़िल्टर करता है, तो मैं सभी कान हूं। तथ्य हैं: (1) मुझे विश्वास नहीं है कि इस तरह की एक सटीक भर्ती प्रक्रिया है; (२) लोग बदलते हैं - आज का देवदूत कल का शैतान हो सकता है; (३) कोड चोरी का प्रयास इस उद्योग में कुछ हद तक नियमित प्रतीत होता है।

आप जिस बारे में बात कर रहे हैं, उसे "ईविल सिसाडमिन" जोखिम के रूप में जाना जाता है। इसका लंबा और छोटा हिस्सा है:

• एक sysadmin वह है जिसने विशेषाधिकारों को बढ़ाया है
• तकनीकी रूप से, एक स्तर पर, जो उन्हें एक अच्छा 'हैकर' बना देगा।
• विषम परिदृश्यों में सिस्टम के साथ बातचीत।

इन चीजों का संयोजन दुर्भावनापूर्ण कार्रवाई को रोकने के लिए अनिवार्य रूप से असंभव बनाता है। यहां तक ​​कि ऑडिटिंग भी कठिन हो जाती है, क्योंकि आपके पास तुलना करने के लिए कोई 'सामान्य' नहीं है। (और स्पष्ट रूप से - एक टूटी हुई प्रणाली ने अच्छी तरह से ऑडिटिंग को भी तोड़ दिया होगा)।

समसामयिक चरणों का गुच्छा हैं:

• विशेषाधिकार अलग करना - आप सिस्टम पर कुछ भी करने से किसी लड़के को जड़ से नहीं रोक सकते । लेकिन आप नेटवर्किंग के लिए एक टीम को जिम्मेदार बना सकते हैं और दूसरी टीम को 'ऑपरेटिंग सिस्टम' (या यूनिक्स / विंडोज को अलग से) के लिए जिम्मेदार बना सकते हैं।
• एक अलग टीम में किट के लिए भौतिक पहुँच को सीमित करें, जिन्हें व्यवस्थापक खाते नहीं मिलते ... लेकिन सभी 'हाथों' के काम का ध्यान रखें।
• 'डेस्कटॉप' और 'सर्वर' जिम्मेदारी को अलग करें। डेटा को हटाने के लिए डेस्कटॉप को कॉन्फ़िगर करें। डेस्कटॉप एडिंस के पास संवेदनशील तक पहुंचने की कोई क्षमता नहीं है, सर्वर प्रवेश इसे चुरा सकता है, लेकिन इसे इमारत से बाहर निकालने के लिए हुप्स से कूदना होगा।
• एक सीमित पहुंच प्रणाली की syslogऑडिटिंग - और घटना स्तर की ऑडिटिंग, एक अपेक्षाकृत छेड़छाड़ प्रतिरोधी प्रणाली के लिए कि उनके पास विशेषाधिकार प्राप्त एक्सेस नहीं है। लेकिन इसे इकट्ठा करना पर्याप्त नहीं है, आपको इसकी निगरानी करने की आवश्यकता है - और स्पष्ट रूप से, जानकारी को 'चोरी' करने का एक तरीका है जो एक ऑडिट रडार पर दिखाई नहीं दे सकता है। (शिकारी बनाम गेमकीपर)
• 'बाकी' एन्क्रिप्शन पर लागू करें, इसलिए डेटा 'स्पष्ट' में संग्रहीत नहीं है, और एक्सेस करने के लिए लाइव सिस्टम की आवश्यकता होती है। इसका मतलब यह है कि भौतिक पहुंच वाले लोग एक ऐसी प्रणाली का उपयोग नहीं कर सकते हैं जिसकी सक्रिय रूप से निगरानी नहीं की जा रही है, और यह कि 'विषम' परिदृश्य में जहां एक sysadmin इस पर काम कर रहा है, डेटा कम उजागर होता है। (उदाहरण के लिए यदि डेटाबेस काम नहीं कर रहा है, तो डेटा संभवतः पठनीय नहीं है)
• दो आदमी शासन करते हैं - यदि आप अपनी उत्पादकता से अपंग हैं, और आपका मनोबल ठीक है। (गंभीरता से - मैंने इसे पूरा कर लिया है, और लगातार काम करने और देखे जाने की स्थिति इसे अत्यंत कठिन काम की स्थिति बनाती है)।
• अपने sysadmins Vet - विभिन्न रिकॉर्ड जाँच देश के आधार पर मौजूद हो सकते हैं। (आपराधिक रिकॉर्ड की जाँच करें, आप यह भी पा सकते हैं कि आप कुछ मामलों में सुरक्षा मंजूरी के लिए आवेदन कर सकते हैं, जो वीटिंग को ट्रिगर करेगा)
• अपने sysadmins के बाद देखो - आप चाहते हैं कि आखिरी आखिरी बात एक "विश्वसनीय" व्यक्ति को बताएं कि आप उन पर भरोसा नहीं करते हैं। और आप निश्चित रूप से मनोबल को नुकसान नहीं पहुंचाना चाहते हैं, क्योंकि इससे दुर्भावनापूर्ण व्यवहार की संभावना बढ़ जाती है (या 'लापरवाही नहीं, लेकिन सतर्कता में फिसलन')। लेकिन जिम्मेदारी के साथ-साथ कौशल सेट के अनुसार भुगतान करें। और 'भत्तों' पर विचार करें - जो वेतन से सस्ता है, लेकिन शायद अधिक मूल्यवान है। जैसे सप्ताह में एक बार मुफ्त कॉफी, या पिज्जा।
• और आप इसे रोकने के लिए अनुबंध की शर्तों को भी आज़मा सकते हैं और लागू कर सकते हैं, लेकिन ऊपर से सावधान रहें।

