这个问题来自保护知识产权(IP)的角度,在我看来,这完全是代码和/或配置文件(即易于复制的小型数字文件)。我们的秘密调味料使我们比小巧的建议更成功。同样,我们曾经被一些曾经窃取IP的不道德的员工(不是系统管理员)咬了一口,害羞了两次。高层管理人员的职位基本上是:“我们信任人们,但出于个人利益,不能承受给任何人提供超出其绝对需要的工作机会的风险。”
关于开发人员一方面,划分工作流和访问级别相对容易,这样人们可以提高工作效率,但只看到他们需要看的东西。只有高层人士(实际的公司所有者)才有能力组合所有成分并创建特殊的调味酱。
但是我一直没有想出一种好的方法来保持IP保密性在Linux管理员端。我们广泛使用GPG编写代码和敏感文本文件...但是,如何阻止管理员(例如)向用户起诉并跳入其tmux或GNU Screen会话并查看他们在做什么呢? br />
(我们也到处都禁用了Internet访问,这可能会与敏感信息接触。但是,没有什么是完美的,聪明的系统管理员或网络管理员可能会犯错误。甚至好的旧USB。当然还有许多其他措施,但这些措施不在本问题的范围之内。)
我能想到的最好的方法是基本上使用带有sudo的个性化帐户,类似于在多个Linux系统管理员中以root用户身份进行的描述。具体来说:除公司所有者外,没有人可以直接访问root。其他管理员将拥有一个个性化的帐户,并拥有sudo root的能力。此外,将建立远程日志记录,并将日志记录到只有公司所有者可以访问的服务器上。看到日志记录关闭将引发某种警报。
聪明的sysadmin可能仍会在此方案中发现一些漏洞。除此之外,它仍然是被动的而不是主动的。我们IP的问题在于,竞争对手可能很快使用它,并在很短的时间内造成很多损害。
因此,最好的办法是限制管理员可以做的事情。但是我意识到这是一个微妙的平衡(尤其是鉴于故障排除和修复需要立即解决的生产问题)。数据管理这个问题?例如,军事系统管理员:他们如何在不能够看到机密信息的情况下管理服务器和数据?
编辑:在最初的发布中,我的意思是抢先解决开始浮出水面的“招聘惯例”评论。第一,这应该是一个技术问题,而IMO的聘用做法更倾向于社会问题。但是,有两个,我要这样说:我相信我们会做一切合理的聘用工作:与公司的多人面谈;背景和参考检查;所有员工都签署了许多法律文件,其中包括说他们已经阅读并理解了我们的手册,其中详细介绍了知识产权问题。现在,它不在此问题/站点的范围内,但是,如果有人可以提出“完美”的招聘做法来过滤掉100%的不良行为者,我将不知所措。事实是:(1)我认为没有如此完美的招聘流程; (2)人们改变-今天的天使可能是明天的魔鬼; (3)在这个行业中,尝试进行代码盗窃似乎有些常规。
#1 楼
您所说的被称为“ Evil Sysadmin”风险。它的长处和短处是:系统管理员是具有较高特权的人
从技术上讲,其熟练程度足以使他们成为一个好的“黑客”。 />在异常情况下与系统交互。
这些因素的结合使得从根本上阻止恶意行为是不可能的。甚至审计也变得困难,因为您没有“正常”可比。 (坦率地说-损坏的系统也可能破坏了审核)。
有很多缓解步骤:
特权分离-您不能阻止具有root权限的人在系统上执行任何操作。但是您可以让一个小组负责网络,而另一个小组负责“操作系统”(或分别为Unix / Windows)。
将工具包的物理访问权限限制在另一个没有管理员帐户的团队中,但是要照顾所有的“手工”工作。
分开“台式机”和“服务器”的责任。配置桌面以禁止删除数据。桌面管理员无权访问敏感文件,服务器管理员可以窃取敏感文件,但必须跳过障碍物才能将其从建筑物中取出。
对受限访问系统进行审核-
syslog和事件级别审核,对他们没有特权访问的相对抗篡改的系统进行审核。但是,仅收集信息还不够,您需要对其进行监视-坦率地说,有很多方法可以“窃取”未在审计雷达上显示的信息。 (偷猎者与游戏管理员)应用“静态”加密,因此数据不是“明文”存储的,需要实时系统进行访问。这意味着具有物理访问权限的人无法访问未受到主动监视的系统,并且在系统管理员正在处理“异常”情况下,数据暴露的程度也较小。 (例如,如果数据库无法正常工作,则数据可能无法读取)
