LINUX.ORG.RU
ФорумAdmin

Защита от угона сервера


0

1

Добрый день! Ранее работал админом в аутсорсинге, обслуживал несколько сетей и серверов. Сменил город проживания. Сервера остались на обслуживании, за них мне продолжили выплачивать зарплату. Все было хорошо в течение 6-ти месяцев. Нынче работодатель подумал - «и так все работает, зачем платить». Пока сервера еще мои, но есть шанс что он кого-нибудь попросит сбросить мой доступ. Вопрос следующий: как можно защитить от угона? От банальных загрузки с live-cd и chroot, от single user-mode и др. Физического доступа нет вообще. Сервера по большей части файловые, в идеале бы зашифровать разделы с файлами с привязкой к текущему паролю root, чтобы смена пароля если даже и прошла, но раздел не расшифровался (реально ли так сделать?). Изначально никакого шифрования не применял. На серверах стоит debian, кое-где есть ubuntu server 10.04 LTS.


Если будет физический доступ к серверу - никак Даже если биос запаролить, всё прекрасно сбрасывается вытаскиванием батарейки.

unikum ★★★★★
()

Не понимаю суть ваших претензий. Но попахивает хакерством. Стоит смотреть в сторону rootkit'ов.

helios ★★★★★
()
Ответ на: комментарий от unikum

Если будет физический доступ к серверу - криптография.

Очевидный фикс.

Без данных сервера нужны в разы меньше.

helios ★★★★★
()

Сервера остались на обслуживании, за них мне продолжили выплачивать зарплату.

Договор на обслуживание есть?

Пока сервера еще мои

Сервера не твои, а работадателя.

dreamer ★★★★★
()

если шифранёшь весь раздел целиком и моргнёт питалово то можно остаться без раздела. Я многократно проверял это путём выдёргивания питалова во время записи на диск. Последствия ужасны. Поэтому я бы что-нить типа ecryptfs чтобы минимизировать ущерб.

Вопросы этичности поступка и тормозов шифрованных файлух я оставлю на твоей совести.

true_admin ★★★★★
()
Ответ на: комментарий от Deleted

Может проще что нибудь сломать?

Угу, ломать по cron'у, дабы у работодателя не возникало ненужных вопросов :)

helios ★★★★★
()

Что-то тут не так.

kitar ★★★★★
()
Ответ на: комментарий от unikum

Даже если биос запаролить, всё прекрасно сбрасывается вытаскиванием батарейки.

4.2. Мой пароль не сбрасывается на нетбуке — проверял лично.

gentoo_root ★★★★★
()

Один знакомый рассказывал душеразрывающую историю.

Обслуживал он в некой организации сеточку. И вот решил владелец начать экономить, раз всё работает - пригласить какого нибудь студентика. Дело нехитрое, знакомого ставят в известность, он улыбается, кивает и идёт искать подножный корм дальше.

В это время студентик начинает рулить хозяйством. Но горящий энтузиазм и желание улучшать вскоре приводят к остановке работы бухгалтерии. После чего хозяин отыскивает моего знакомого и просит сделать что нибудь. Тот улыбается и кивает. Первым делом делает так что бы заработала бухгалтерия, после чего начинает неторопливо приводить в порядок последствия торнадо. После окончания работ владелец обращается к этому моему знакомому снова и предлагает зарплату в два раза выше чем была раньше.

К чему это? Ну в общем наверно он просто был хорошим специалистом. Хотя и с местом наверно тоже повезло. Но удача, как известно, улыбается тому кто идёт ей навстречу.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

А, да, наверно эту историю можно расценить и как намёк на раскладку минных полей. Но думаю что и в том случае это было не так, и в общем случае это скорее непродуктивно. Если закладываешь зло то это просто симптом, стоит подумать о том что у самого внутри что то не так настроено.

sin_a ★★★★★
()

физдоступ то полюбому есть! так что умный админ сразу перезагрузит сервак в синглемоде и сменит все пароли! init=/bin/sh никто еще не отменял!

ipwww ★★
()

Вопрос следующий: как можно защитить от угона?

