Ушел админ (Как обезопасить себя?)

[Gluyk]

Как обезопасить себя после ухода системного администратора?
как проверить сервер на возможность оставленных админом дыр, лазеек, что бы он туда снова не попал?

[Brainsburn]

Наймите другого админа, чтоб все проверил. А лучше не допускать конфликтов в таких случаях :)

[Gluyk]

конечно лучше не допускать...
но человек слишком эгоцентричен...

Нанимать другого админа конечно придется. но вот смотреть лазейки нужно сейчас. мал ли что еще по пьяни взбредет в голову человеку

[ivan2ksusr]

Как обезопасить себя после ухода системного администратора?
как проверить сервер на возможность оставленных админом дыр, лазеек, что бы он туда снова не попал?

1. первым делом меняем все пароли на всех серверах и рабочих станциях
2. куда смотрит отдел безопасности?
3. смотри бумаги, подписывали ли этот челоке о неразглашении личой информации фирмы, предприятия итд
4. если что то стучи в аську или джабер, завтра с утра могу помочь, а сейчас пора спать, время 2й час

[BIgAndy]

Как обезопасить себя после ухода системного администратора?
как проверить сервер на возможность оставленных админом дыр, лазеек, что бы он туда снова не попал?

1. формализуйте все тонкости взаимоотношений. Влоть до того, что каждый клик, произведенный в рабочее время вляется собственностью компании.
2. не реже чем раз в квартал устраивайте независимый аудит. Одмины иногда сее позволяют многое. Вполть до инсайда.
3. Не давайте ему рутовый пароль (дайте ему sudo для наиболее распространненых задач) и не реже одного раза в месяц инвентаризируйте ваши опечатанные компьютеры. Желательно стороннимим аудиторами.
4. Настройте систему неависимого аудита компьютерной системы, распооженной в отдельном помещении.
5. Обязанности на создание пользователей и раздачу прав, бекапы всей системы повесьте на иных работников. Ленты с бекапами должны сдавать ежедневно по подпись ответсвенному лицу и запираться в разные сейфы.
6. Создате институт доверенных лиц в коллективе, которые измеряют настроения в коллективе. Это вполне законно. Рабочее время не подпадает под определние частной жизни.
7. Скрыто или открыто перлюстрируйте переписку на рабочем месте . Данное положение должно быть забито в трудоваой распорядок или трудовой договор или в положение о режиме на предприятии.
8. старайтесь копировать методы первых отделов. Они очень эффективны. Старайтесь предупреждать, а не рзгребать последствия. Если возникает конфликт или недовольство работниа, немедленно отстраняйте его от критически важных процессов. пусть либо остынет, либо уйдет.
9. Заставляйте под страхом служебного несоответсвия вести бумажный дурнал внесения изменений в копьютерные системы. В конце рабочего дня секретарь или кто-то ответсвенны1 должен проводить в нем красную черту и фиксировать подпсью, Журнал должен сдаваться и выдаваться другим ответсвенным лицом, который фиксиррует в отделном журнале количество внесенных записей в первичный раздел.
10. Устанвоите системы подавления gprs и других сигналов в рабочих помещениях. Это не дорого и о моему опыту экономит не менее 20% рабочего времени сотрудников. Еще 20% экономит отключение от популярных ресурсво.
11. Старайтесь держать еще одного админра фри-лансера, который удаленно будет держать аудит системы
12 имейте скамейку запасных. периодически давайте вводные, когда запасные становятся глаными. Этот ецепт вообе позволяет выявить саботаж и халатное отношение работников к протоколированию своей работы и едению отчетов.


Это где-то треть стандартных методов руководтва коллективом.

[Goodvin]

Тема переезжает в разговорный раздел.

[Voice]

1. формализуйте все тонкости взаимоотношений. Влоть до того, что каждый клик, произведенный в рабочее время вляется собственностью компании.
...

