Как найти админа

А чем тебе не нравится шифрование? По-моему, твою хотелку и в теории нельзя воплотить по-другому. Если он прямо админ-админ, имеет рут, то технически ограничить его доступ к данным можно любо убрав данные в другое место, либо зашифровав с ключом в другом месте, больше идей ни у кого нет.

Это в том случае что ты сильно компетентнее меня.

Расчёт на то, что все вокруг слепые идиоты — это сильный стратегический ход. Мне понравилось.

Ага. Ну в треде именно такой расчёт. Потому что ответа на вопрос, кто будет брить брадобрея так и не появилось.

Ну в треде именно такой расчёт.

Это идиотский расчёт. Не знаю с чем и сравнить. Это как пойти склад грабить в открытую с надеждой «а вдруг охранник заснёт или отвлечётся».

кто будет брить брадобрея

Другой брадобрей. При свидетелях и под запись камер видеонаблюдения.

4 звезды - за такое время даже обезьяна им станет, сам админь…

Для начала тебе нужно быть самому неплохим админом.

Нужно изучить что такое политика минимальных полномочий, потратить время и составить свою политику минимальных полномочий, определить для себя какие у тебя роли, политики и группы.

Далее, ты должен изучить sudo.

Затем ты должен сформировать свою библиотеку sudo команд для каждой роли, которую ты хочешь передать на сторону.

Определяешь пользователей, назначаешь им роли из sudo библиотеки, запускаешь «козликов» в свой огород. Смотришь и наблюдаешь.

Но это все было в старые добрые времена.

Сейчас в эпоху облаков применяются другие подходы. Используешь amazon iam, в этих инструментах определяешь политики, роли и группы.

Затем определяешь свою политику минимальных полномочии.

Как правило в современном, облачном мире сервер, на котором работает ssh-сервер - это антипаттерн.

Каждый инстанс ЕС2 должен делать только одну задачу, собираться уже из готового образа, который можно подготовить с помощью packer, который нужно залить в облако. Инстанцу совсем не нужен ssh-сервер, нужно научится «летать по приборам», искоренять привычку «да я щас быстро на сервер залезу и все исправлю», а баги фиксить через CI/CD.

Все метрики/логи уже должны отправляться в общий центр сбора логов и метрик, где уже настроены инструменты типа IDS/IPS.

И вот этом мире у тебя уже можно не переживать за то, что кто-то залезет не туда куда нужно, а ты узнаешь об этом в газете «Известия».

Также тебе как главному есть возможность создавать пользователей, назначать им группы и даже можно назначить максимальный платеж за эту группу.

Ну вот и я сижу и не понимаю, как ты можешь рассчитывать на свидетелей, когда и под камерой доказать ничего не получится. Единственное что ты реально можешь, это угрожать административными мерами постфактум, когда оно вскроется.

ЗЫ

Административные проблемы не решаются техническими средствами.

Ну как там Хаксли учил: берёшь админа и пусть админит БД 90% из которых не представляет никакой ценности. Есть неплохая вероятность что он потеряет всякий интерес суваться в содержимое прежде чем заметит что-то из оставшихся 10%. Наверно ещё нужно будет как-то админа развлекать ато он сопьётся от осознавания того, что он всякое ненужное дегеративное г-но админит.

Недостаток: 100% надёжности не достичь, но где в нашем мире гарантии?

Плюс: можно постараться и надёжность 90% поднять до 95%.

Такое вот решение от диванного эксперта, если кому интересно.

как ты можешь рассчитывать на свидетелей

Если не рассматривать сценарий, что все вокруг идиоты, а вы — профессор Мориарти, то очень даже могу.

угрожать административными мерами постфактум

И это тоже. Один git blame и всем ясно кто трояна поставил. Это вам не толпой админов под одним рутовым пользователем через ssh чего-то колхозить.

Административные проблемы не решаются техническими средствами.

Так аудит кода и явная фиксация авторства всех изменений — это и есть административные методы. То же самое, что паспорт на проходной показать или расписаться в ведомости.

Как найти стоматолога.

Хочу нанять стоматолога. Как ограничить доступ к премолярам и вообще к другим зубам, например резцам ? Как такое разруливают ?

Братиш, ты хочешь чтобы стоматолог видел одни зубы, но не видел при этом другие ?

Ты определись, тебе шашечки или ехать ? Потому что «admin» by default - потому и админ, что может управлять сервером.

Если ты хочешь рестартера апача - создай юзера с ограниченными правами, напиши ему в хомяке скрипт который через слой будет рестартить апача.

Если ты хочешь чистильщика логов - создай юзера с хомяком в папке /var/log и чмодь там все на 777.

Расчёт на то, что все вокруг слепые идиоты — это сильный стратегический ход. Мне понравилось.

