سؤال كيف تبحث عن خلفي من شخص تكنولوجيا المعلومات السابق؟


كلنا نعرف أنه يحدث. رجل تكنولوجيا المعلومات القديم المرير يترك أ الباب الخلفي في النظام والشبكة من أجل الحصول على المتعة مع اللاعبين الجدد وإظهار الشركة مدى سوء الأمور بدونه.

لم أواجه هذا من قبل. أكثر ما خبرته هو شخص قام بكسر وسرقة الأشياء قبل مغادرته. أنا متأكد من أن هذا يحدث ، على الرغم من.

لذا ، عند تولي شبكة لا يمكن الوثوق بها ، ما الخطوات التي يجب اتخاذها لضمان أن كل شيء آمن وآمن؟


355
2017-08-18 15:04


الأصل


+1 ، أنا أحب هذا السؤال. أقل شيء مفضل عند التعامل مع عميل جديد ، خاصة إذا غادر آخر شخص بشروط سيئة. - DanBig
معظم الأماكن التي تركتها ، عدم وجودي هناك تقول "لا تفعل ذلك" يكفي لإسقاط الشبكة. لست بحاجة إلى مغادرة الأبواب - Paul Tomblin
Paul ، هذا يشير إلى أنك لم توثق بشكل صحيح. لنأمل أن يقوم الشخص (الأشخاص) الجديد بذلك الجزء من عمله بشكل صحيح. - John Gardeniers
John ، المستخدمين وزملاء العمل في قراءة الوثائق؟ أين يمكنني الحصول على بعض من هؤلاء؟ - Paul Tomblin
Paul ، المستخدمين - لا ، لماذا يجب عليهم؟ زملاء العمل (على افتراض أنك تقصد الناس تكنولوجيا المعلومات) - نعم. يجب أن تكون قراءة المستندات الخطوة الأولى في بدء مهمة جديدة. - John Gardeniers


الأجوبة:


انها حقا ، حقا ، من الصعب حقا. يتطلب مراجعة كاملة للغاية. إذا كنت متأكدًا تمامًا من أن الشخص القديم قد ترك شيئًا خلفه سيزول ، أو يتطلب إعادة توظيفه لأنه الشخص الوحيد الذي يمكنه وضع حريق ، فقد حان الوقت لنفترض أنك قد ترسخت بسبب حزب معاد. تعامل مع مجموعة من المتسللين وجاء في وسرقت الاشياء ، ويجب عليك تنظيف بعد الفوضى. لأن هذا هو ما هو عليه.