लेकिन बहुत मौलिक रूप से - आपको यह स्वीकार करने की आवश्यकता है कि यह एक भरोसेमंद चीज है, न कि तकनीकी चीज। इस आदर्श तूफान के परिणामस्वरूप, आपके सिस्मडिन्स हमेशा आपके लिए बहुत खतरनाक होंगे।

यहाँ तक कहा गया सब कुछ अच्छा सामान है, लेकिन एक 'आसान' गैर तकनीकी तरीका है जो एक दुष्ट sys व्यवस्थापक को नकारने में मदद करता है - चार आंख सिद्धांत जो मूल रूप से दो sysadmins किसी भी उन्नत पहुंच के लिए मौजूद होना चाहिए।

संपादित करें: मैंने जिन दो सबसे बड़ी वस्तुओं को टिप्पणियों में देखा है वे लागत और मिलीभगत की संभावना पर चर्चा कर रहे हैं। उन सबसे बड़े तरीकों में से एक जो मैंने उन दोनों मुद्दों से बचने के लिए माना है, केवल प्रबंधित कार्यों के उपयोग के लिए उपयोग की जाने वाली प्रबंधित सेवा कंपनी के उपयोग के साथ है। ठीक से तकनीक एक दूसरे को पता नहीं चलेगा। तकनीकी कौशल को मानते हुए कि एक एमएसपी होना चाहिए, यह काफी आसान होगा कि किए गए कार्यों का एक संकेत है .. शायद यह भी एक हाँ / नहीं के रूप में सरल के रूप में कुछ भी नापाक है।

अगर लोगों को वास्तव में किसी सिस्टम में एडमिन एक्सेस की आवश्यकता होती है तो उस बॉक्स पर अपनी गतिविधियों को प्रतिबंधित करने के लिए आप बहुत कम कर सकते हैं।

बहुसंख्यक संगठन विश्वास करते हैं, लेकिन सत्यापित करते हैं - आप लोगों को सिस्टम के कुछ हिस्सों तक पहुँच प्रदान कर सकते हैं, लेकिन आप नामित व्यवस्थापक खातों का उपयोग करते हैं (जैसे कि आप उन्हें रूट तक सीधी पहुँच नहीं देते हैं ) और फिर उनकी गतिविधियों का ऑडिट करके उन्हें लॉग इन करें के साथ हस्तक्षेप नहीं कर सकता।

