我们的安全审核员是个白痴。我如何给他他想要的信息？

我们服务器的安全审核员在两周内要求满足以下条件：


所有服务器上所有用户帐户的当前用户名和纯文本密码列表
过去六个月中所有密码更改，均以纯文本格式
过去六个月中“从远程设备添加到服务器的每个文件”列表
任何SSH密钥的公钥和私钥
每当用户更改密码时，都会向他发送一封电子邮件，其中包含纯文本密码。

我们正在运行具有LDAP身份验证的Red Hat Linux 5/6和CentOS 5。 />
据我所知，该列表上的所有信息都是不可能的或难以置信的，但是如果我不提供此信息，我们将面临过渡期间无法使用我们的支付平台和收入损失的问题期间，我们开始使用新服务。关于如何解决或伪造此信息的任何建议？

我想获得所有纯文本密码的唯一方法是，让所有人重置密码并记下它们的设置它来。这不能解决过去六个月的密码更改问题，因为我无法追溯性地记录此类内容，因此记录所有远程文件也是如此。

获取所有由于我们只有少数用户和计算机，因此可以使用公共和私有SSH密钥（尽管很烦人）。除非我错过了更简单的方法？

我已经多次向他解释过他所要求的事情是不可能的。为了回应我的担忧，他回复了以下电子邮件：建议您检查
关于什么是和不可能的事实。您说没有公司可以提供此信息，但是我已经进行了数百次审核
这些信息很容易获得的地方。所有[通用信用卡
卡处理提供商]客户都必须遵守我们的新
安全策略，并且此审核旨在确保正确实施这些策略*。


*“新安全策略”是在我们审核前两周推出的，在策略更改之前不需要六个月的历史记录。


“伪造”六个月的密码更改并使其看起来有效的方法
“伪造”六个月的入站文件传输的方法
收集所有正在使用的SSH公钥和私钥的简单方法

如果我们未能通过安全审核，我们将无法访问我们的卡处理平台（系统的关键部分），这将需要两个时间个星期搬到其他地方。

更新1（23日星期六）

我感谢您的所有答复，这不是标准做法，这让我感到非常欣慰。

我目前正在计划对他的电子邮件回复，以说明情况。正如你们中许多人所指出的，我们必须遵守PCI，PCI明确指出我们不应有任何方式来访问纯文本密码。写完电子邮件后，我将发布该电子邮件。不幸的是，我不认为他只是在测试我们。这些东西现在已经在公司的官方安全政策中了。但是，我暂时启动了轮子，使其离开它们，移到PayPal上。

更新2（23日星期六）

这是电子邮件已经起草了，对添加/删除/更改的东西有什么建议吗？


[姓名]，

您好，我们无法提供任何方法为您提供所需的一些信息，主要是纯文本密码，密码历史记录，SSH密钥和远程文件日志。这些事情不仅在技术上是不可能的，而且能够提供此功能
信息既违反PCI标准，又违反了
数据保护法。
要引用PCI要求，

8.4使所有密码在传输和存储过程中不可读
所有系统组件都使用强密码。

我可以为您提供
我们系统上使用的用户名和哈希密码列表，
SSH公钥的副本和授权的主机文件（这将
为您提供足够的信息，以确定可以连接到我们服务器的唯一用户数
，以及所使用的加密方法），
有关我们的密码安全要求和我们的LDAP
服务器，但此信息可能无法从现场获取。我强烈建议您查看审核要求，因为目前尚无办法
使我们通过审核，同时又要遵守PCI和《数据保护法》。

问候，
[我]


我将担任公司CTO和客户经理的CC'ing，我希望CTO可以确认此信息是无法使用。我还将与PCI安全标准委员会联系，以解释他对我们的要求。

更新3（26日）

这里有一些我们交换的电子邮件；

RE：我的第一封电子邮件；


如所解释的，此信息应易于在任何维护良好的系统上提供给任何合格的管理员。您无法提供此信息使我相信您知道系统中的安全漏洞，并且不准备透露这些漏洞。我们的
请求符合PCI准则，并且都可以满足。强大的
加密仅表示在用户输入密码时必须对其进行加密，但随后应将其移动为可恢复的格式以供以后使用。

我看到这些请求没有数据保护问题，仅数据保护
适用于消费者而不是企业，因此该信息应该没有问题。


什么，我什至不能...