两人法则-如果您对生产力受到影响而没事,士气也同样如此。 (严重的是-我已经看到了它的完成,并且持续的工作状态和被监视的状态使工作条件变得极为困难)。
请您的系统管理员来审核-根据国家/地区的不同,可能会进行各种记录检查。 (检查犯罪记录,您甚至可能会发现在某些情况下可以申请安全审查,这将触发审查。)
照看系统管理员-您要做的绝对的最后一件事就是告诉“受信任”的人,你不信任他们。而且,您当然不希望损害士气,因为这会增加恶意行为的可能性(或“相当大的疏忽,但会引起警惕”)。但是要根据责任和技能来支付。考虑“津贴”-比工资便宜,但可能价值更高。像免费咖啡或比萨饼每周一次。
,您也可以尝试应用合同条件来禁止这样做,但请注意上述几点。
但从根本上讲,您需要接受这是信任的事情,而不是技术的事情。由于这场完美的风暴,您的系统管理员将永远对您非常危险。
评论
我偶尔戴sysadmin帽子。我发现有必要将功能强大的工具摆放在我能找到的地方,其中一些工具的设计目的是规避系统访问控制(以防万一有人设法将所有人锁定在工作站之外)。由于其运作的本质,审计被削弱或无效。
– joshudson
16-2-3在17:43
是。由于种种原因,锁匠可以合法闯入您的房屋,系统管理员可能需要闯入网络。
–Sobrique
16-2-3在17:55
@Sobrique:有些事情我还是不明白:为什么我们听说流氓系统管理员存储大量数据,而不是流氓佣人这样做(他们可以在纸上写的全部时间内这样做)。
–user2284570
16年7月28日在20:39
卷-TB的硬拷贝很大。和损害。破坏IT系统可能会破坏公司。
–Sobrique
16年7月28日在20:52
#2 楼
到目前为止,这里所说的一切都是好东西,但是有一种“简单”的非技术性方法可以帮助消除恶意的系统管理员-四眼原理,基本上需要两个系统管理员才能访问任何提升的权限。编辑:
我在评论中看到的两个最大的项目是讨论成本和串通的可能性。我曾考虑避免这两个问题的最大方法之一是使用仅用于验证已采取措施的托管服务公司。如果做得好,技术人员不会互相认识。假设MSP应该具有技术实力,那么很容易就可以拒绝采取的行动。.甚至对任何邪恶的事情来说,只要是/否就简单。
评论
@Sirex:是的,这就是安全性的问题-它总是有成本的。
–sleske
16年2月2日,9:55
不,我在相当小的组织(100-1000人)中工作过。他们只是接受了他们的程序,使所有sysadmin活动的成本是其他钱的四到十倍,因此他们付了款。
– MadHatter
16-2-2在10:07
这是唯一的答案。我们的工具包位于一些安全的地方,并且(在其他步骤中)我们使用这种方法来确保没有人可以进入高架终端。提出了完成工作的详细要求,很多人在上面签字(50岁以上,叹气),然后两个管理员聚在一起进行更改。它最大程度地降低了风险(以及愚蠢的错误)。完成任何事情都非常昂贵且痛苦不堪,但这就是安全的代价。回复:50多个签名者,包括网络团队,DC团队,项目经理,安全,存储,笔测试仪,软件供应商等。
–基本
16-2-2在10:12
是的,您可能会很难招到。对我来说,这将是一个即时表演的停止者,因为我想实际完成工作,这会削弱我的工作乐趣。
– Sirex
16年2月2日在17:42
请注意,增加的成本并不适用于每个sysadmin操作。但是,它确实适用于高级操作本身及其准备。 IOW,您不能说:“ sysadmin每周工作40个小时,其中4个小时被提升,因此成本增加将仅为10%”。从好的方面来说,该计划还会捕获正常的诚实错误。这样可以省钱。
– MSalters
16年2月2日在22:13
#3 楼
如果人们确实需要管理员对系统的访问权限,那么您几乎可以做的就是在此框上限制他们的活动。大多数组织所做的工作是信任,但请进行验证-您可以使人们访问系统的各个部分,但使用命名的管理员帐户(例如,不给他们直接访问root的权限),并且然后将他们的活动审核到他们无法干预的日志中。
这里有一个平衡的行为;您可能需要保护您的系统,但您确实需要信任人们来完成他们的工作。如果该公司以前被不道德的员工“咬伤”,那么这可能表明该公司的聘用做法在某种程度上很差,而这些做法大概是由“高层管理人员”创造的。信任始于家庭;他们正在采取什么措施来确定他们的雇用选择?