यहाँ एक संतुलन कार्य है; आपको अपने सिस्टम को सुरक्षित रखने की आवश्यकता हो सकती है लेकिन आपको लोगों को अपने काम करने के लिए भी भरोसा करने की आवश्यकता है। यदि कंपनी को पहले एक बेईमान कर्मचारी द्वारा "काट" दिया गया था, तो यह सुझाव दे सकता है कि प्रथाओं को काम पर रखने वाली कंपनियां किसी तरह से खराब हैं, और उन प्रथाओं को "शीर्ष प्रबंधकों" द्वारा संभवतः बनाया गया था। भरोसा घर से शुरू होता है; वे अपने काम पर रखने के विकल्पों को ठीक करने के लिए क्या कर रहे हैं?

अपने आप को एक पागल तकनीकी दिमाग में डालने के बिना प्रयास करने के लिए और उन्हें शक्ति देने के बिना एक sysadmin शक्ति देने के तरीके के साथ आने के लिए (इसकी संभावना संभव है, लेकिन अंततः किसी तरह से दोषपूर्ण होगा)।

एक व्यावसायिक अभ्यास के दृष्टिकोण से सरल समाधानों का एक सेट है। सस्ता समाधान नहीं है, लेकिन सरल है।

आपने उल्लेख किया है कि आपके द्वारा चिन्हित किए गए आईपी के टुकड़े विभाजित हैं और केवल शीर्ष पर मौजूद लोगों में ही उन्हें देखने की शक्ति है। यह अनिवार्य रूप से आपका जवाब है। आपके पास एक से अधिक व्यवस्थापक होने चाहिए, और उनमें से कोई भी पूरी तस्वीर को एक साथ रखने के लिए पर्याप्त सिस्टम पर एक व्यवस्थापक नहीं होना चाहिए। यदि कोई व्यवस्थापक बीमार है या कार दुर्घटना या कुछ और है, तो आपको निश्चित रूप से प्रत्येक टुकड़े के लिए कम से कम 2 या 3 एडमिट की आवश्यकता होगी। शायद उन्हें भी डगमगाए। आपके पास 4 व्यवस्थापक हैं, और जानकारी के 8 टुकड़े हैं। व्यवस्थापक 1 उन सिस्टमों तक पहुंच सकता है जिनके पास टुकड़ा 1 और 2 है, व्यवस्थापक 2 टुकड़ों 2 और 3 को प्राप्त कर सकते हैं, व्यवस्थापक 3 को 3 और 4 प्राप्त कर सकते हैं, और व्यवस्थापक 4 को 4 और 1. प्राप्त कर सकते हैं। प्रत्येक प्रणाली में एक बैकअप व्यवस्थापक है, लेकिन नहीं व्यवस्थापक पूरी तस्वीर से समझौता करने में सक्षम है।

एक तकनीक जो सैन्य उपयोग करती है, वह है मूविंग डेटा की सीमा। एक संवेदनशील क्षेत्र में केवल एक ही सिस्टम हो सकता है जो डिस्क को जलाने में सक्षम हो, या यूएसबी फ्लैश ड्राइव का उपयोग कर रहा हो, अन्य सभी सिस्टम प्रतिबंधित हैं। और उस प्रणाली का उपयोग करने की क्षमता बेहद सीमित है और किसी भी चीज पर कोई भी डेटा डालने की अनुमति देने से पहले उच्च अप द्वारा विशिष्ट दस्तावेज की मंजूरी की आवश्यकता होती है जो सूचना फैलाने का कारण बन सकती है। एक ही टोकन के साथ, आप यह सुनिश्चित करते हैं कि विभिन्न प्रणालियों के बीच नेटवर्क ट्रैफ़िक हार्डवेयर फ़ायरवॉल द्वारा सीमित है। आपके नेटवर्क व्यवस्थापक जो आग की दीवारों को नियंत्रित करते हैं, उनके पास उन प्रणालियों तक कोई पहुंच नहीं है जिन्हें वे रूट कर रहे हैं, इसलिए वे विशेष रूप से सूचना तक पहुंच प्राप्त नहीं कर सकते हैं, और आपके सर्वर / वर्कस्टेशन व्यवस्थापक सुनिश्चित करते हैं कि सिस्टम से और डेटा तक सभी को एन्क्रिप्ट किया जाना है,