И потом к вам никто не прийдет работать :)

Риск есть диверсий есть всегда, вот сижу я сейчас за компом, и что мне стоит его сжечь? Конечно можно его в металлический ящик засунуть но это не выход. У хорошего начальства и сотрудники нормальные.

[AlexYeCu]

1. формализуйте все тонкости взаимоотношений. Влоть до того, что каждый клик, произведенный в рабочее время вляется собственностью компании.

— каждый клик? К вам будут в очередь выстраиваться студенты с психиатрического отделения медвуза: диплом писать.

2. не реже чем раз в квартал устраивайте независимый аудит. Одмины иногда сее позволяют многое. Вполть до инсайда.

— если только как следствие из пункта 1. К инсайду склонны очень многие сотрудники, особенно когда в руководстве сплошь парнокопытные.

3. Не давайте ему рутовый пароль (дайте ему sudo для наиболее распространненых задач) и не реже одного раза в месяц инвентаризируйте ваши опечатанные компьютеры. Желательно стороннимим аудиторами.

— а я бы предложил вообще админа к компьютеру не подпускать. А то мало ли…

4. Настройте систему неависимого аудита компьютерной системы, распооженной в отдельном помещении.

Точно. И отдел безопасности, чтоб следил за аудиторами. И бандитов нанять, чтоб если что, брали в заложники членов семей отдела безопасности. И киллера, чтоб ликвидировал бандитов, если что. И телохранителей, чтоб киллер не ликвидировал вас. И с телохранителями надо что-то придумать…

5. Обязанности на создание пользователей и раздачу прав, бекапы всей системы повесьте на иных работников. Ленты с бекапами должны сдавать ежедневно по подпись ответсвенному лицу и запираться в разные сейфы.

— ну освобождение админа от его обязанностей с сохранением заработной платы админ оценит. Лишь бы результата не требовали. А вот с лентами бэкапа поясните. Речь о магнитных лентах, или о перфолентах? Если второе, то рекомендую на бэкап посадить независимого сотрудника с дыроколом.

6. Создате институт доверенных лиц в коллективе, которые измеряют настроения в коллективе. Это вполне законно. Рабочее время не подпадает под определние частной жизни.

— о да, институт стукачей и провокаторов это надёжное, проверенное временем решение, повышающее лояльность работников в разы.

7. Скрыто или открыто перлюстрируйте переписку на рабочем месте . Данное положение должно быть забито в трудоваой распорядок или трудовой договор или в положение о режиме на предприятии.

— только не забудьте изучить законодательство, ведь тот, кто шлёт личную переписку с рабочих машин ЗНАЯ, что её читают, может оказаться не только клиническим идиотом, но и желающим по суду срубить бабок со скудоумного начальства.

8. старайтесь копировать методы первых отделов. Они очень эффективны. Старайтесь предупреждать, а не рзгребать последствия. Если возникает конфликт или недовольство работниа, немедленно отстраняйте его от критически важных процессов. пусть либо остынет, либо уйдет.

— при рекомендуемом подходе у вас конфликты прекращаться не будут. А значит вам придётся увеличить штат в несколько раз: формула сложная, учитывает периодичность психозов и время «остывания» (психологического, а не в результате работы киллера) сотрудника.

9. Заставляйте под страхом служебного несоответсвия вести бумажный дурнал внесения изменений в копьютерные системы. В конце рабочего дня секретарь или кто-то ответсвенны1 должен проводить в нем красную черту и фиксировать подпсью, Журнал должен сдаваться и выдаваться другим ответсвенным лицом, который фиксиррует в отделном журнале количество внесенных записей в первичный раздел.

— да-да, а электронную почту непременно отправляйте с курьером, электронные документы набирайте на пишущей машинке и сканируйте, вместо пингов орите в мегафон. В этом безопасность!

10. Устанвоите системы подавления gprs и других сигналов в рабочих помещениях. Это не дорого и о моему опыту экономит не менее 20% рабочего времени сотрудников. Еще 20% экономит отключение от популярных ресурсво.