  • تدقيق كل حساب على كل نظام لضمان ارتباطه بكيان معين.
    • أما الحسابات التي تبدو مرتبطة بأنظمة ، ولكن لا يمكن حساب أي شخص لها ، فلا يمكن الوثوق بها.
    • يجب إزالة الحسابات التي لا ترتبط بأي شيء (يجب تنفيذ ذلك على أي حال ، ولكن من المهم بشكل خاص في هذه الحالة)
  • قم بتغيير أي وكلمات مرور قد تتعامل معها.
    • يمكن أن يكون هذا مشكلة حقيقية لحسابات المرافق لأن كلمات المرور هذه تميل إلى أن تكون مشفرة في الأشياء.
    • إذا كانوا نوعًا من أنواع مكتب المساعدة يستجيب لمكالمات المستخدم النهائي ، افترضوا أن لديهم كلمة مرور لأي شخص ساعدوه.
    • إذا كان لديهم مسؤول Enterprise أو Domain Admin إلى Active Directory ، فنفترض أنهم أمسكوا بنسخة من تجزئات كلمات المرور قبل مغادرتهم. يمكن أن يتم تصدعها بسرعة كبيرة الآن بحيث يلزم تغيير كلمة المرور على مستوى الشركة في غضون أيام.
    • إذا كان لديهم وصول الجذر إلى أي صناديق * لا شىء يفترض أنهم خرجوا مع تجزئات كلمة المرور.
    • قم بمراجعة كل استخدام مفتاح SSH للمفتاح العام للتأكد من أن مفاتيحهم يتم تطهيرها ، والتدقيق في حالة كشف أي مفاتيح خاصة أثناء وجودك بها.
    • إذا كان لديهم إمكانية الوصول إلى أي معدات اتصالات ، قم بتغيير كلمات مرور الموجّه / التبديل / العبّارة / PBX. هذا يمكن أن يكون ملكيًا حقًا حيث قد ينطوي هذا على انقطاع كبير.
  • تدقيق كامل لترتيبات الأمن المحيطة بك.
    • تأكد من أن جميع ثقوب جدار الحماية تتبع إلى أجهزة ومنافذ معتمدة.
    • تأكد من أن جميع طرق الوصول عن بعد (VPN ، SSH ، BlackBerry ، ActiveSync ، Citrix ، SMTP ، IMAP ، WebMail ، أيا كان) ليس لها أي مصادقة إضافية معلقة عليها ، وفحصها بالكامل لأساليب الوصول غير المصرح بها.
    • تأكد من تتبع ارتباطات WAN عن بُعد إلى الأشخاص العاملين بشكل كامل ، وتحقق من ذلك. اتصالات لاسلكية خاصة. أنت لا تريدهم أن يسيروا مع شركة مودم خلية مدفوعة أو هاتف ذكي. اتصل بجميع هؤلاء المستخدمين للتأكد من أن لديهم الجهاز المناسب.
  • إجراءات التدقيق الداخلي ذات الامتيازات الكاملة. هذه أشياء مثل الوصول إلى SSH / VNC / RDP / DRAC / iLO / IMPI إلى خوادم لا يملكها المستخدمون العامون ، أو أي وصول إلى أنظمة حساسة مثل الرواتب.
  • العمل مع جميع الموردين الخارجيين ومقدمي الخدمات لضمان صحة جهات الاتصال.
    • تأكد من التخلص من جميع قوائم الاتصال والخدمات. يجب القيام بذلك على أي حال بعد أي رحيل ، ولكنه مهم الآن.
    • التحقق من صحة جميع جهات الاتصال وشرعية ومعلومات الاتصال الصحيحة ، وهذا هو البحث عن الأشباح التي يمكن انتحالها.
  • بدء الصيد لقنابل المنطق.
    • تحقق من كل الأتمتة (جدولة المهام ، وظائف cron ، قوائم استدعاء UPS ، أو أي شيء يعمل وفقًا لجدول زمني أو يتم تشغيله في الحدث) بحثًا عن علامات الشر. عن طريق "كل" يعني كل شيء. تحقق من كل crontab واحد. تحقق من كل إجراء تلقائي في نظام المراقبة الخاص بك ، بما في ذلك التحريات نفسها. تحقق من كل برنامج جدولة مهام Windows ؛ حتى محطات العمل. ما لم تعمل لدى الحكومة في منطقة شديدة الحساسية ، لن تتمكن من تحمل نفقات "الجميع" ، فبذل قصارى جهدك.
    • التحقق من صحة ثنائيات النظام الرئيسية على كل خادم للتأكد من أنها ينبغي أن تكون. هذا أمر صعب ، لا سيما على ويندوز ، ويكاد يكون من المستحيل القيام بأثر رجعي على أنظمة لمرة واحدة.
    • بدء الصيد ل rootkits. بحكم التعريف من الصعب العثور عليها ، ولكن هناك ماسحات ضوئية لهذا.

ليس من السهل في أقل من ذلك ، ولا حتى عن قرب. يمكن تبرير حساب كل ذلك صعبًا دون وجود دليل قاطع على أن المسؤول الحالي الآن كان شريرًا. إن كل ما سبق ذكره لا يمكن تنفيذه حتى مع أصول الشركة ، الأمر الذي يتطلب توظيف مستشارين أمنيين للقيام ببعض من هذا العمل.

إذا تم الكشف عن الشر الفعلي ، خاصة إذا كان الشر في نوع ما من البرمجيات ، فإن مهنيي الأمن المدربين هم الأفضل لتحديد مدى اتساع المشكلة. هذه هي النقطة التي يمكن أن تبدأ فيها قضية جنائية ، وأنت هل حقا نريد من الناس الذين تدربوا في التعامل مع الأدلة أن يقوموا بهذا التحليل.


ولكن ، حقا ، إلى أي مدى يجب أن تذهب؟ هذا هو المكان إدارة المخاطر يأتي دور. بطريقة مبسطة ، هذه هي طريقة موازنة المخاطر المتوقعة ضد الخسارة. يقوم مسؤولو النظام بذلك عندما نقرر التي خارج الموقع نريد أن نضع النسخ الاحتياطية ؛ صندوق ودائع أمن البنك مقابل مركز بيانات خارج المنطقة. إن معرفة مقدار ما تتطلبه هذه القائمة هو ممارسة في إدارة المخاطر.

