У меня есть выделенный сервер, на котором я запускаю свой собственный сайт. Я не утверждаю, что это самая дорогая или важная часть программного обеспечения из когда-либо написанных, тем не менее, чтобы заставить это работать, пришлось приложить немало усилий.
Теперь я оказался в ситуации, когда мне нужно нанять профессионального администратора, чтобы он посмотрел на мой почтовый сервер (все сообщения, отправленные с моего сервера, помечаются как спам), для чего потребуется доступ к моему выделенному серверу. Я планирую нанять этого профессионала с сайта фрилансеров, например elance.com, а это значит, что он совершенно незнакомец.
Мой вопрос: не разумно ли давать доступ к вашему серверу совершенно незнакомому человеку, которого вы нанимаете из Интернета? Предоставляли ли вы когда-нибудь доступ к своим серверам другим? Это было через удаленный рабочий стол? Пожалуйста, поделитесь своими мыслями и опытом.
Я должен сказать, что да, неразумно давать доступ совершенно незнакомому человеку вне Интернета, особенно как фрилансеру. Лучше, вероятно, будет связаться с местной школой или компанией и узнать, с какими консультантами можно поработать в вашем районе.
Вы должны помнить, что безопасность сводится к доверять. Вы должны знать, что этот человек имеет полный доступ к вашей системе и может легко размещать в вашей системе свои собственные скрипты, измененные двоичные файлы и т. Д. без вашего ведома, особенно если вы не разбираетесь в администрировании. Ничто не мешает этому человеку решить, что вы не платите ему достаточно или вовремя, и у вас есть сценарий, который указывает, что пользователь XYZ не вошел в систему к определенной дате или в течение X дней, «rm -fr /».
Если вы найдете кого-то из местных, у вас, по крайней мере, есть кого-то привлечь к ответственности. Вы также должны убедиться, что у вас есть резервные копии вашей работы на отдельном диске под вашим собственным контролем. Вы не можете полагаться только на резервные копии, поскольку администратор работает с состоянием системы ... если они изменят конфигурации и / или добавят небольшой "подарок" к двоичным файлам, вы сделаете их резервную копию вместе со всем остальным, а затем закончите копирование троянских данных вместе с другими вашими данными.
Вам нужно найти кого-то, кого вы можете привлечь к некоторой ответственности или, по крайней мере, ведет солидный бизнес. В зависимости от того, насколько вы полагаетесь на свой веб-сайт с точки зрения дохода или репутации или потребностей вашего собственного бизнеса, вам необходимо решить, насколько приоритетным является уровень доверия вашего администратора.
Дали ли мы доступ другим? Да, наша школа заключила контракт с IU (своего рода государственным агентством, которое поддерживает государственные школы), но мы знаем ребят, у которых они есть, и работаем с ними индивидуально. Могут ли они нас обмануть? Конечно, могут. То же самое и с нашими собственными администраторами, если с ними облажались, с ними обращаются как с грязью и что-то происходит, когда они уходят в плохие отношения. Опять же, безопасность сводится к тому, насколько вы доверяете своим пользователям и насколько вы разделяете доступ к тому, что им абсолютно необходимо.
Удаленный рабочий стол на самом деле не помогает устранить множество проблем с безопасностью. Например, у нас есть настольный контроль над нашими пользователями ... что наиболее ценно? Информация? Если бы мы были так склонны, мы могли бы увидеть, как они печатают конфиденциальные электронные письма и пассивно получают информацию, не зная своих паролей. У нас также были удаленные специалисты, работающие с такими вещами, как поставщик программного обеспечения для нашей точки продаж, который обрабатывает программное обеспечение удаленно, поэтому у них не было нашего пароля администратора, но у них был доступ администратора, так как я вошел в систему как администратор. Я также все время следил за тем, что они делали, и снова мы им доверяли. Просто недостаточно, чтобы работать без присмотра :-) Я тоже вообще знаю, что они делают. Я знаю, что у них нет причин ковыряться в наших акциях или устанавливать определенное программное обеспечение на наш сервер. Если вы не представляете, что влечет за собой системное администрирование, наблюдение за тем, что они делают, вам не очень поможет. Это действительно помогает только в том случае, если у вас есть некоторое представление о том, с чем можно возиться, а с чем нельзя возиться, пока другой человек работает, и если вы говорите о доступе по SSH, вполне возможно, что они могут получить доступ через черный ход, пока вы смотрите происходит что-то еще.