— закрасьте окна чёрной краской, установите звукоизоляцию уровня «чтоб авианалёта не слышно», отберите сигареты и электрочайники, заставьте пользоваться памперсами. Так победим!

Вот тут выявился перебор с блоками цитат…

Код: Выделить всё

11. Старайтесь держать еще одного админра фри-лансера, который удаленно будет держать аудит системы

— и отряд наёмников, которые будут контролировать фрилансера, киллера для наёмников, телохранителей…
Да, бандитов из местных, чтоб защищали от тех наёмников, которые пасут фрилансера, который контролирует админа без рутового пароля и сотового телефона, в доме, который построил Джек…

Код: Выделить всё

12 имейте скамейку запасных. периодически давайте вводные, когда запасные становятся глаными. Этот ецепт вообе позволяет выявить саботаж и халатное отношение работников к протоколированию своей работы и  едению отчетов.

— скамейку запасных можно поставить в офисе остывающих. Пускай вместе сидят и обсуждают у кого памперс вместительней.

P.S. Не можешь договориться с одним человеком, создай такую систему, которую в принципе невозможно контролировать. Положительного эффекта не будет, зато наиграешься…

[xar0h]

2 AlexYeCu
+1 )
Можно добавить - не грубите санитарам, - возможно смирительную рубашку с вас снимут быстрее. )

[mvt]

И это только "треть стандартных методов руководтва коллективом"... Откуда такие "руководители" берутся?

[Boboms]

Как обезопасить себя после ухода системного администратора?
как проверить сервер на возможность оставленных админом дыр, лазеек, что бы он туда снова не попал?

1. формализуйте все тонкости взаимоотношений. Влоть до того, что каждый клик, произведенный в рабочее время вляется собственностью компании.
2. не реже чем раз в квартал устраивайте независимый аудит. Одмины иногда сее позволяют многое. Вполть до инсайда.
3. Не давайте ему рутовый пароль (дайте ему sudo для наиболее распространненых задач) и не реже одного раза в месяц инвентаризируйте ваши опечатанные компьютеры. Желательно стороннимим аудиторами.
4. Настройте систему неависимого аудита компьютерной системы, распооженной в отдельном помещении.
5. Обязанности на создание пользователей и раздачу прав, бекапы всей системы повесьте на иных работников. Ленты с бекапами должны сдавать ежедневно по подпись ответсвенному лицу и запираться в разные сейфы.
6. Создате институт доверенных лиц в коллективе, которые измеряют настроения в коллективе. Это вполне законно. Рабочее время не подпадает под определние частной жизни.
7. Скрыто или открыто перлюстрируйте переписку на рабочем месте . Данное положение должно быть забито в трудоваой распорядок или трудовой договор или в положение о режиме на предприятии.
8. старайтесь копировать методы первых отделов. Они очень эффективны. Старайтесь предупреждать, а не рзгребать последствия. Если возникает конфликт или недовольство работниа, немедленно отстраняйте его от критически важных процессов. пусть либо остынет, либо уйдет.
9. Заставляйте под страхом служебного несоответсвия вести бумажный дурнал внесения изменений в копьютерные системы. В конце рабочего дня секретарь или кто-то ответсвенны1 должен проводить в нем красную черту и фиксировать подпсью, Журнал должен сдаваться и выдаваться другим ответсвенным лицом, который фиксиррует в отделном журнале количество внесенных записей в первичный раздел.
10. Устанвоите системы подавления gprs и других сигналов в рабочих помещениях. Это не дорого и о моему опыту экономит не менее 20% рабочего времени сотрудников. Еще 20% экономит отключение от популярных ресурсво.
11. Старайтесь держать еще одного админра фри-лансера, который удаленно будет держать аудит системы
12 имейте скамейку запасных. периодически давайте вводные, когда запасные становятся глаными. Этот ецепт вообе позволяет выявить саботаж и халатное отношение работников к протоколированию своей работы и едению отчетов.


Это где-то треть стандартных методов руководтва коллективом.