في هذه الحالة ، سيبدأ التقييم بعدد قليل من الأشياء:

  • مستوى المهارة المتوقعة من غادرت
  • وصول غادر
  • توقع أن الشر قد تم
  • الضرر المحتمل من أي شر
  • المتطلبات التنظيمية للإبلاغ عن ارتكاب الشر مقابل شرعا وجدت شر. بشكل عام يجب عليك الإبلاغ عن السابق ، وليس لاحقًا.

يعتمد قرار مدى عمق حفرة الأرنب إلى الغوص على الإجابات على هذه الأسئلة. من أجل عمليات الرحيل الإدارية الروتينية حيث يكون توقع الشر طفيفًا جدًا ، لا يكون السيرك الكامل مطلوبًا ؛ تغيير كلمات المرور على مستوى المشرف وإعادة ضبط مفاتيح أي مضيفات SSH المواجهة للجهة الخارجية على الأرجح كافية. مرة أخرى ، يحدد الموقف الأمني ​​لإدارة المخاطر للشركات ذلك.

بالنسبة للمشرفين الذين تم إنهاء خدمتهم بسبب القضية ، أو الشائعات التي تنشر بعد رحيلهم المعتاد ، يصبح السيرك أكثر حاجة. السيناريو الأسوأ هو نوع من BOFH المذعور الذي تم إخطاره بأن وضعه سيكون مكررًا في غضون أسبوعين ، لأن ذلك يمنحهم الكثير من الوقت للاستعداد. في مثل هذه الظروف فكرة كايل عن حزمة مكافأة سخية يمكن التخفيف من كل أنواع المشاكل. يمكن حتى paranoids مسامحة الكثير من الخطايا بعد وصول الشيكات التي تحتوي على دفع 4 أشهر. من المحتمل أن يكلف هذا الشيك أقل من تكلفة المستشارين الأمنيين اللازمين لإثبات شرهم.

ولكن في نهاية المطاف ، يتحول الأمر إلى تكلفة تحديد ما إذا كان الشر قد تم مقابل التكلفة المحتملة لأي شر يجري القيام به بالفعل.


329
2017-08-18 15:40



+1 - إن أحدث ما توصلت إليه في ما يتعلق بنظامي مراجعة الحسابات سيئ جدًا اليوم. يمكن أن تساعدك أدوات الطب الشرعي بالكمبيوتر على التحقق من التواقيع على الثنائيات ، ولكن مع انتشار الإصدارات الثنائية المختلفة (خاصة في Windows ، وما الذي يحدث مع كل التحديثات التي تحدث كل شهر) ، من الصعب جدًا التوصل إلى سيناريو مقنع حيث يمكنك الاقتراب من 100٪ التحقق الثنائي. (أود +10 إذا كنت استطعت ، لأنك قد قمت بتلخيص المشكلة برمتها بشكل جيد. إنها مشكلة صعبة ، خاصة إذا لم يكن هناك فصل وفصل بين واجبات الوظيفة.) - Evan Anderson
+++ Re: تغيير كلمات مرور حساب خدمة. يجب توثيق هذا بشكل كامل على أية حال ، لذا فهذه العملية مهمة مضاعفة إذا كنت تتوقع منك القيام بعملك. - Kara Marfia
Joe H .: لا تنسَ التحقق من محتويات النسخ الاحتياطي المذكور بشكل مستقل عن البنية الأساسية للإنتاج. يمكن أن يكون برنامج النسخ الاحتياطي trojanized. (كان أحد عملائي لديه طرف ثالث مع تثبيت مستقل لتطبيق LOb الذي تم التعاقد عليه لاستعادة النسخ الاحتياطية ، وتحميلها في التطبيق ، والتحقق من مطابقة البيانات المالية التي تم إنشاؤها من النسخة الاحتياطية لتلك التي تم إنشاؤها بواسطة نظام الإنتاج. بري...) - Evan Anderson
جواب رائع. لا تنس أيضًا إزالة الموظف الراحل كنقطة اتصال معتمدة لمزودي الخدمة والموردين. مسجلي النطاق. مجهزوا خدمة الانترنت. شركات الاتصالات. تأكد من أن جميع الأطراف الخارجية تحصل على كلمة مفادها أن الموظف لم يعد مخولًا بإجراء أي تغييرات أو مناقشة حسابات الشركة. - Mox
"قد لا يكون كامل ما ذكر أعلاه قابلاً للتنفيذ مع أصول الشركة ، الأمر الذي سيتطلب تعيين مستشارين أمنيين للقيام ببعض من هذا العمل." - بالطبع قد يكون هذه التعرض الذي يؤدي إلى حل وسط. يتطلب هذا المستوى من التدقيق الوصول إلى مستوى منخفض للغاية من النظام - والأفراد الذين أعرف كيف تخفي الأشياء. - MightyE