评论
这是一个很好的观察结果-良好的审核可以使人们完成工作,并对行为负责。
–史蒂夫·邦德斯
16年2月1日在19:59
正确使用auditd和syslog也可以很有效。可以通过多种安全工具监视该数据,以查找异常或明显的不良行为。
–亚伦
16年2月2日,下午4:25
审核的真正问题是存在很多噪音。几个月后,除非发生任何事情,否则没人会看日志。
– TomTom
16年2月2日在10:40
我同意TomTom的观点,即在安全日志上正确获取信噪比是一个问题,但是我认为您仍然需要进行日志记录。 @Sobrique我想说,“邪恶的系统管理员”主要是招聘问题,而不是技术问题;您需要弥合差距,所以我每天都需要“最佳实践”并改善招聘流程,考虑蒂姆提到的真正秘制酱料的“四只眼”,以及筛分原木
–罗布·莫尔
16年2月2日,11:24
一点点,但要记住,在“工作周期”中,以前的善意演员可能会变成恶意的演员。与其说自己雇用员工,不如说是剥夺公民权和士气。使某人成为一名优秀的系统管理员的事情也将使他们成为一名优秀的黑客。因此,也许在这一点上-雇用普通的sysadmins是前进的方向吗?
–Sobrique
16年3月3日在15:11
#4 楼
不必使自己陷入疯狂的技术头脑中,就可以尝试想出一种赋予系统管理员权力而又不赋予他们权力的方法(这可能可行,但最终会在某种程度上存在缺陷)。来自从业务实践的角度来看,有一组简单的解决方案。不是便宜的解决方案,而是简单的解决方案。
您提到您所关注的IP内容是分散的,只有最高层的人才有权查看它们。这本质上就是您的答案。您应该有多个管理员,并且没有一个管理员可以在足够多的系统上构成完整的图片。当然,每位管理员至少需要2到3位管理员,以防管理员生病,发生车祸或其他事故。甚至错开它们。说您有4位管理员和8条信息。管理员1可以访问具有部分1和2的系统,管理员2可以访问部分2和3,管理员3可以访问3和4,管理员4可以访问4和1。每个系统都有一个备份管理员,但没有备份管理员可以妥协整个画面。
军方也使用的一种技术是移动数据的限制。在敏感区域中,可能只有一个能够刻录磁盘或使用USB闪存驱动器的系统,所有其他系统都受到限制。而且,使用该系统的能力非常有限,并且在允许任何人将任何数据放到任何可能导致信息泄漏的东西上之前,都需要得到上层特别的书面批准。同样,您可以确保不同系统之间的网络流量受到硬件防火墙的限制。您控制防火墙的网络管理员无权访问正在路由的系统,因此他们无法明确访问信息,并且服务器/工作站管理员确保将进出系统的所有数据配置为加密,因此您的网络管理员无法点击网络并访问数据。
所有笔记本电脑/工作站均应具有加密的硬盘驱动器,并且每位员工都应拥有一个私人储物柜,以在深夜将硬盘驱动器/笔记本电脑锁定,以确保没有人早早进入/晚到并可以访问某些物品
每个服务器至少应位于自己的上锁机架中(如果不是自己的上锁空间),以便只有负责每台服务器的管理员才能访问它,因为在一天结束时,物理访问胜过一切。
接下来,有一种做法可能会有所帮助/伤害。合同有限。如果您认为自己可以支付足够的钱来吸引新的人才,那么可以选择仅将每个管理员保留一段预定的时间(即6个月,1年,2年),这将使您可以限制某人的工作时间尝试将您的IP的所有部分放在一起。
我的个人设计将遵循以下原则:将您的数据拆分成很多部分,请说一下,在图8中,您有8个git服务器,每个服务器都有自己的一套冗余硬件,每个服务器由一组不同的管理员管理。
为所有将要接触IP的工作站进行加密的hardriv。在驱动器上具有特定的“项目”目录,这是唯一允许用户放入其项目的目录。每晚晚上,他们需要使用安全的删除工具对项目目录进行清理,然后将硬盘驱动器删除并锁定(为了安全起见)。
项目的每个位都分配有一个不同的管理员,因此,如果项目分配发生更改,则用户只能与分配给他们的工作站管理员进行交互,其数据将被擦除,并为其分配新的管理员。他们的系统不应该具有刻录功能,并且应该使用安全程序来防止使用USB闪存驱动器在未经授权的情况下传输数据。
请您从此获取一切。
评论
谢谢你,那里好东西很多,我们正在做很多。尽管我喜欢多管理员的想法,但我们还不够庞大,无法满足需要。我真的只需要一个管理员,所以如果我只有四个管理员,他们通常会很无聊。我们如何找到想要的顶级人才,却只给他们带来很小的工作量?恐怕聪明的人会很快感到无聊,然后转向更绿色的牧场。
–马特
16-2-2在15:36
是的,这是一个大问题,实际上是政府领域的一个严重问题。我起初是管理员的地方,通常被称为“旋转门”。整个问题很难解决。一般来说,信息保证是一个很难克服的难题:\