Ты предлагаешь держать толкового админа и ещё одного аудитора, который как минимум, не глупее. Сильный ход. А как не дать им сговориться? Держать десять независимых аудиторов посильнее админа? Тоже сильно.

Другой брадобрей. При свидетелях и под запись камер видеонаблюдения

Ну какой уровень свидетелей должен быть, чтоб просечь что я ставлю дырявый софт или апдейт?

Ты выдаешь желаемое за действительное: так не бывает.

и всем ясно кто трояна поставил

Тогда надо очень внимательно проверять, что ваш админ одновременно в репу вашего дистра софт не собирает/не проталкивает пакеты и чтобы он ни в коем случае не был разрабом чего-либо, что у вас используется. Потому что ставить трояна не надо, достаточно поставить любое уязвимое ПО, чтобы все мандаты и прочие хорошие вещи накрыло медным тазом. А понять сделано это специально или потому-что не знали очень трудно.

Конечно можно делать полный аудит всего кода, но это разве что АНБ может себе позволить.

ЗЫ

Именно по этой причине нормальным админам в нормальном бизнесе платят неприлично много, потому что ссориться с ними может быть очень дорого.

Ещё один криминальный гений? Да тут просто рассадник.

дминистративные проблемы не решаются техническими средствами

В целом, я с тобой согласен, но можно выдумать массу контрпримеров. Например лежачие полицейские.

Т.е. чтобы обойти code review в конторе „Вася, Пупикин и Ко“ проф. Мориарти будет коммитить дырявый мускуль в Дебиане или РедХате? Браво, отличный план.

Зависит от того что делает ваша контора и сколько у неё денег, конкурентов. Если центрифуги по обогащению урана, то запросто, при том целый отдел очень серьёзных дядей будет всей схемой заниматься.

ЗЫ

Самое реальное для Васи и Ко что Петя и Ко за большие бабки захотят получить базу ваших клиентов.

Петя и Ко за большие бабки захотят получить базу ваших клиентов.

И они внедрят своих агентов в РедХат и Оракл, чтобы те встроили секретный зловред в MySQL. Ага-ага.

Мне странно, что подобные вещи нужно проговаривать вслух, но любые защитные меры подразумевают не абсолютную взломоустойчивость, а всего-лишь затруднение методов атаки. Цель сделать так, чтобы затраты на взлом превосходили потенциальную ценность результатов взлома.

В тот момент, когда мы переходим от „любой эникейщик может угнать базу данных и не спалиться“ к „нужно внедрить спецагента и договориться с АНБ, чтоб дали своих троянов погонять“ мы уже можем считать задачу защиты данных решённой.

При этом да. Если вам внедрят шпионов, те подкупят всех админов, да и ещё главбуха введут в искушение, то у вас проблемы. С головой. Паранойя называется. С этим к специалисту, я медицинские советы давать не буду.

все вокруг идиоты, а вы — профессор Мориарти

ты почему-то исходишь из мысли что подсадить бекдор(скажем, дырявый софт или апдейт) в, скажем, 1000 изменений и обнаружить (тем более – своевременно) – одинаковая по сложности задача. Нет: подсадить – гораздо проще. Тем более что всегда можно прикинуться шваброй и сказать что ты не специально накатил дырявый софт, а просто проапдейтил. Чтоб такой отследить нужно каждое мое изменение гуглить и проверять часами-сотнями. Любой человек с течением времени будет делать это все менее и менее усердно. Кроме того, это же люди: еще папа Александра Великого (запамятовал имя, позорище), прежде, чем он покинул этот говены мир, говаривал: «крепость не может считаться неприступной, если в нее можно провести ишака, груженного золотом»

ОП и вопрошает о технической возможности, отмахиваясь от административной. ИМХО, ему нужно смотреть либо в отделение данных от админа (физически и/или шифрованием), либо в сторону отказа от рута.

явная фиксация авторства всех изменений — это и есть административные методы

Ну вот проапдейтил я софтину. Через месяц в ней вскрылась дыра. Данные утекли. Вы смотрите – я апдейтил. Злой умысел? Но ведь я не мог знать что там дыра? А воспользоваться ей мог? И где твой административный метод? Не надо быть Мариартей, чтоб такое провернуть, и доказательтв, что это я у тебя нет. Да такое поголовно везде, я уверен. Неуловимый Джо – вот наш лучший сторож.

где твоя БД и фотки? Где храняться «пароли от рута»? Как вообще у тебя организован доступ по «всему» (мыло, рабочие тулзы и т.д). Есть АД?

Ограничение прав админа делается так же, как и ограничение прав любого юзера... если у тебя инфраструктура для этого настроена конечно же. Ты же дев как-то ограничиваешь (я надеюсь...)? Админ такой же дев юзер с большими правами.