أود أن أقول إنه رصيد من مقدار القلق لديك مقابل المال الذي ترغب في دفعه.

قلق جدا:
إذا كنت قلقًا للغاية ، فقد ترغب في الاستعانة بمستشار أمني خارجي لإجراء مسح كامل لكل شيء من منظور خارجي وداخلي. إذا كان هذا الشخص ذكيًا بشكل خاص ، فقد تكون في ورطة ، قد يكون لديه شيء سوف يكون خاملاً لفترة من الوقت. الخيار الآخر هو ببساطة إعادة بناء كل شيء. قد يبدو ذلك مفرطًا جدًا ، ولكن ستتعلم البيئة جيدًا وستقوم أيضًا بتنفيذ مشروع استعادة القدرة على العمل بعد الكوارث.

قلق حول هذا الموضوع:
إذا كنت قلقًا قليلاً ، فقد ترغب فقط في القيام بما يلي:

  • مسح منفذ من الخارج.
  • مسح الفيروسات / برامج التجسس. Rootkit المسح الضوئي لآلات لينكس.
  • ابحث عن تكوين جدار الحماية لأي شيء لا تفهمه.
  • قم بتغيير جميع كلمات المرور وابحث عن أي حسابات غير معروفة (تأكد من أنها لم تقم بتنشيط شخص لم يعد مع الشركة حتى يتمكنوا من استخدام ذلك وما إلى ذلك).
  • قد يكون هذا أيضًا هو الوقت المناسب للنظر في تثبيت نظام اكتشاف الاقتحام (IDS).
  • شاهد السجلات عن كثب أكثر مما تفعل عادة.

للمستقبل:
من الآن فصاعدًا ، عندما يترك أحد المديرين حفلًا لطيفًا ، ثم بعد ذلك ، عندما يعرض عليه شربه في المنزل ، يمكنك التخلص منه في أقرب نهر ، أو سبخة ، أو بحيرة. أكثر جدية ، وهذا هو واحد من الأسباب الجيدة لإعطاء المديرين مكافأة إنهاء السخي. تريد منهم أن يشعروا بخير حول ترك أكبر قدر ممكن. حتى إذا كان يجب ألا يشعروا بالرضا ، من يهتم ؟، امتصوه وجعلهم سعداء. تدعي أنها خطأك وليس ملكهم. تكلفة زيادة في تكاليف التأمين ضد البطالة وحزمة الفصل لا تقارن بالضرر الذي يمكن أن يفعلوه. هذا هو كل شيء عن الطريق الأقل مقاومة وخلق أقل قدر ممكن من الدراما.


98
2017-08-18 15:18



الأجوبة التي لا تشمل القتل من المحتمل أن تكون مفضلة :-) - Jason Berg
+1 لاقتراح BOFH. - jscott
Kyle: كان من المفترض أن يكون سرنا الصغير ... - GregD
مفاتيح رجل ميت ، كايل. وضعناهم هناك في حالة ذهابنا لبعض الوقت :) ب "نحن" ، أعني ، أه ، هم؟ - Bill Weiss
+1 - إنها إجابة عملية ، وأنا أحب المناقشة استنادًا إلى تحليل المخاطر / التكلفة (لأن هذا هو ما هو عليه). إجابة Sysadmin1138 هي إعادة أكثر شمولية: "المطاط يلتقي بالطريق" ، ولكن لا يدخل بالضرورة في تحليل المخاطر / التكلفة وحقيقة أنه ، في كثير من الأحيان ، عليك أن تضع بعض الافتراضات جانباً بأنها "أيضاً" التحكم عن بعد". (قد يكون هذا القرار خاطئًا ، لكن لا أحد لديه وقت / مال غير محدود). - Evan Anderson


لا تنسوا أمثال Teamviewer ، LogmeIn ، الخ ... أنا أعلم أن هذا تم ذكره بالفعل ، ولكن التدقيق في البرمجيات (العديد من التطبيقات) من كل خادم / محطة عمل لن يضر ، بما في ذلك فحص (عمليات) الشبكة الفرعية مع nmap مخطوطات NSE.