Я как раз читал о статья в Worse Than Failure когда разработчик работал над веб-сайтом, и возникли разногласия по поводу оплаты или какой-либо другой вопрос, и разработчик угрожал удалить сайт даже после того, как владелец изменил пароли и информацию. Разработчик сказал, что он все еще может это сделать, так что заплатите ... поэтому администратор быстро выполнил команду grep и обнаружил в PHP дурацкую инструкцию, стирающую все файлы, если определенное ключевое слово было в URL-адресе, отправленном в веб-приложение. Это так просто - заставить кого-то вас обмануть.
Резервное копирование, резервное копирование, архивирование и информация о версии вашего приложения и данных, а также поиск людей, которым вы можете доверять и подотчетны. Ваш системный администратор должен быть тем, с кем вы собираетесь установить хорошие деловые отношения, а не мимолетным «давайте попробуем это».
На мой взгляд, простой ответ - если вы не дадите кому-то доступ, они не смогут помочь в решении проблемы. Но неразумно использовать компанию, которой вы не доверяете. Будь то парень с улицы или кто-то из Интернета, вы должны довериться кому-то, чтобы решить проблему.
Многие компании, такие как elance.com, будут иметь рейтинги и обзоры для всех своих технических специалистов, если они не найдут компанию, у которой они есть. Вы также можете найти отзывы о компании повсюду. Как правило, технические специалисты, которые подписываются на эти сайты, стремятся заработать дополнительные деньги и честно пытаться чтобы помочь вам. Но неизвестно, смогут они это сделать или нет, пока они не взглянут на проблему.
Но убедитесь, что у вас есть резервная копия ... не помешает быть осторожным.
Что это за ОС? Можете ли вы создать для него ограниченную учетную запись, которая дает доступ ТОЛЬКО к тому, что ему нужно?
Я никогда не давал доступа случайному незнакомцу из Интернета и никогда не буду. Я даже не дам доступ поставщикам, пока не встречусь лицом к лицу с их техническим персоналом.
Есть ли причина, по которой для чего-то столь потенциально опасного вы хотите использовать elance вместо того, чтобы найти местного ИТ-консультанта, который может сидеть с вами за вашим столом и позволять вам смотреть каждую команду, которую они вводят?
Вы получите разные ответы на этот вопрос. Но мой: «Это зависит от обстоятельств». Это продавец, то да, наверное, стал бы. Незнакомец, я бы немного насторожился.
Если бы это был совершенно незнакомый человек, и вы чувствуете, что вам нужно следить за ним, и это разовая вещь? Создайте новую учетную запись LogMeIn Free, дайте ему доступ и наблюдайте с консоли, как он входит в систему, удалите программное обеспечение, когда работа будет завершена.
Я не дал доступа ни к одному из моих серверов, которыми управляю. Но мне неоднократно давали доступ.
Мне дали прямой RDP, SSh, и один использовал logmein.com. С точки зрения безопасности, я считаю, что служба logmein.com была лучшей. B / c это был уровень безопасности до того, как вы нажали приглашение для входа в Windows. Если ты не можешь сделать что-то подобное. RDP будет работать. И тогда вы можете закрыть доступ постфактум.
Поскольку вы не можете гарантировать, что они не сделают ничего злонамеренного, когда окажутся там. Перед тем, как передать учетную запись, вам следует провести тщательную инвентаризацию учетных записей пользователей и работающих служб. Полное резервное копирование также всегда является хорошей идеей.
Когда он будет готов, вы можете отключить учетную запись. Затем вы можете сравнить новое состояние сервера с инвентаризацией, которую вы провели. Вы также можете выполнить поиск файлов в Windows или Linux и выполнить поиск по дате изменения, чтобы увидеть, какие файлы они коснулись.
Еще один шаг, который вы можете сделать, - дать им очень простые права пользователя, без администратора. Затем повышайте уровень привилегий, которые им нужны, чтобы погрузиться в проблему. Проблема заключается в том, что это будет стоить вам, т.к. на устранение проблемы уйдет больше времени.