सभी लैपटॉप / वर्कस्टेशन में हार्ड ड्राइव को एन्क्रिप्ट किया जाना चाहिए, और प्रत्येक कर्मचारी के पास एक निजी लॉकर होना चाहिए, जो कि रात के अंत में ड्राइव / लैपटॉप को लॉक करने के लिए आवश्यक है ताकि यह सुनिश्चित हो सके कि कोई भी जल्दी नहीं आता है / देर से निकलता है और किसी चीज़ तक पहुंच प्राप्त करता है वे करने वाले नहीं हैं।

प्रत्येक सर्वर बहुत कम से कम अपने स्वयं के लॉक किए गए रैक में होना चाहिए, यदि अपना स्वयं का लॉक रूम नहीं है, ताकि प्रत्येक सर्वर के लिए जिम्मेदार केवल व्यवस्थापक तक ही पहुंच हो, क्योंकि दिन के अंत में शारीरिक पहुंच सभी को मिलती है।

अगला एक अभ्यास है जो या तो चोट पहुंचा सकता है / मदद कर सकता है। सीमित अनुबंध। अगर आपको लगता है कि आप नई प्रतिभाओं को आकर्षित करने के लिए पर्याप्त भुगतान कर सकते हैं, तो समय के पूर्व-निर्धारित सेट के लिए प्रत्येक व्यवस्थापक को रखने का विकल्प (IE 6 महीने, 1 वर्ष, 2 वर्ष) आपको यह सीमित करने की अनुमति देगा कि किसी के पास कितना समय होगा अपने आईपी के सभी टुकड़ों को एक साथ रखने का प्रयास करें।

मेरा व्यक्तिगत डिज़ाइन कुछ इस प्रकार होगा ... अपने डेटा को कई टुकड़ों में विभाजित करें, जो 8 नंबर होने के लिए कहता है, आपके पास 8 git सर्वर हैं, प्रत्येक के पास निरर्थक हार्डवेयर का एक सेट है, प्रत्येक द्वारा प्रशासित व्यवस्थापक का एक अलग सेट।

सभी कार्यस्थानों के लिए एन्क्रिप्टेड हार्डवेयर जो आईपी को स्पर्श करेंगे। ड्राइव पर एक विशिष्ट "प्रोजेक्ट" निर्देशिका के साथ एकमात्र निर्देशिका उपयोगकर्ता को अपनी परियोजनाएं लगाने की अनुमति है। प्रत्येक रात के अंत में उन्हें एक सुरक्षित विलोपन उपकरण के साथ अपनी परियोजना निर्देशिकाओं को संपीड़ित करने की आवश्यकता होती है, फिर हार्ड ड्राइव हटा दिए जाते हैं और लॉक अप (बस सुरक्षित होने के लिए)।

परियोजना के प्रत्येक बिट में एक अलग व्यवस्थापक को सौंपा गया है, इसलिए एक उपयोगकर्ता केवल कार्य केंद्र व्यवस्थापक के साथ बातचीत करेगा, जिसे यदि उनके परियोजना असाइनमेंट में परिवर्तन होता है, तो उनका डेटा मिटा दिया जाता है, उन्हें एक नया व्यवस्थापक सौंपा जाता है। उनकी प्रणालियों में जलती हुई क्षमताएं नहीं होनी चाहिए और बिना प्राधिकरण के डेटा को स्थानांतरित करने के लिए यूएसबी फ्लैश ड्राइव के उपयोग को रोकने के लिए एक सुरक्षा कार्यक्रम का उपयोग करना चाहिए।

