забавный топик на stackexchange

0

1

A security auditor for our servers has demanded the following within two weeks:

 * A list of current usernames and plain-text passwords for all user accounts on all servers
 * A list of all password changes for the past six months, again in plain-text
 * A list of "every file added to the server from remote devices" in the past six months
 * An email sent to him every time a user changes their password, containing the plain text password

An email sent to him every time a user changes their password, containing the plain text password
We're running Red Hat Linux 5/6 and CentOS 5 boxes with LDAP authentication.

показать все, что скрыто

ps... Если это провокация, возможна ли ее легальность?

Ссылка

←

защита ПД

Как реализовать безопасное удалённое монтирование криптованых разделов?

→

В том топике ТС волнуют не логины/пароли в запросе аудитора, а как выкрутится с отсутствием логов по изменениям в них за полгода. Причём вопрос поставлен так, что хранение этих изменений - норма, а он не подготовлен.

bass ★★★★★
(24.07.11 16:56:33 MSK)

Ответ на: комментарий от bass 24.07.11 16:56:33 MSK

хранение этих изменений - норма, а он не подготовлен

норма ли? возможно админу не ставили условия когда поручали админить, а когда данные утекли налево, позвали за зарплату в 10 раз больше стороннего аудитора. Который тоже ничего лучше не придумал как назадавать вопросов с потолка, надо же как-то оправдывать заплоченные бабки

Karapuz ★★★★★
(24.07.11 17:43:24 MSK)

Ответ на: комментарий от bass 24.07.11 16:56:33 MSK

> В том топике ТС волнуют не логины/пароли в запросе аудитора, а как выкрутится с отсутствием логов по изменениям в них за полгода.

Спасибо, кэп. Кто пройдет, тот и так увидит.

n01r ★★
(24.07.11 18:14:21 MSK) автор топика

Ссылка

Ответ на: комментарий от Karapuz 24.07.11 17:43:24 MSK

Аудитор пишет что клиенты обязаны соответствовать новым правилам безопасности.

А аудируемый добавляет, что новые правила введены две недели назад, и до этого ведение логов с полугодичным хранением не было обязательным.

Либо аудиторы неадекватны, либо одна черепашка того… хотя зачем?

Однако эти падалы ничуть не вменяемее государственных чиновников, как я посмотрю.

Xenesz ★★★★
(25.07.11 00:23:14 MSK)

Ответ на: комментарий от Xenesz 25.07.11 00:23:14 MSK

> ничуть не вменяемее государственных чиновников, как я посмотрю

Насколько я понял, их контора работает с кредитными картами, безопасность работы с которыми и проверяет аудитор.

По идее, они последний должен быть адекватным. Наиболее вероятными мне предстваляются соц. инженерия или лень аудитора (чтобы быстро спалились на нарушении полиси).

Вот относительно второго варианта мне и было интересно: легально ли это.

n01r ★★
(25.07.11 00:38:17 MSK) автор топика

Ответ на: комментарий от n01r 25.07.11 00:38:17 MSK

Легально то, что пройдёт через суд. Сабж туда не попадёт, компания теряет время-деньги, и они не тыкают аудитору в очевидную толщину, потому что ещё потеряют (две недели без платежей), даже если разойдутся по-хорошему.

легально ли это

Кажется, компании этот вопрос не по средствам.

Xenesz ★★★★
(25.07.11 01:20:10 MSK)

Ссылка

> возможна ли ее легальность?

Скорее всего под PCI DSS сертифицируются. Аудиторы обычно задают вопрос «а покажите/напишите/раскажите какой у вас пароль для входа вот сюда?» - данный вопрос провокация и правильный ответ может быть только один - «пароль соответствует политике паролей, показать не могу».

FreeBSD ★★★
(25.07.11 16:38:52 MSK)

Ссылка

8 сентября 2011 г.

Ответ на: комментарий от n01r 25.07.11 00:38:17 MSK

> соц. инженерия или лень аудитора (чтобы быстро спалились на нарушении полиси).

Именно оно и есть (но только не лень, а именно грубая провокация - если она пройдёт, то уже всё плохо и PCI DSS побоку). И администратор уже почти спалился - потому как пароли вообще, по идее, не должны быть доступны в открытом виде никому; а он готов их сдать.

Cyril ★★
(08.09.11 16:36:24 MSK)