А позвольте спросить, кем же вы так злобно руководите??? И как надо ... (подбираю приличное слово) сотрудников (коллег ?), чтобы взрастить в них ненависть такой зверской силы. И, при этом, они не увольняются, а продолжают УНИЧТОЖАТЬ начальство...

[londinium]

а какие методы (интересуюсь чисто для справки есть у первых отделов)?

[BIgAndy]

...............

P.S. Не можешь договориться с одним человеком, создай такую систему, которую в принципе невозможно контролировать. Положительного эффекта не будет, зато наиграешься…

Я специально составил целый список возможных реакций респондентов на мой пост. Сегодня мои сотрудники ненарадуются, сверяя их с вашими ответами.
По поводу "Договорится". Не всегда у чеовека ожидания растут пропорционально договоренностям (как с одной так и с другой стороны), кроме того следует учитывать личностные качества. И жизненные обстоятельства. Иногда у человека личные проблеммы, и он их отображает на все предприятие вцелом.

Данный подход хорошо работает, если вы изначально устанавливаете такие правила игры. Обрадую: в больших корпорациях правила игры еще боее жесткие и они вообще не церемонятся с личнымм проблеммами работников. Поэтому сейчас такой подход: лучше побольше работников-офисного планктона, чем поменьше, но профессиональных. Устойчивость системы выше..
Оглянитесь, не являтесь ли вы (не лично вы, а читающие) элементом такой системы. Если да, то почти наверняка у вас организована подобная системабезопасности

[BIgAndy]

а какие методы (интересуюсь чисто для справки есть у первых отделов)?

ОСновные необходимые технические - привел. Есть еще аудио видео контроль, блоуировка паразитного радиочастотного спектра, котроль точеп прохода, контроль расхода электроэнергии. ВВодятся в зависимости от стоимости охраняемых ценностей. В любом сучае надо оценивать стоимость. Либо отдать сервер в качестве зарплаты админу, удалив все данные и установить с нуля новый - тоже выход дл небольших предприятий

Риск есть диверсий есть всегда, вот сижу я сейчас за компом, и что мне стоит его сжечь? Конечно можно его в металлический ящик засунуть но это не выход. У хорошего начальства и сотрудники нормальные.

Да, естетсвенно. Поэтому делается оценка стоимости рисков и в соответсвии сними выбираются методы обеспечаения безопасности.

[mvt]

BIgAndy
Если не трудно, огласите, пожалуйста название фирмы (чтобы как-нибудь случайно не попасть даже в клиенты этого замечательного предприятия. IMHO, с таким подходом к руководству и набору сотрудников (джамшуды?) фирма не может создать ничего профессионального просто по определению)

[xorader]

* BIgAndy - троль
* AlexYeCu - наман ответил
* система тотального контроля прокатывает только при условии БАЛЬШОЙ (от 300от человеков) МОНОПОЛЬНОЙ КАМПАНИИ (или гос. компании), в которой деньги в основном делаются не на труде такого вот планктона. А вообще, глобализм - зло. Ибо ибо....

[aksi2000]

Отключайте usb порты, дабы флэшки, телефоны не втыкали, снимайте пишущие приводы и дисководы (смех смехом, а было на моей рактике) Но это, что до планктона, а что до админа, так просто не надо его злить, а то будет как в том анегдоте
-здай рутовый пароль
-да на, ******
- ой еще одну звездочку забыл *******

А слив информации, доступ к системе из вне, если человек задался целью, то скорее всего он до нее доберется

[AlexYeCu]

Обрадую: в больших корпорациях правила игры еще боее жесткие и они вообще не церемонятся с личнымм проблеммами работников. Поэтому сейчас такой подход: лучше побольше работников-офисного планктона, чем поменьше, но профессиональных. Устойчивость системы выше..

Такой подход годится лишь для менеджеров, маркетологов, эникейщиков, секретуток и прочих лиц, не обладающих специальными знаниями и навыками.
В условиях реального производства отказ от найма профессионалов может привести лишь к краху предприятия. Состояние российской экономики и предпринимательства наглядно это иллюстрирует.