इससे आप क्या लेंगे।

यह एक इमारत के लिए एक चौकीदार को काम पर रखने की चुनौती के समान होगा। चौकीदार को सभी चाबियां मिल जाती हैं, कोई भी दरवाजा खोल सकता है, लेकिन इसका कारण यह है कि चौकीदार को उन्हें काम करने की आवश्यकता है। सिस्टम व्यवस्थापक के साथ भी। सममित रूप से इस उम्र की पुरानी समस्या के बारे में सोच सकते हैं और उन तरीकों को देखते हैं जिन पर भरोसा किया जाता है।

यद्यपि कोई साफ-सुथरा तकनीकी समाधान नहीं है, लेकिन यह तथ्य कि कोई भी एक कारण नहीं होना चाहिए कि हम किसी भी तरह की कोशिश नहीं करते हैं, अपूर्ण समाधानों का एकत्रीकरण कुछ शानदार परिणाम दे सकता है।

एक मॉडल जहां विश्वास अर्जित किया जाता है :

• शुरू करने के लिए कम अनुमति दें
• धीरे-धीरे अनुमतियाँ बढ़ाएँ
• आने वाले दिनों में क्या होता है, इस पर हनीपॉट लगाएं और निगरानी करें
• यदि sysadmin इसे दुरुपयोग करने की कोशिश करने के बजाय रिपोर्ट करता है, तो यह एक अच्छी शुरुआत है

प्रशासनिक शक्तियों के कई स्तरों को लागू करें :

• स्तर 1: विन्यास फाइल के निचले स्तर को संशोधित कर सकता है
• स्तर 2: कॉन्फ़िगरेशन फ़ाइलों के थोड़ा उच्च स्तरीय को संशोधित कर सकता है
• स्तर 3: कॉन्फ़िगरेशन फ़ाइलों और ओएस सेटिंग्स के थोड़ा उच्च स्तरीय को संशोधित कर सकते हैं

हमेशा ऐसा माहौल बनाएं जहां एक व्यक्ति द्वारा कुल पहुंच संभव न हो :

• समूहों में विभाजन प्रणाली
• विभिन्न समूहों को क्लस्टर व्यवस्थापक शक्तियाँ दें
• न्यूनतम 2 समूह

उच्च-स्तरीय कोर परिवर्तन करते समय दो-मैन नियम का उपयोग करें :

• https://en.wikipedia.org/wiki/Two-man_rule
• कोर परिवर्तनों के लिए क्लस्टर 1 और क्लस्टर 2 से एक व्यवस्थापक की आवश्यकता है

भरोसा करें और सत्यापित करें :

• सब कुछ लॉग इन करें
• निगरानी और चेतावनी लॉग करें
• सुनिश्चित करें कि सभी क्रियाएं अलग-अलग हैं

कागजी कार्रवाई :

• क्या कानूनी कार्रवाई करने के लिए उन्हें कागजी कार्रवाई करने के लिए साइन इन करें, अगर वे आपको चोट पहुंचाते हैं तो आप उन पर मुकदमा करने में मदद कर सकते हैं।

प्रशासनिक पहुंच वाले लोगों के खिलाफ मेजबान को सुरक्षित करना बहुत कठिन है। जबकि पावरब्रोकर जैसे उपकरण ऐसा करने का प्रयास करते हैं, लागत दोनों कुछ और जोड़ रही है जो इसे ठीक करने के प्रयासों में बाधाओं को तोड़ और जोड़ सकते हैं । आपका सिस्टम उपलब्धता होगा जब आप कुछ को लागू की तरह इस ताकि उम्मीद जल्दी चीजों की रक्षा करने की लागत के रूप में सेट छोड़ देते हैं।

एक अन्य संभावना यह देखने की है कि क्या आपका ऐप क्लाउड प्रदाता के माध्यम से या स्थानीय रूप से होस्ट किए गए निजी क्लाउड में डिस्पोजेबल होस्ट पर चल सकता है। जब कोई टूट जाता है, तो इसे ठीक करने के लिए एक व्यवस्थापक में भेजने के बजाय, आप इसे फेंक देते हैं और एक प्रतिस्थापन का निर्माण करते हैं। उन्हें इस मॉडल में चलने के लिए एप्लिकेशन पक्ष पर काफी काम करने की आवश्यकता होगी, लेकिन यह बहुत सारे परिचालन और सुरक्षा मुद्दों को हल कर सकता है। यदि खराब तरीके से किया जाता है, तो यह कुछ महत्वपूर्ण सुरक्षा समस्याएं पैदा कर सकता है, इसलिए यदि आप उस मार्ग पर जाते हैं तो अनुभवी सहायता प्राप्त करें।