–肉汁
16年2月2日在16:07
@Matt我们如何找到想要的顶级人才,但只会给他们带来很小的工作量?在某种程度上,您可以通过为他们提供大型测试/研发环境,使用炫酷的新玩具并鼓励他们将大部分工作时间用于发展其技术技能来缓解这种情况。 25%的有效工作量可能会把它推得太远了,但是我绝对会把工作定为50%的实际工作和50%的技术开发/研发(如果薪水与正常的〜100%处于同一水平,实际工作”)。
–HopelessN00b
16-2-23在18:57
#5 楼
这将类似于为建筑物雇用看门人的挑战。管理员将拥有所有钥匙,可以打开任何门,但是原因是管理员需要他们完成这项工作。与系统管理员相同。对称地可以想到这个古老的问题,并从历史上看待授予信任的方法。尽管没有明确的技术解决方案,但事实是没有理由不应该是我们不这样做的原因。尝试使用任何方法,不完美解决方案的汇总会带来一些不错的结果。
赢得信任的模型:
授予较少的权限以开始
/>逐步增加权限
放置一个蜜罐并监视未来几天会发生什么情况
如果系统管理员报告了它而不是尝试滥用它,那么这是一个不错的开始
实施几个管理权限级别:
级别1:可以修改较低级别的配置文件
级别2:可以修改较高级别的配置文件
级别3:可以修改更高级别的配置文件和OS设置
始终创建一个不可能由一个人进行总访问的环境:
分簇的系统rs
将集群管理员权限分配给不同的组
最少2个组
在进行高级核心更改时使用双向规则:
https://en.wikipedia.org/wiki/Two-man_rule
需要cluster1和cluster2的管理员进行核心更改
信任并验证:
记录所有内容
记录监视和警报
确保所有动作都是可区分的
文书工作:
让它们签名文书工作使法律制度能够通过对他们造成伤害而提起诉讼来帮助您,这给了他们更大的动力去
评论
不仅要记录所有内容,而且还需要对这些日志进行监视和警报,理想情况下,这是人类易于使用的一种方式。
–亚伦
16年2月2日,下午4:26
#6 楼
确保主机不受具有管理访问权限的主机的保护非常困难。尽管诸如PowerBroker之类的工具试图做到这一点,但代价是同时增加了其他一些可能会破坏的东西,并增加了尝试修复它的障碍。当您实施这样的事情时,系统可用性将下降,因此将期望值提前设置为保护事物的成本。另一种可能性是查看您的应用程序是否可以通过云提供商或在云主机上运行在一次性主机上本地托管的私有云。发生故障时,您无需扔出管理员来修复它,而是将其扔掉并自动构建替代品。要使它们在此模型中运行,需要在应用程序端进行大量工作,但它可以解决许多操作和安全性问题。如果做得不好,它可能会带来一些重大的安全问题,因此,如果您按照这种方法进行操作,请寻求经验丰富的帮助。
#7 楼
这是您的基准讨论:https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux通过让安全工程师来完成工作,您可以分担责任是为了进行系统配置和安装,但它们没有凭据或无法访问生产环境中的计算机。他们还运行您的审核基础结构。
您有生产管理员,他们可以接收系统,但没有SELinux策略处于活动状态时无法启动计算机的密钥。安全性无法获得解密磁盘上存储的敏感数据的密钥,以防它们从服务中拉出损坏的计算机。
使用具有强大审核功能的集中式身份验证系统,如保险柜,并加以利用其加密操作。分发Yubikey设备以使密钥绝对私密且不可读。
如果损坏,机器将被擦掉,或者由操作和安全性一起处理,如果您觉得需要执行人员监督,那么。
#8 楼
管理员可以根据工作性质访问所有内容。他们可以使用管理员凭据查看文件系统中的每个文件。因此,您将需要一种加密文件的方式,以便管理员看不到它,但是应该看到该文件的团队仍可以使用这些文件。查看Vormetric透明加密(http://www.vormetric.com/products/transparent-encryption)它的工作方式是位于文件系统和访问该文件系统的应用程序之间。管理人员可以创建一个策略,指出“只有运行Webserver守护程序的httpd用户才能看到未加密的文件”。然后,具有其根凭据的管理员可以尝试读取文件,并且仅获取加密版本。但是,Web服务器及其所需的任何工具都无法对其进行加密。它甚至可以对二进制文件进行校验和,使管理员更难处理。
当然,您应该启用审核功能,以便在管理员尝试访问文件的情况下,会标记出一条消息,并且人们知道关于它。
评论
那么,谁能更新文件?他们如何去做?
