LINUX.ORG.RU
ФорумTalks

Как найти админа

 


0

1

Хочу нанять админа сервера. Как ограничить доступ к БД и вообще к другим разделам, фоткам, например, пользователей? Как такое разруливают?


Перемещено leave из admin

★★★★

Как ограничить доступ к БД и вообще к другим разделам, фоткам, например, пользователей? Как такое разруливают?

никак

Harald ★★★★★
()

Найми детектива, чтобы он нашел админа. Очевидно же.

anonymous
()
Ответ на: комментарий от gobot

А не хранить яйца в одной корзине не? Отвечаешь за данные, сам управляй или человека нанимай с NDA, к юристам на консультацию. А так выход один - дели сервера.

white_bull
()
Ответ на: комментарий от gobot

тогда только юридичеки, как написано выше. можно нанять админа над админом, а потом админа админом над админом, но рекурсия, все равро всегда есть ответвенное лицо, которое имеет доступ, но так же голову и договор.

еще можно нанять охранника, котрый будет бить админа палкой , когда тот случайно полезет смотреть фоточки юзеров.

если речь идет о серьёзном проекте ,где ты как фирма заявляешь, что не имеешь доступа к ресурсам юзеров, то шифрование с ключами на стороне пользователя.

constin ★★★★
()
Последнее исправление: constin (всего исправлений: 2)
Ответ на: комментарий от gobot

Новый закон вышел совсем недавно, каждый в РФ может потребовать удалить свои персональнае данные. Сам механизм ещё не показали. Самому интересно.

white_bull
()
Ответ на: комментарий от gobot

Найти не проблема. Ограничить доступ проблема

Harald ★★★★★
()
Ответ на: комментарий от white_bull

Новый закон вышел совсем недавно, каждый в РФ может потребовать удалить свои персональнае данные.

я , как резидент Евросоюза могу это требовать уже год как.

constin ★★★★
()
Ответ на: комментарий от gobot

Прецеденты чего? Заключения трудового или ГПХ договора на администрирование? Ну как-то же админят за зарплату и в кредитных и в бюджетных организациях, где сплошные ПД.

Судебную практику можно посмотреть на соответствующих ресурсах.

Технически, выше уже отметили вариант, что защита от админа мало отличается от защиты от взлома (т.е. считаем, что периметр изначально пройден) - критичная информация либо захеширована, либо зашифрована. И журналирование действий, с постоянным аудитом.

Ну и оплата труда должна быть такой, что заморачиваться со сливом данных было накладно.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 3)

админ он по ответственности и доступу типа главбуха.

у хорошего админа должна быть профессиональная деформация, не лезть куда не надо, если это не надо для работы. и понимание, что данные - собственность бизнеса, а не его игрушка.

constin ★★★★
()
Последнее исправление: constin (всего исправлений: 1)

Много чего написали, но ничего практичного. Меня не интересуют законы. Я хочу чтобы вася пупкин админил сервер и не лез в бд и фотки

gobot ★★★★
() автор топика

Для этого специальные сайты есть. Mamba та же.

fornlr ★★★★★
()
Ответ на: комментарий от gobot

Я хочу чтобы вася пупкин админил сервер и не лез в бд и фотки

допустим, что у него не доступа до сервера базы данных. но у подавляющего количества софта логин и пароль к базе данных лежит открытым текстом в конфиге. рут всегда сможет его прочитать. и далее получить доступ к базе.

те если надо именно технически, то логирование каждого действия на сервере и в базе, что опять же писали выше. «админ сервера» это рут и у него есть доступ. «админ сервиса» может не иметь каких-то доступов и его проще огранияиватт и отслеживать действия.

поставленный вопрос слишком общий, чтобы дать волшебную палочку." как ограничить доступ, дав полный доступ?" никак. но если рассматривать сервисы, то уже есть надо чем продумать.

constin ★★★★
()
Последнее исправление: constin (всего исправлений: 1)
Ответ на: комментарий от anonymous

Он даже не написал, что должен админить админ.

«сервер» :)

constin ★★★★
()
Ответ на: комментарий от gobot

еще есть системы, котрые анализируют поведение серврисов реагируют на необычные события. те сервис знает,что приложение обращается к базе с такими-то запросами с такой-то частотой. и когда оно увидит другоц запрос типа дампа базы, то забьет тревогу.