“强加密仅意味着在用户输入密码时必须对密码进行加密
，但随后应将它们转换为可恢复的格式以供以后使用。”


我要把它框起来放在墙上。

我对成为外交官感到厌烦，并指示他到这个话题向他展示我得到的答复：


提供此信息直接违反了PCI准则的若干要求。我引用的部分甚至说storage
（暗示我们在磁盘上存储数据的位置）。我在ServerFault.com（用于sys-admin专业人士的在线社区）上发起了一个讨论，该讨论引起了巨大反响，所有提示都无法提供此信息。随时阅读自己的内容

https＆colon; // serverfault.com/questions/293217/

我们已经完成了将系统转移到新平台的工作，并且将
在第二天左右取消与您的帐户，但我希望您
意识到这些要求是多么荒谬，并且没有公司
正确实施PCI准则能够或应该做到
提供此信息。我强烈建议您重新考虑您的
安全要求，因为您的所有客户都不应该
遵守此要求。


（我实际上已经忘记了我在标题中称他为白痴，但正如我们提到的，我们已经离开他们的平台了，所以没有真正的损失。）您正在谈论：


我通过这些回复和您的原始帖子进行了详细阅读，
响应者都需要弄清事实。我去过这里
行业比该站点上的任何人都要长，获取用户帐户密码列表非常基础，这应该是您在学习如何保护系统安全时要做的第一件事之一，这是必不可少的
任何安全服务器的操作。如果您确实缺乏执行此简单操作的技能，那么我将假定您没有在服务器上安装PCI，因为能够恢复此信息是基本要求。该软件。在处理诸如安全之类的问题时，如果您不了解公共安全的工作原理，则不要在公共论坛上问这些问题。

我也想建议任何试图揭露我的尝试，或者
[公司名称]将被视为诽谤，并将采取适当的法律行动

如果您错过了关键的愚蠢要点他们：


他成为安全审核员的时间比这里的任何人都要长（他在猜测或跟踪您）
能够在UNIX上获得密码列表系统是“基本”
PCI现在是软件
如果不确定安全性，人们不应该使用论坛
在网上发布事实信息（我有电子邮件证明的人）是诽谤

非常好。

PCI SSC已做出回应，并正在调查他和公司。我们的软件现已移至PayPal，因此我们知道它是安全的。我将等待PCI首先返回我，但我有点担心他们可能在内部使用了这些安全措施。如果是这样，我认为这是我们的主要关切，因为我们所有的卡处理都通过它们进行。如果他们在内部进行此操作，我认为要做的唯一负责任的事情就是通知我们的客户。

我希望PCI当意识到他们有多糟糕时，他们将调查整个公司和系统，但我不确定。

所以现在我们已经离开了他们的平台，并且假设至少要等几天PCI才能回到我身边，关于如何诱骗他的任何创造性建议？ =）

一旦我得到我的法务人员的许可（我非常怀疑其中任何一项都是诽谤，但我想仔细检查），我将发布公司名称，他的姓名和电子邮件，如果愿意，可以与他联系并解释为什么您不了解Linux安全性的基础知识，例如如何获取所有LDAP用户密码的列表。

小更新：

我的“合法人士”建议透露该公司可能会引起比需要更多的问题。我可以说，虽然这不是主要的提供商，但使用此服务的客户少于100个。我们最初是在站点很小且运行在少许VPS上时才开始使用它们的，我们不想花所有的精力来获得PCI（我们曾经重定向到它们的前端，例如PayPal Standard）。但是，当我们转向直接处理卡（包括获取PCI和常识）时，开发人员决定继续使用同一家公司，只是使用不同的API。该公司位于英国伯明翰，所以我非常怀疑这里的任何人都会受到影响。