Зачем?

Таких как вы надо сразу.. того-этого.

zgen ★★★★★
()
Ответ на: комментарий от gentoo_root

4.2. Мой пароль не сбрасывается на нетбуке — проверял лично.

его можно сбросить, только потребуется перепрошивать некоторые контроллеры.

на некоторых платформах, типа, omap хрен сбросишь, если oem захочет.

dimon555 ★★★★★
()
Ответ на: комментарий от ipwww

буквально на днях была нужда в таком, но фик там - приглашение консоли есть а ничего напечатать нельзя

zolden ★★★★★
()
Ответ на: комментарий от true_admin

если шифранёшь весь раздел целиком и моргнёт питалово то можно остаться без раздела. Я многократно проверял это путём выдёргивания питалова во время записи на диск. Последствия ужасны.

А у меня вот все рабочие машины на LUKS разделах, и ниразу ничего не случалось при падении питания.

ventilator ★★★
()

согласен с работодателем - «и так всё работает, зачем платить?»

spunky ★★
()

такое поведение незаконно, и попадает под ст. 146 УК РФ. (до 3х лет, или до 7и, с отягчающими).

Вообще можно зашифровать ключевые данные, но придётся вводить пассфразу на каждой загрузке. Часть нужных данных можно также перекинуть на свой сервер.

drBatty ★★
()
Ответ на: комментарий от drBatty

в чем его кинуть могут. Ему платят - он обслуживает. Ему перестают платить - он перестает обслуживать.

namezys ★★★★
()
Ответ на: комментарий от namezys

namezys

Ему перестают платить - он перестает обслуживать.

кидалово тут в том, что настроенные сервера обслуживать значительно дешевле (можно вообще почти не обслуживать).

drBatty ★★
()
Ответ на: комментарий от dimon555

его можно сбросить, только потребуется перепрошивать некоторые контроллеры.

Не, ну понятно, что если сильно захотеть, то можно и микросхему перепаять, в которой пароль хранится, тогда тоже сбросится. Я имел в виду, что у меня он не сбросится простым выниманием батарейки.

gentoo_root ★★★★★
()
Ответ на: комментарий от anonymous

вынь резервную батарейку внутри корпуса (которая, емнип, тоже аккум)

Кроме обычной вынимаемой батарейки других там не нашёл. Может, конечно, её слишком глубоко спрятали, но мне кажется более правдоподобным, что там пароль хранится в энергонезависимой флешке.

gentoo_root ★★★★★
()
Ответ на: комментарий от ventilator

А у меня вот все рабочие машины на LUKS разделах, и ниразу ничего не случалось при падении питания.

начни писать на диск и выдерни питальник в момент обновления метаданных, увидишь что будет.

true_admin ★★★★★
()
Ответ на: комментарий от drBatty

такое поведение незаконно, и попадает под ст. 146 УК РФ

с фига ли загуляли

ты хоть прочитай эту ст. УК

muon ★★★★★
()

Проясню пару моментов по морально-совестливой стороне.
У товарища работодателя есть задолженность за 4 месяца, сейчас он третий месяц тянет резину «забывая» скинуть деньгу (6 тыс/месяц), но при этом не забывает оставлять заявки мне в хелпдеск и отрывать от основной работы звонками. Сумма хоть и не великая накопилась, но сами понимаете неприятно. По сути, он уже кинул меня. Сервера понятное дело пашут на автопилоте, ибо настроены, и он это понимает.
Задача - не нагадить ему, а заставить вернуть мне долг. Мне пофигу, кто их обслуживает, главное чтобы за сделанную работу заплатил.
Ранее были в очень хороших отношениях, поэтому договор на обслуживание не заключал. Кстати, договор по факту становится недейственным при таких мелких работах на расстоянии в 2500 км.
Ну это все лирика, по факту же обсуждаем не мораль (это наша с работодателем личная проблема), а как вообще прикрыться от угона сервера.