यह आपकी आधारभूत चर्चा है: https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

आपने सुरक्षा इंजीनियरों को जिनकी जिम्मेदारी है कि वे सिस्टम कॉन्फिगरेशन और इंस्टाल करें, लेकिन उत्पादन में मशीनों की कोई विश्वसनीयता या पहुंच नहीं है। वे आपकी ऑडिट संरचना भी चलाते हैं।

आपके पास उत्पादन व्यवस्थापक हैं जो सिस्टम प्राप्त करते हैं, लेकिन SELinux नीतियों के सक्रिय होने के बिना मशीन को बूट करने की कुंजी नहीं है। सुरक्षा को डिस्क पर संग्रहीत संवेदनशील डेटा को डिक्रिप्ट करने की कुंजी नहीं मिलती है जब उन्हें सेवा से खींची गई एक टूटी हुई मशीन मिलती है।

वॉल्ट की तरह मजबूत ऑडिटिंग के साथ एक केंद्रीकृत प्रमाणीकरण प्रणाली का उपयोग करें और इसके क्रिप्टो संचालन का उपयोग करें। चाबियों को पूरी तरह से निजी और अपठनीय बनाने के लिए Yubikey उपकरणों को हाथ से बाहर करें।

मशीनों को या तो टूटने पर मिटा दिया जाता है या एक साथ ऑप्स और सुरक्षा द्वारा संभाला जाता है, और यदि आपको कार्यकारी कार्यकारी की जरूरत महसूस होती है।

नौकरी की प्रकृति के अनुसार सभी चीजों तक पहुंच होती है। वे फ़ाइल सिस्टम में प्रत्येक फ़ाइल को अपने व्यवस्थापक क्रेडेंशियल्स के साथ देख सकते हैं। इसलिए, आपको फ़ाइलों को एन्क्रिप्ट करने के लिए एक तरीके की आवश्यकता होगी ताकि प्रवेशकर्ता इसे देख न सकें, लेकिन टीमों द्वारा फ़ाइलें अभी भी उपयोग करने योग्य हैं जिन्हें इसे देखना चाहिए। वॉर्मेट्रिक ट्रांसपरेंट एन्क्रिप्शन ( http://www.vormetric.com/products/transparent-enc एन्क्रिप्शन ) में देखें

इसके काम करने का तरीका यह है कि यह फाइलसिस्टम और इसे एक्सेस करने वाले एप्लिकेशन के बीच बैठता है। प्रबंधन ऐसी नीति बना सकता है जो कहती है कि "केवल httpd उपयोगकर्ता, वेबसर्वर डेमॉन चलाने से फाइलें अनएन्क्रिप्टेड देखी जा सकती हैं"। फिर उनके रूट क्रेडेंशियल्स वाला एक व्यवस्थापक फ़ाइलों को पढ़ने की कोशिश कर सकता है और केवल एन्क्रिप्टेड संस्करण प्राप्त कर सकता है। लेकिन वेब सर्वर और इसे जिस भी टूल की आवश्यकता होती है, उन्हें अनएन्क्रिप्टेड देखता है। यह बाइनरी को चेकसम भी कर सकता है ताकि व्यवस्थापक के लिए इसे प्राप्त करना मुश्किल हो जाए।

बेशक, आपको ऑडिटिंग को सक्षम करना चाहिए ताकि उस स्थिति में कोई व्यवस्थापक उन फ़ाइलों को एक्सेस करने का प्रयास करता है जो एक संदेश फ़्लैग हो जाता है और लोग इसके बारे में जानते हैं।