19
2017-08-24 22:40





الأشياء الأولى أولاً - احصل على نسخة احتياطية من كل شيء في مساحة التخزين خارج الموقع (مثل الشريط ، أو محرك الأقراص الثابتة الذي قمت بفصله ووضعه في مكان التخزين). بهذه الطريقة ، إذا حدث شيء خبيث ، فقد تتمكن من استرداد بعض الشيء.

بعد ذلك ، قم بتمشيط قواعد جدار الحماية الخاصة بك. يجب إغلاق أي منافذ مفتوحة مشبوهة. إذا كان هناك باب خلفي ، فإن منع الوصول إليه سيكون أمرًا جيدًا.

حسابات المستخدمين - ابحث عن مستخدمك الساخط وتأكد من إزالة وصوله في أقرب وقت ممكن. إذا كان هناك مفاتيح SSH أو ملفات / etc / passwd أو إدخالات LDAP ، حتى ملفات htaccess ، فيجب فحصها جميعًا.

ابحث في خوادمك المهمة عن التطبيقات ومنافذ الاستماع النشطة. تأكد من أن العمليات الجارية المرتبطة بها تبدو معقولة.

في نهاية المطاف يمكن للموظف الساخط أن يفعل أي شيء - بعد كل شيء ، لديهم معرفة بجميع الأنظمة الداخلية. يأمل المرء أن يكون لديهم النزاهة بعدم اتخاذ إجراء سلبي.


18
2017-08-18 15:25



قد تكون النسخ الاحتياطية مهمة أيضًا إذا حدث شيء ما ، وقررت المضي في طريق الادعاء ، لذا قد ترغب في معرفة قواعد التعامل مع الأدلة ، وتأكد من اتباعها ، فقط في حالة حدوثها. - Joe H.
ولكن لا تنس أن ما قمت بنسخه احتياطياً قد يتضمن تطبيقات / تكوين / بيانات متجذرة إلخ. - Shannon Nelson
إذا كان لديك نسخ احتياطية من نظام متجذر ، عندها لديك الدليل. - XTL


إن البنية التحتية التي يتم إدارتها بشكل جيد ستكون لديها الأدوات ، والمراقبة ، والضوابط في مكانها لمنع ذلك إلى حد كبير. وتشمل هذه:

إذا كانت هذه الأدوات في مكانها الصحيح ، فستحصل على مسار تدقيق. وإلا ، فستضطر إلى أداء كامل اختبار الاختراق.

ستكون الخطوة الأولى هي تدقيق كل الوصول وتغيير جميع كلمات المرور. ركّز على الوصول الخارجي ونقاط الدخول المحتملة - وهذا هو المكان الذي يُنفق فيه وقتك بشكل أفضل. إذا كانت البصمة الخارجية غير مبررة ، فقم بإزالتها أو تقليصها. سيتيح لك ذلك الوقت للتركيز على المزيد من التفاصيل داخليًا. كن على دراية بجميع الزيارات الخارجية أيضًا ، نظرًا لأن الحلول البرمجية قد تنقل البيانات المقيدة خارجياً.

في نهاية المطاف ، سيسمح كونك مسؤول عن الأنظمة والشبكة بالوصول الكامل إلى معظم الأشياء إن لم يكن جميعها. مع هذا ، تأتي درجة عالية من المسؤولية. لا ينبغي الاستخفاف بالتعاقد مع هذا المستوى من المسؤولية وينبغي اتخاذ خطوات لتقليل المخاطر من البداية. إذا تم التعاقد مع أحد المحترفين ، حتى إذا تركته بشروط سيئة ، فإنه لن يتخذ إجراءات غير مهنية أو غير قانونية.