Да, чуть не забыл. Уговорите своего обиженного жизнью и начальством админа (или кто у вас там с root`овым паролем за установку софта отвечает?) наладить вам проверку орфографии в браузере. И предложения попроще стройте — без запятых невозможно читать…

[mvt]

Обрадую: в больших корпорациях правила игры еще боее жесткие и они вообще не церемонятся с личнымм проблеммами работников. Поэтому сейчас такой подход: лучше побольше работников-офисного планктона, чем поменьше, но профессиональных. Устойчивость системы выше..

Такой подход годится лишь для менеджеров, маркетологов, эникейщиков, секретуток и прочих лиц, не обладающих специальными знаниями и навыками.
В условиях реального производства отказ от найма профессионалов может привести лишь к краху предприятия. Состояние российской экономики и предпринимательства наглядно это иллюстрирует.

Да нет, все верно. Профессионал просто не пойдет работать в такое г.., приходится оправдывать найм кого попало критериями "высокой устойчивости системы". А может быть, требования к безопасности на предприятии так высоки, потому что некоторая информация о его деятельности, попавшая в правоохранительные органы, может создать значительные неудобства его руководству?
PS Предпринимательство в России как началось с ваучеров и "коробки из-под ксерокса" так в том же духе и продолжается. Задача ведь не в том, чтобы чего-то производить

[BIgAndy]

Отключайте usb порты, дабы флэшки, телефоны не втыкали, снимайте пишущие приводы и дисководы (смех смехом, а было на моей рактике) Но это, что до планктона, а что до админа, так просто не надо его злить, а то будет как в том анегдоте

Естественно. Уже давно. И линукс нам в этом - друг.

А слив информации, доступ к системе из вне, если человек задался целью, то скорее всего он до нее доберется

Конечно. Слиают даже из суперсекретных институттов. Но во-первых надо сделать жанный слив экономически невыгодным. Во вторых даже при сливе вторжение или инсайт доллжны выявляться в минимальные сроки, -третьих при обнаруженном вторжении инсайде соответсвующие структуры должны найти документированные следы.
Поэтому часть методов я никогдане озвучу. Озвучил только то, что лежит в открытом доступе.

Даный подход уже не один раз себя оправдывал.

А всем рефлесирующим, могу заметить: вы зачастую даже не знаете, что происходит за вашими спинами. Как в приказке "Оглнись вокруг себя - не **** ли кто тебя" "D велкам в мир Боьшого Брата.

[Davinel]

1. формализуйте все тонкости взаимоотношений. Влоть до того, что каждый клик, произведенный в рабочее время вляется собственностью компании.

каким методом планируете следить за кликами? )

3. Не давайте ему рутовый пароль (дайте ему sudo для наиболее распространненых задач) и не реже одного раза в месяц инвентаризируйте ваши опечатанные компьютеры. Желательно стороннимим аудиторами.

хмм если имея доступ к компьютеру(и к sudo, кстати а кто будет настраивать права на sudo, директор чтоли?) этот админ за все время работы не сможет получить пароль рута - стоит его за одно это уволить...

4. Настройте систему неависимого аудита компьютерной системы, распооженной в отдельном помещении.

Ага и еще одну систему совсем уж независимого аудита, чтобы следить за системой независемого аудита. И еще посадить мужика со счетами и блокнотом который все будет в ручную перепроверять. На всякий.


На самом деле если вы не занимаетесь промышленным шпионажем и не разрабатываете тактическое ядерное оружие то достаточно двух вещей - договора и нормального отношения к сотрудникам. Во втором случае первое вообщем то и не нужно, а вот если второго не получается или происходят какие то казусы, то за нарушение трудового договора можно и в суд подавать. Да и запись в трудовую книжку.. кому оно надо? Врядли кто то в здравом уме рискнет красиво хлопнуть дверью если будет знать что за это может поплатится в долговременной перспетиве, причем сильно поплатиться...