но эти все штуки уже в job и к безопасникам.

constin ★★★★
()

Почитал коменты. Сделал вывод, что нужно доверять админу на 90%? Туфта с законами не интересует

gobot ★★★★
() автор топика
Ответ на: комментарий от gobot

Тебе от админа нужно обслуживание только ОС или сервисов тоже?

anonymous
()
Ответ на: комментарий от Harald

При должном бюджете нет ничего невозможного. Нанимаешь админа, который сам ничего не делает, только выдаёт доступы, админа, который обслуживает CI/CD, админа, который никуда доступа не имеет, но пишет манифесты для ansible (или иной CMS), которая всё админит, админа, который следит за предыдущим умником и т.д. Кроме админов нужны безопасники, которые ничего не умеют, но изводят тонны бумаги на описания политик и юристы, которые будут ходить в дешёвых костюмах и всех пугать.

Ну или можно собаку надрессировать, чтобы кусила админа, когда тот лезет в БД смотреть фотки.

Во, придумал самый надёжный метод. Сделать просмотр фоток пользовательниц частью трудовых обязанностей админа. Назначить таску и присвоить ей низший приоритет. По моему опыту, до таких задач никогда не доходят руки.

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

Нанимаешь админа, который сам ничего не делает, только выдаёт доступы,

Ну вот у него же рутовый пароль будет, а значит доступ ко всему. А ещё у админа с ключом от серверной.

Ну или можно собаку надрессировать, чтобы кусила админа, когда тот лезет в БД смотреть фотки.

Собака надрессированная на

rsync /home/masha/videos/ /mnt/usb_flashdrive_of_admin/

в чорной-чорной консолечке мелким шрифтом?

Harald ★★★★★
()
Ответ на: комментарий от Harald

Собака надрессированная на

Собаки умные!

ugoday ★★★★★
()
Ответ на: комментарий от gobot

Да. Нормальный админ если захочет не просто получит доступ ко всему что у тебя есть, но и разнесёт всю систему. Так что только юридически и не быть чудаком на букву м. А если никому не доверяешь, то сам, ручками.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Да, мне не нравится текущая ситуация, но нормальных безопасных ОС и систем нету. Принципиально.

peregrine ★★★★★
()
Ответ на: комментарий от ugoday

Назначить таску и присвоить ей низший приоритет.

Да, как говорится, хочешь что-то спрятать — положи на видное место.

mydibyje ★★★★
()
Последнее исправление: mydibyje (всего исправлений: 1)
Ответ на: комментарий от peregrine

SELinux?
помнится, вроде, у АНБ был сервер с открытым рутовым доступом по ssh, мол заходите все кто хочет, всё-равно системе ничего не сделаете.

teod0r ★★★★★
()
Ответ на: комментарий от Jameson

Не поможет. Админ это тот кто его настраивает.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Положим, всё, что вы можете — это писать terraform & ansible код. Всё, естественно, работает через git и code-review другими админами. Ваши действия, чтобы получить доступ к вожделенным фоточкам?

ugoday ★★★★★
()
Ответ на: комментарий от gobot

Либо админь сам, либо удаляй всё к хренам. Середины нет. Надёжных людей сейчас очень мало.

sparkie ★★★★★
()

Нанять админа в конторе которая предоставляет услуги по администрированию серверов:

  1. Договор будет с подписью и печатью

  2. У админа которого закрепят за вашим сервером есть ещё десятки других серверов - ему физически некогда куда-либо кроме ваших тикитов лазить и уж тем более в папки юзеров.

suffix ★★
()
Последнее исправление: suffix (всего исправлений: 1)
Ответ на: комментарий от suffix

ему физически некогда куда-либо кроме ваших тикитов лазить и уж тем более в папки юзеров

Всё делается автоматически, скриптами, за доли секунд.

sparkie ★★★★★
()
Ответ на: комментарий от sparkie

Зачем ему это ?

Он работает в фирме по трудовому договору.

Писать скрипты тоже время а потом ещё физически смотреть что там накопировалось.

suffix ★★
()
Ответ на: комментарий от suffix

Зачем ему это ?

Это другой вопрос. Вопрос стоит о потенциальной возможности.

Писать скрипты тоже время а потом ещё физически смотреть что там накопировалось.

Заплатят - напишет. Например, конкуренты. Или силовики.

sparkie ★★★★★
()

Найми двух админов, дай им по половине пароля, пусть рядом сидят и друг за другом следят.

anonymous
()

На время работы админа с сервером отключать последний от интернета. Админа допускать к работе только в спецодежде после шмона. После ухода админа проводить полный аудит сервера перед включением его обратно в интернет.

Bers666 ★★★★★
()
Ответ на: комментарий от anonymous

А это мысль. Если что удумают, пойдут организованной группой, а это отягчающие.

Bers666 ★★★★★
()
Ответ на: комментарий от ugoday

Это в том случае что ты сильно компетентнее меня. В противном ты ничего не поймешь, как и все твои безопасники.

Так что не забывай что тебе ещё и дурачков при этом надо нанимать, но они могут и так накосячить, что тебе никто и не потребуется, потому как данные фоток утекут в инет.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.