एकमात्र व्यावहारिक तरीका प्रतिबंधित है जो सूडो के साथ क्या कर सकता है। आप संभावित रूप से वह भी कर सकते हैं जो आप सेलिनक्स के साथ करना चाहते हैं, लेकिन सही कॉन्फ़िगरेशन का पता लगाने के लिए यह हमेशा के लिए ले जाएगा जो इसे अव्यवहारिक बना सकता है।

अप्रकटीकरण समझौते। एक sysadmin किराए पर लें, उन्हें एक NDA पर हस्ताक्षर करना होगा, यदि वे अपना वादा तोड़ते हैं, तो उन्हें अदालत में ले जाएं। यह उन्हें रहस्य चुराने से नहीं रोक सकता है , लेकिन ऐसा करने से उन्हें होने वाले किसी भी नुकसान को अदालत में वसूल किया जा सकता है।

सैन्य और सरकारी sysadmins को विभिन्न ग्रेड की सुरक्षा मंजूरी प्राप्त करनी होती है जो इस बात पर निर्भर करता है कि सामग्री कितनी संवेदनशील है। यह विचार कि कोई व्यक्ति जो निकासी प्राप्त कर सकता है, उसके चोरी होने या धोखा खाने की संभावना कम है।

एक और तरीका है कि कैसे कम जोखिम (पहले उल्लेखित लोगों के बगल में उपयोग करें, इसके बजाय) अपने sysadmins को अच्छा पैसा देना है। उन्हें इतना अच्छा वेतन दें कि वे आपके आईपी से चोरी न करें और आपको छोड़ दें।

मैं सोच रहा हूँ कि यह सवाल कुछ और विवरणों के बिना पूरी तरह से उत्तर देने के लिए संभव नहीं हो सकता है, जैसे:

कितने sysadmins आप "प्रतिबंधित" रखने की उम्मीद करते हैं?

लोगों को क्या करने के लिए "sysadmin" पहुंच की आवश्यकता है?

सबसे पहले, इस बात से अवगत रहें कि आप सूडो के साथ क्या कर सकते हैं। सुडो के साथ, आप केवल एक ही कमांड (या बदलाव, जैसे कमांड जो "आर-आर" से शुरू होते हैं, लेकिन अन्य कमांड की अनुमति नहीं है) को चलाने के लिए उन्नत अनुमतियों की अनुमति दे सकते हैं। SSH कुंजियों के साथ, आप ऐसे क्रेडेंशियल्स असाइन कर सकते हैं जो किसी व्यक्ति को केवल एक निश्चित कमांड चलाने की अनुमति देता है (जैसे "sudo Mount -r / dev / sdd0 / media / backup")। इसलिए, किसी भी (जिनके पास SSH कुंजी है) के बारे में अनुमति देने के लिए एक अपेक्षाकृत आसान तरीका है कि कुछ विशिष्ट कार्यों को करने के लिए उन्हें पूरी तरह से सब कुछ करने के बिना सक्षम होने के लिए।

यदि आप चाहते हैं कि तकनीशियन टूटे हुए को ठीक कर रहे हैं तो चीजें थोड़ी अधिक चुनौतीपूर्ण हो जाती हैं। इसके लिए आमतौर पर अधिक मात्रा में अनुमतियों की आवश्यकता होती है, और शायद विभिन्न प्रकार के आदेशों को चलाने के लिए, और / या विभिन्न प्रकार की फ़ाइलों को लिखना होता है।

मेरा सुझाव है कि वेब आधारित प्रणालियों के दृष्टिकोण पर विचार करें, जैसे कि CPanel (जिसका उपयोग कई ISPs द्वारा किया जाता है) या क्लाउड-आधारित सिस्टम। वे अक्सर एक मशीन पर समस्याओं को दूर कर सकते हैं, जिससे पूरी मशीन चली जाती है। इसलिए, एक व्यक्ति एक कमांड को चलाने में सक्षम हो सकता है जो मशीन को बदल देता है (या किसी ज्ञात-अच्छी छवि के लिए मशीन को पुनर्स्थापित करता है), जरूरी नहीं कि व्यक्ति को बहुत सारे डेटा को पढ़ने के लिए एक्सेस दे, या छोटे बदलाव करें (जैसे एक मामूली फिक्स को संयोजित करना) अनधिकृत बैक डोर की शुरूआत के साथ)। फिर, आपको उन लोगों पर भरोसा करने की आवश्यकता है जो चित्र बनाते हैं, लेकिन आप कम कर रहे हैं कि छोटे सामान करने के लिए आपको कितने लोगों पर भरोसा करने की आवश्यकता है।