Спасибо true_admin за предупреждение о ненадежности крипторазделов. Сложно, да и не надо. Решение выбрал тупое до безобразия - контролировать целостность хеша с паролем юзера. Надеюсь, тут не будет людей, кого попросят скинуть пароль с серверов ;)

agr_74
() автор топика
Ответ на: комментарий от drBatty

на самом деле 274.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

ckotinko ☆☆☆
()
Ответ на: комментарий от ckotinko

это я к тому, что работодатель такую заяву накатать может.

ckotinko ☆☆☆
()
Ответ на: комментарий от agr_74

Ранее были в очень хороших отношениях, поэтому договор на обслуживание не заключал.

Настучи в налоговую, скажи гады-немцы угнали на работы в германию и заплатили только за первый месяц.

Кстати, договор по факту становится недейственным при таких мелких работах на расстоянии в 2500 км.

ШИТО????

ckotinko ☆☆☆
()
Ответ на: комментарий от ckotinko

повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ

перечень «Охраняемой законом информации» прописан в ФЗ-149 от 2006 г. Так вот, чтобы подтащить под эту статью, надо доказать что у тебя был хотя бы один вид «защищаемой законом информации». В России по этой статье по факту судят тех, кто по криволапости уничтожает гостайну.

Больше смахивает на ст. 272 на самом деле))

ШИТО????

Оч просто. Чтобы посудиться, надо поехать за 2500 км, ибо суд по прекрасным российским законам либо по месту ответчика, либо по месту взаимной договоренности. Ты поедешь из-за 24 тыс рублей на это расстояние, с отрывом от работы и других дел?

agr_74
() автор топика
Ответ на: комментарий от muon

muon

ты хоть прочитай эту ст. УК

я её вчера даже цитировал на ЛОРе. Сам прочитай, а то похоже уже забыл, о чём она.

drBatty ★★
()
Ответ на: комментарий от agr_74

agr_74

Ну это все лирика, по факту же обсуждаем не мораль (это наша с работодателем личная проблема), а как вообще прикрыться от угона сервера.

ну в общем случае - никак. Этот вопрос ИМХО технически НЕ решаем. Поговорите с ним о рисках, и о том, во сколько ему встанет настройка ВНЕЗАПНО упавшего сервера человеком, который этот сервер впервые видит. Ему любой левый админ ведь подтвердит, что это долго и дорого. И то, что пока они вроде работают - лишь свидетельство качественно выполненного ТЗ.

drBatty ★★
()

зюзе^Wубунтуроутероадминопроблемы

power
()
Ответ на: комментарий от LongLiveUbuntu

Это наглое 4.2. В 90х у админа за такие проделки позвоночник бы вытащили и на бусы бы повесили. Про «у них не было данных, они были на том же сервере» - бред.

zgen ★★★★★
()
Ответ на: комментарий от agr_74

Задача - не нагадить ему, а заставить вернуть мне долг.

ССЗБ. 4 месяца терпел, а теперь тут устроил. Терпи, пока он тебе за год задолжает и продолжай выполнять заявки и отвечать на телефон.

zgen ★★★★★
()
Ответ на: комментарий от muon

muon

Нарушение авторских и смежных прав, угадал? А 147 — паентных, да?..

да, я ошибся. имелось ввиду

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок до семи лет.

drBatty ★★
()
Ответ на: комментарий от sin_a

"Работу Мастера не видно"

Годный пример. Частенько в наших краях хозяева контор недооценивают специалистов.

drSchur ★★★
()
5 апреля 2012 г.
Ответ на: комментарий от ktk

Нет, не он. Г-н Большаков не чудит, по крайней мере я не заставал

agr_74
() автор топика
Ответ на: комментарий от agr_74

задолженность за 4 месяца
но при этом не забывает оставлять заявки мне в хелпдеск и отрывать от основной работы звонками
договор на обслуживание не заключал

да ты лох

по сабжу, можно случайно logrotate отключить, или что-нибудь в этом роде

Harald ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.