–迈克尔·汉普顿
16年2月1日在19:54
另外...如果我是该用户,请确保我可以破坏Web服务器守护程序。即使它正在检查二进制哈希值以确保我没有替换守护程序,也将有某种方法可以诱使Web服务器对数据进行看似合法的请求。
–基本
16年2月2日在10:08
实际上,SysAdmins可能无法访问所有文件-C2,并且安全性更高的系统可以阻止管理员。他们可以强制访问,但这是不可撤销的(将它们设置为用户),并且留下了痕迹(日志,他们可以删除但不容易更改)。
– TomTom
16年2月2日在10:44
这无济于事,因为管理员可以“成为” httpd ...管理员还可以读取/ dev / mem,因此可以读取所有密钥。
–约翰·基茨(John Keates)
16年2月2日在20:29
@TomTom:操作系统满足C2的可能性是一个神话。 Windows NT4通过了认证,但事实证明这是一种欺诈性通过。回退强制访问的能力始终存在,并且我已经使用过它,并且我们有一个依赖于此程序运行的过程,因为某些程序试图使用它来验证其文件未被篡改,但是我们需要进行更改他们。
– joshudson
16年3月3日在17:48
#9 楼
唯一实用的方法是限制谁可以使用sudo进行操作。您可能还可以使用selinux完成大部分所需的操作,但是要弄清楚可能使其不切实际的正确配置可能会花费很多时间。保密协议。雇用系统管理员,他们必须签署一份保密协议,如果他们违背了诺言,请将其告上法庭。这可能不会阻止他们窃取秘密,但是这样做所造成的任何损害都可以在法院追回。
军事和政府系统管理员必须根据材料的敏感程度获得不同等级的安全许可。这样的想法是,能够获得许可的人不太可能偷窃或作弊。
评论
这个想法是:1)获得并保持这种许可关系限制了他们开展黑幕业务的能力; 2)需要较高安全许可的工作薪水更高,这意味着无论您是否喜欢目前的雇主,都有强烈的动机保持该许可。
– Shadur
16年2月2日,9:29
也就是说,OP再次明确表示,他正在要求采取预防措施-当然,您可以随后起诉他们违反NDA的规定,但是系统管理员是否会打给您赚钱的足够可能,以弥补他所暗示的损害?
– Shadur
16年2月2日在9:31
您不仅可以从系统管理员那里获得损失,还可以从那些从这些机密中获利的人或任何其他企业获得损失。
–迈克尔·马丁内斯(Michael Martinez)
16-2-2在22:52
首先,这是一个非常秘密的环境。因此,可以说坏的系统管理员窃取了秘密信息,根本不可能追踪到他卖给谁。如果他窃取了一些代码,以良好的条件离开,然后将代码出售给竞争对手该怎么办?突然,我们的利润在减少,但是我们不知道如何(这是金融,一个匿名的市场)。
–马特
16-2-3在23:34
@Matt对于负责人和那些没有的人来说,这都是一样大的风险。有秘密调味料的人担心别人偷它的可能性很高。
–迈克尔·马丁内斯(Michael Martinez)
16年2月4日,下午3:56
#10 楼
降低风险(另一种方法,是代替前面提到的方法使用)的另一种方法是向系统管理员支付好钱。付钱给他们,以免他们不想从您的IP上窃取并离开您。评论
我知道您来自哪里,但我认为我们大多数人比这更有职业道德。我不会窃取客户的秘密,但这不是因为他们付给我的钱我觉得自己没有必要,这是因为这样做是不对的。我怀疑我不是唯一一个有这种感觉的人。
– MadHatter
16年2月2日在16:33
是的,正如本·富兰克林曾经写过的那样:“永远不要向某人收取超过杀死你的代价的费用。”但是相反。
–布鲁斯·埃迪格(Bruce Ediger)
16年2月2日在18:15
您不能贿赂某人以诚信。那只是行不通的。就像一个智者曾经说过的:我们已经确定了您是什么样的人,现在我们只是在讨价还价。但是您可以通过正确执行某人来赢得他们的忠诚。薪酬是其中的一部分,但很多事情也是如此。自主和掌握-给予自由,培训和发展。问题是,诱惑可能是压迫他们,使他们不会流浪,然后贿赂他们以“解决”问题。但是,像所有虐待关系一样,这会适得其反。
–Sobrique
16年3月3日在20:36
我刚刚写的是另一种方法,不是好方法。我认为,当有人雇用新的系统管理员时,一定要信任。因为sysadmin是CEO和CFO旁边的人,所以可以在几分钟之内摧毁公司。好的管理员不会为小钱工作(或者你们中的某个人?),而为小钱工作的sysadmin更危险。
–恩德拉狙击手滑盖
16-2-4在15:36
#11 楼
我认为如果没有更多详细信息,这个问题可能无法完全回答,例如:您希望多少个系统管理员保持“受限”?