अंततः, हालांकि, कुछ गैर-शून्य संख्या के लोगों को ट्रस्ट की एक निश्चित राशि प्रदान करने की आवश्यकता होती है जो सिस्टम को डिजाइन करने में मदद करते हैं और जो उच्चतम स्तर पर काम करते हैं।

एक चीज जो बड़ी कंपनियां करती हैं, वह है SQL सर्वर जैसी चीजों पर भरोसा करना, जो बड़ी संख्या में मशीनों द्वारा दूर से एक्सेस किए जा सकने वाले डेटा को स्टोर करती हैं। फिर, SQL सर्वर पर रूट एक्सेस न होने पर, बड़ी संख्या में तकनीशियनों की कुछ मशीनों पर पूरी रूट एक्सेस हो सकती है।

असफल होने के लिए एक और दृष्टिकोण बहुत बड़ा होना है। ऐसा मत सोचो कि बड़े उग्रवादियों या विशालकाय निगमों में कभी भी सुरक्षा घटनाएं नहीं होती हैं। हालांकि, वे जानते हैं कि कैसे:

• ठीक हो,
• सीमा क्षति (मूल्यवान चीजों को अलग करके)
• मुकदमेबाजी के खतरों सहित प्रति-उपाय हैं
• प्रेस करने के लिए अवांछनीय जोखिम को सीमित करने में मदद करने के लिए प्रक्रियाएं हैं, और योजना है कि किसी भी नकारात्मक कहानियों के स्पिन को कैसे प्रभावित किया जाए जो विकसित होता है

मूल धारणा यह है कि होने वाली क्षति उनके व्यापार करने का जोखिम और लागत है। वे संचालन करना जारी रखने की उम्मीद करते हैं, और वर्षों से चल रहे विकास और सुधारों को सीमित करेगा कि किसी एक घटना से वास्तव में समय की अवधि में उनके दीर्घकालिक मूल्य को प्रभावित करने की कितनी क्षति होती है।

सक्रिय जांच करना बहुत मुश्किल है।

की तरह समाधान http://software.dell.com/solutions/privileged-management/ (मैं डेल के लिए काम नहीं करते और अन्य समान समाधान उपलब्ध हैं) सिस्टम प्रशासक जवाबदेही को लागू करने में बहुत प्रभावी रहे हैं।

रूट प्रशासन मशीन को दो चाबियों के साथ बंद कमरे में रखें, और दो में से प्रत्येक प्रवेश के लिए केवल एक ही दें। एक-दूसरे की गतिविधियों को देखते हुए प्रवेश हमेशा एक साथ काम करेंगे। यह रूट के रूप में लॉगिन करने के लिए निजी कुंजी वाली एकमात्र मशीन होनी चाहिए।

कुछ गतिविधियों को मूल अधिकारों की आवश्यकता नहीं हो सकती है, इसलिए कार्य के केवल भाग को "जोड़ी प्रोग्रामिंग" के लिए उस कमरे में जाने की आवश्यकता होगी

आप उस कमरे में वीडियो रिकॉर्ड गतिविधियां भी कर सकते हैं, जो ज्यादातर यह सुनिश्चित करने के लिए है कि कोई भी अकेले काम न करे (यह बहुत आसानी से दिखाई देता है)। यह भी सुनिश्चित करें कि काम करने की जगह ऐसी हो, जिसमें स्क्रीन दोनों लोगों के लिए आसानी से दिखाई दे (शायद बड़े फोंट वाले बड़े टीवी स्क्रीन)।