هناك العديد من المشاركات التفصيلية حول خطأ الخادم التي تغطي التدقيق النظامي المناسب للأمان وكذلك ما يجب القيام به في حالة إنهاء شخص ما. هذه الحالة ليست فريدة من نوعها.


17
2017-08-18 15:31





يمكن لبنك BOFH الذكي القيام بأي مما يلي:

  1. برنامج دوري يقوم ببدء اتصال netcat outbound على منفذ معروف لالتقاط الأوامر. مثلا المنفذ 80. إذا تمت الحركة بشكل جيد ، فسيكون لحركة المرور الخلفية والأخرى ظهور حركة المرور لهذا المنفذ. لذا ، إذا كان على المنفذ 80 ، فستكون له رؤوس HTTP ، وتكون الحمولة عبارة عن أجزاء مضمنة في الصور.

  2. أمر Aperiodic الذي يبحث في أماكن معينة لتنفيذ الملفات. يمكن أن تكون الأماكن على أجهزة كمبيوتر المستخدمين وأجهزة الكمبيوتر المتصلة بالشبكة والجداول الإضافية في قواعد البيانات وأدلة ملف التخزين المؤقت المؤقت.

  3. البرامج التي تحقق لمعرفة ما إذا كان واحد أو أكثر من backdoors أخرى لا تزال في مكانها. إذا لم يكن الأمر كذلك ، فسيتم تثبيت متغير فيه ، وسيتم إرسال التفاصيل عبر البريد الإلكتروني إلى BOFH

  4. نظرًا لأن الكثير من النسخ الاحتياطية يتم الآن باستخدام القرص ، قم بتعديل النسخ الاحتياطية بحيث تحتوي على الأقل على بعض مجموعات الجذر الخاصة بك.

طرق لحماية نفسك من هذا النوع من الأشياء:

  1. عندما يغادر موظف درجة في BOFH ، قم بتركيب مربع جديد في المنطقة المجردة من السلاح. يحصل على نسخة من كل حركة المرور التي تمر بجدار الحماية. ابحث عن الأمور غير الطبيعية في حركة المرور هذه. هذا الأخير غير تافه ، خاصة إذا كان BOFH جيدًا في محاكاة أنماط المرور العادية.

  2. قم بإعادة خوادمك بحيث يتم تخزين الثنائيات المهمة على وسائط القراءة فقط. بمعنى ، إذا كنت تريد تعديل / bin / ps ، يجب عليك الانتقال إلى الجهاز ، فعليًا نقل مفتاح من RO إلى RW ، وإعادة تشغيل مستخدم واحد ، وإعادة تحميل ذلك القسم rw ، وتثبيت نسختك الجديدة من ps ، sync ، reboot ، مفتاح الفصل الكهربائي. يحتوي النظام الذي يتم إجراؤه بهذه الطريقة على بعض البرامج الموثوقة ونواة موثوق بها للقيام بالمزيد من العمل.

بالطبع إذا كنت تستخدم النوافذ ، فأنت تقوم بالبحث.

  1. تقسيم البنية التحتية الخاصة بك. غير معقول مع الشركات الصغيرة والمتوسطة الحجم.

طرق لمنع هذا النوع من الأشياء.

  1. المتقدمون البيطري بعناية.

  2. معرفة ما إذا كان هؤلاء الناس ساخطون وحل مشاكل الموظفين في وقت مبكر.

  3. عند استبعاد أحد المشرفين الذين يعانون من هذه الأنواع من الصلاحيات ، فقم بتحلية الكعكة:

    ا. يستمر راتبه أو جزء من راتبه لفترة من الزمن أو حتى يحدث تغيير كبير في سلوك النظام غير المبرر من قبل موظفي تكنولوجيا المعلومات. هذا يمكن أن يكون على الاضمحلال الأسي. مثلا يحصل على الأجر الكامل لمدة 6 أشهر ، 80 ٪ من ذلك لمدة 6 أشهر ، و 80 في المئة من أن لمدة 6 أشهر القادمة.

    ب. جزء من راتبه هو في شكل خيارات الأسهم التي لا تدخل حيز التنفيذ من سنة إلى خمس سنوات بعد مغادرته. لا يتم إزالة هذه الخيارات عندما يغادر. لديه حافز للتأكد من أن الشركة سوف تعمل بشكل جيد في 5 سنوات.