什么?人们需要“ sysadmin”访问权限吗?
首先,请注意使用sudo可以做什么。使用sudo,您可以允许提升的权限仅运行单个命令(或变体,例如以“ mount -r”开头的命令,但不允许其他命令)。使用SSH密钥,您可以分配允许一个人仅运行特定命令的凭据(例如“ sudo mount -r / dev / sdd0 / media / backup”)。因此,有一种相对简单的方法可以允许几乎任何人(拥有SSH密钥)执行某些特定操作,而又不让他们绝对执行其他所有操作。
事情变得更具挑战性如果您希望技术人员对已损坏的内容进行修复。通常,这可能需要更高的权限,并且可能需要访问权限才能运行各种命令和/或写入各种文件。
我建议考虑基于Web的系统,例如CPanel(许多ISP使用)或基于云的系统。他们通常可以使整个机器消失,从而使机器出现问题。因此,某人可能能够运行替换机器的命令(或将机器恢复为已知的良好映像),而不必让该人有权读取大量数据或进行小的更改(例如合并较小的修复程序)并引入未经授权的后门)。然后,您需要信任制作图像的人,但是您正在减少需要信任的人来做较小的事情。
最终,确实需要一定程度的信任提供给非零人数的帮助设计系统并在最高级别运行的人员。
大型公司要做的一件事就是依靠诸如SQL服务器之类的东西,该服务器存储可以被大量机器远程访问的数据。这样,大量的技术人员就可以在某些计算机上具有完全的root用户访问权限,而对SQL Server则没有root用户访问权限。
另一种方法是太大而导致失败。不要以为大型军队或大型公司永远不会发生安全事件。但是,他们确实知道如何:
恢复,
(通过分离有价值的东西来限制损害)
采取了包括诉讼威胁在内的对策
具有帮助限制不必要的新闻曝光的过程,并制定了计划如何影响任何确实发展的负面报道的旋转方式
基本假设是,确实发生的损害仅仅是风险和代价他们做生意。他们希望继续运行,并且多年来的不断发展和改进将限制单个事件在一段时间内可能实际影响其长期价值的损害程度。
#12 楼
进行主动检查非常困难。像
http://software.dell.com/solutions/privileged-management/这样的解决方案(我不适用于Dell,也可以使用其他类似的解决方案)在执行sysadmin问责制方面非常有效。
#13 楼
将根管理机放入用两个钥匙锁住的房间,并为两个管理员分别提供一个。管理员将始终一起工作,观察彼此的活动。它应该是唯一包含私钥以root用户身份登录的机器。某些活动可能不需要root权限,因此只需要部分工作就可以进入那个房间进行“配对编程”
您还可以在其中录制视频活动主要是为了确保没有人独自工作(这很容易看到)。另外,请确保工作场所使两个人都能轻松看到屏幕(也许是带有大字体的大电视屏幕)。
评论
阅读您的最后一个问题时想到的第一件事……斯诺登。您可以通过适当的SELinux策略走得很远,但是实施起来会非常昂贵。最后,系统管理员必须具有对系统及其上文件的访问权限,才能完成其工作。您的问题不是技术问题,而是招聘过程中的问题。
军队使用安全检查和两人完整。即使那样,有时还是会有漏洞。双方制定邪恶计划的机会要少得多。
之所以闻起来像是人的问题,是因为这是人的问题。
这就是NDA的用途。