[Davinel]

А всем рефлесирующим, могу заметить: вы зачастую даже не знаете, что происходит за вашими спинами. Как в приказке "Оглнись вокруг себя - не **** ли кто тебя" "D велкам в мир Боьшого Брата.

"Периодически, сидя в пустой комнате, я могу воскликнуть "Я ЗНАЮ ВЫ ПОДСЛУШИВАЕТ!!11"
Если я ошибаюсь - никто не узнает..
Но если я прав - возможно я только что к чертям перепугал какую то секретную организацию!" ©xkcd

а вообще - пусть подслушивают, я ничего не скрываю..

[drBatty]

4. Настройте систему неависимого аудита компьютерной системы, распооженной в отдельном помещении.

вы сами это делали?

Конечно. Слиают даже из суперсекретных институттов

? орфографию проверьте...
PS: грустно...

[Reboot]

Вопрос Gluyk'a таки никого не волнует?
Мне вот самому тоже интересно стало.

[BIgAndy]

Господа! Реакция большинства респондентов очень радует. Потому как это реакция людей, с иной мотивацией, нежели руководителей.
Говоря грубо: "Укусите меня за ухо" , если большинство респонденов хочет приходить ровно к началу рабочего дня, когда опоздание на одну минуту считается серьезным проступком (а это так, сознайтесь себе), если большинсвто респондентов не позволяет себе несанкционированно пользоваться ресурсами предприятия в личных целях (что фактически является воровством чужих денег), что большинство покрывает своих сослуживцев, которые совершии дисциплинарный, а иногда и хуже, проступок, не относиись "с прохладцей" к своим обязанностям, ну и далее по списку...
Это не в осуждение, это в констатацию факта сложившихся производственных отношений. Так вот, для руководителей желающих избежать таовых рисков, а, говоря православным языком, напрячь свой коллектив, дать ему поступательный посыл, оградив от соблазнов, Кстати, предположения о плохом микроклимате в нашей компании сильно преувеличены. Микроклимат измеряется в текучсти кадров. А у нас ситуация противопололжная.....
Реакцию на данный пост я тоже знаю и заготовил сонм возможных ответов

[BaZilio]

Надо было с самого начала админу нормально платить.

[Portnov]

По вопросу - если у вас действительно есть за что переживать, то должен быть не один админ, а IT-отдел. Который вряд ли уволится весь сразу. И который сам знает что делать в случае увольнения одного из админов.

По поводу предложенных "драконовских" мер безопасности. Очевидно, что на многих (если не на большинстве) предприятий это не имеет смысла - там нечего с таким усердием защищать. Также очевидно, что есть предприятия, где это имеет смысл. Правда, думается, весь предложенный комплект выполняется только в "ящиках". Но, скажем, разделение обязанностей между сотрудниками IT-отдела, периодический или от случая к случаю просмотр служебной почты, регулярный независимый аудит безопасности - вполне имеют смысл (и применяются) во многих крупных конторах.

И да, в конторе, которой есть что терять, должны быть приличные зарплаты :)

[drBatty]

Вопрос Gluyk'a таки никого не волнует?
Мне вот самому тоже интересно стало.

вопрос слишком широкий... тут целый комплекс...

Реакцию на данный пост я тоже знаю

||

И да, в конторе, которой есть что терять, должны быть приличные зарплаты :)

Надо было с самого начала админу нормально платить.

интересно, а за что вы его выгнали? (не дали работать)

[/dev/random]

3. Не давайте ему рутовый пароль (дайте ему sudo для наиболее распространненых задач)

ппц.. Системный администратор без прав администрирования системы.. Это уже максимум на "помощника" тянет. А тот, кто будет знать рутовый пароль и настраивать вашеу "админу" sudo - это и есть системный администратор. Так почему бы просто официально не перевести его на другую должность, если он у вас и так не админ?

[drBatty]

ппц.. Системный администратор без прав администрирования системы..

наверное имелось ввиду бубунтовское sudo - разрешено всё...