LINUX.ORG.RU

забавный топик на stackexchange


0

1
A security auditor for our servers has demanded the following within two weeks:

 * A list of current usernames and plain-text passwords for all user accounts on all servers
 * A list of all password changes for the past six months, again in plain-text
 * A list of "every file added to the server from remote devices" in the past six months
 * An email sent to him every time a user changes their password, containing the plain text password

An email sent to him every time a user changes their password, containing the plain text password
We're running Red Hat Linux 5/6 and CentOS 5 boxes with LDAP authentication.

показать все, что скрыто

ps... Если это провокация, возможна ли ее легальность?

★★

Последнее исправление: n01r (всего исправлений: 1)

В том топике ТС волнуют не логины/пароли в запросе аудитора, а как выкрутится с отсутствием логов по изменениям в них за полгода. Причём вопрос поставлен так, что хранение этих изменений - норма, а он не подготовлен.


bass ★★★★★
()
Ответ на: комментарий от bass

хранение этих изменений - норма, а он не подготовлен


норма ли? возможно админу не ставили условия когда поручали админить, а когда данные утекли налево, позвали за зарплату в 10 раз больше стороннего аудитора. Который тоже ничего лучше не придумал как назадавать вопросов с потолка, надо же как-то оправдывать заплоченные бабки

Karapuz ★★★★★
()
Ответ на: комментарий от bass

> В том топике ТС волнуют не логины/пароли в запросе аудитора, а как выкрутится с отсутствием логов по изменениям в них за полгода.

Спасибо, кэп. Кто пройдет, тот и так увидит.

n01r ★★
() автор топика
Ответ на: комментарий от Karapuz

Аудитор пишет что клиенты обязаны соответствовать новым правилам безопасности.

А аудируемый добавляет, что новые правила введены две недели назад, и до этого ведение логов с полугодичным хранением не было обязательным.

Либо аудиторы неадекватны, либо одна черепашка того… хотя зачем?

Однако эти падалы ничуть не вменяемее государственных чиновников, как я посмотрю.

Xenesz ★★★★
()
Ответ на: комментарий от Xenesz

> ничуть не вменяемее государственных чиновников, как я посмотрю

Насколько я понял, их контора работает с кредитными картами, безопасность работы с которыми и проверяет аудитор.

По идее, они последний должен быть адекватным. Наиболее вероятными мне предстваляются соц. инженерия или лень аудитора (чтобы быстро спалились на нарушении полиси).

Вот относительно второго варианта мне и было интересно: легально ли это.

n01r ★★
() автор топика
Ответ на: комментарий от n01r

Легально то, что пройдёт через суд. Сабж туда не попадёт, компания теряет время-деньги, и они не тыкают аудитору в очевидную толщину, потому что ещё потеряют (две недели без платежей), даже если разойдутся по-хорошему.

легально ли это

Кажется, компании этот вопрос не по средствам.

Xenesz ★★★★
()

> возможна ли ее легальность?

Скорее всего под PCI DSS сертифицируются. Аудиторы обычно задают вопрос «а покажите/напишите/раскажите какой у вас пароль для входа вот сюда?» - данный вопрос провокация и правильный ответ может быть только один - «пароль соответствует политике паролей, показать не могу».

FreeBSD ★★★
()
8 сентября 2011 г.
Ответ на: комментарий от n01r

> соц. инженерия или лень аудитора (чтобы быстро спалились на нарушении полиси).

Именно оно и есть (но только не лень, а именно грубая провокация - если она пройдёт, то уже всё плохо и PCI DSS побоку). И администратор уже почти спалился - потому как пароли вообще, по идее, не должны быть доступны в открытом виде никому; а он готов их сдать.

Cyril ★★
()
Ответ на: комментарий от Cyril

Ох, чёрт... Не посмотрел на дату, некропостер фигов. Ж:-\

Cyril ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.