16
2017-08-25 15:37



WTF هو BOFH؟ - Chloe
Chloe ، BOFH يقف عن Bastard Operator من Hell ، مسؤول النظام الأوغاد المسيئ بجنون العظمة الأيقوني الهزلي الأيقوني ، أن الأشخاص الذين ينفقون الكثير من الوقت يلتقطون ماوس شخص ما بعيداً عن الأرض حلمهم بأن يصبحوا. هناك سلسلة من القصص التي تم طرحها في البداية على alt.sysadmin.recovery في bofh.ntk.net/Bastard.html  en.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
كلما ارتفع مؤشر ServerFault كلما زادت فرصك في أن تكون BOFH :-) - dunxd
"بالطبع إذا كنت تستخدم ويندوز ، فأنت خراطيم." اريد هذه على جداري. - programmer5000


يبدو لي أن المشكلة موجودة حتى قبل مغادرة المشرف. انها مجرد أن واحد يلاحظ المشكلة أكثر في ذلك الوقت.

-> يحتاج المرء إلى عملية لتدقيق كل تغيير ، وجزء من العملية هو أنه لا يتم تطبيق التغييرات إلا من خلاله.


13
2017-08-24 22:55



أنا فضولي حول كيفية تطبيق هذا النوع من العمليات؟ - Mr. Shiny and New 安宇
هذا أمر صعب جدًا في شركة صغيرة (أي شخص من النوع المسؤول من 1 إلى 2 Sys) - Beep beep
إنه أمر يجب تنفيذه ، لكنه قابل للتنفيذ. واحدة من القواعد الأساسية الكبيرة هي أن لا أحد يدخل إلى صندوق ويديره ، حتى عبر sudo. يجب أن تمر التغييرات من خلال أداة إدارة التكوين ، أو يجب أن تحدث في سياق حدث من نوع firecall. يجب أن يمر كل تغيير روتيني إلى الأنظمة من خلال دمية ، أو cfengine ، أو طاه ، أو أداة مشابهة ، ويجب أن يتواجد كامل هيكل العمل الخاص بسيساتادمين كمستودع يتم التحكم فيه في الإصدارات من هذه البرامج النصية. - Stephanie


تأكد من إخبار الجميع في الشركة بمجرد مغادرتهم. هذا سيقضي على متجه الهجوم للهندسة الاجتماعية. إذا كانت الشركة كبيرة ، فتأكد من أن الأشخاص الذين يحتاجون إلى معرفة ومعرفة.

إذا كان المسؤول مسؤولاً أيضًا عن الكود المكتوب (موقع الشركة الإلكتروني ، إلخ) ، فستحتاج إلى إجراء تدوين الكود كذلك.


12
2017-08-25 02:51





هناك واحد كبير تركه الجميع.

تذكر أنه لا توجد أنظمة فقط.

  • هل يعرف البائعون أن هذا الشخص ليس ضمن فريق العمل ، ولا ينبغي السماح له بالوصول إليه (كولو ، Telco)
  • هل هناك أي خدمات خارجية مستضافة قد تكون لها كلمات مرور منفصلة (تبادل ، إدارة علاقات العملاء)
  • يمكن أن يكون لديهم مواد الابتزاز على أي حال (على ما يرام هذا هو البدء في الوصول قليلا ...)

12
2017-08-25 11:08





ما لم تكن حقًا مصابًا بجنون العظمة ، فإن اقتراحي سيقوم ببساطة بتشغيل العديد من أدوات فحص TCP / IP (tcpview و wireshark الخ) لمعرفة ما إذا كان هناك أي شيء مريب يحاول الاتصال بالعالم الخارجي.

غيّر كلمات مرور المشرف وتأكد من عدم وجود حسابات مشرف "إضافية" لا تحتاج إلى أن تكون هناك.

لا تنس أيضًا تغيير كلمات مرور الوصول اللاسلكي والتحقق من إعدادات برامج الأمان (AV و Firewall بشكل خاص)


9
2017-08-18 15:23



+1 لتغيير كلمات مرور المسؤول - PP.
طيب ولكن حذار من الاستماع السلبي للأشياء غريبة لأنه قد يكون امض عند ذلك TRUNCATE TABLE customer يتم تشغيل: P - Khai
إذا كان هناك الجذور الخفية ، فمن الممكن أن يستمع إلى التغييرات في passwd. - XTL