Если у тебя всё для всех в открытом доступе, «пароли» от рута может увидеть любой технарь, и БД с фотками на одном локалхосте, то никак.

И они внедрят своих агентов в РедХат и Оракл, чтобы те встроили секретный зловред в MySQL. Ага-ага.

То что в красношляпе вредители работают у меня даже сомнений нет.

но любые защитные меры подразумевают не абсолютную взломоустойчивость

Почему же? Шифр Вернама вполне себе абсолютно стойкий с точки зрения ИБ. Проблема в том что он не очень удобен и решает не все проблемы.

При этом да. Если вам внедрят шпионов, те подкупят всех админов, да и ещё главбуха введут в искушение, то у вас проблемы. С головой. Паранойя называется.

Предлагаю убрать ИБ вообще и оставить только отдел для правильного оформления бумажек, чтоб виновных не нашли когда данные как-то в выдаче гугла оказываются, т.к. всё остальное, паранойя. Хотя стоп, именно так и есть в 95% случаев. Сливы сорцов винды это потому что там мандатный доступ не осилили.

Ещё один криминальный гений?

Не. Всего лишь утверждаю что подсунуть бекдор сильно проще, чем обнаружить это, даже когда хорошо смотрят

Цель сделать так, чтобы затраты на взлом превосходили потенциальную ценность результатов взлома

Это очевино, но это совсем не так, в случае, когда нужно защитить от «взлома» от админа с рутовым доступом. Т.е. затраты на взлом сейфа могут превосходить потенциальную добычу грабителей, но ведь есть чувак с ключом? В мире сейфов и бумажных денег – бороться с таким можно только административными мерами, а в мире цифры – возможны варианты.

Вот возьми 1000 последних коммитов мускуля? Они точно без бекдоров? Проверил? Теперь возьми последнбб 1000 коммитов sshd, cron, linux, nfs, bash и так далее, всего того, что в любой системе есть. Ты не можешь гарантировать бездырность: дыры регулярно обнаруживаются, атакующему админу всего лишь и надо, что не своевременно обновиться на известную уже уязвимость, воспользоваться готовым(опубликованным) эксплойтом и давай докажи злой умысел.

Подчеркиваю: Мариарти надо быть чтоб это отследить, атаковать таким пассивным образом любой из нас сможет, абсолютно бесследно.

в, скажем, 1000 изменений

-1 на код-ревью и воспитательная беседа на тему оптимального размера коммита.

Через месяц в ней вскрылась дыра. Данные утекли

Для такого сценария и джеймсбонда внедрять не нужно. Так что мимо.

нужно защитить от «взлома» от админа с рутовым доступом.

А у админа нет рутового доступа. У него вообще нет пользователя на целевой системе.

возьми 1000 последних коммитов мускуля? Они точно без бекдоров? Проверил? Теперь возьми последнбб 1000 коммитов sshd, cron, linux, nfs, bash и

Если вы можете с такой лёгкостью скомпрометировать цифровую инфраструктуру человечества, то вы наверное очень богатый и влиятельный человек. А раз так, то у вас есть задачи интереснее, чем тырить фоточки из сервера конторы „Вася, Пупкин и Ко“.

-1 на код-ревью и воспитательная беседа на тему оптимального размера коммита.

за 10 лет?

Для такого сценария и джеймсбонда внедрять не нужно. Так что мимо.

А откуда условие про необходимость внедрения Джеймса Бонда?

Я тебе показал как любой из нас может без проблем обойти твои гит, код ревью и все такое, забрать данные и остаться незамеченным, а ты это отметаешь потому что для такого сценария не надо внедрять Джеймса Бонда? Я правильно понял?

А у админа нет рутового доступа. У него вообще нет пользователя на целевой системе.

А у кого есть? У проверяющих? А они могут фоточки посмотреть?

Слушай, не ерничай. Я тебе гарантирую, что дыры в общеупотребимом софте появляются регулярно. А ты, с любым ревью, не сможешь гарантировать отсутствие дыр как ты за админом не смотри. Это я к тому, что любое ревью не так уж сложно обойти, а ты утверждаешь, что для этого все должны быть идиотами, а я - Мариарти. Вовсе нет.

Найми не только админа, но еще двух помощников солнца в сфере компьютерной безопасности. Пусть следят за админом

фоткам

данные можно зашифровать ключом который выпустит сам пользователь, но это может приводить к факапам другого характера

А откуда условие про необходимость внедрения Джеймса Бонда?

По условиям задачи «как нанять админа» мы рассматриваем способы защиты от внутреннего врага.

А у кого есть?

А ни у кого нет.

любой из нас может без проблем обойти твои гит ты, с любым ревью, не сможешь гарантировать отсутствие дыр

Ну так вперёд. Обходите гит, внедряйте трояны в ядро, поставьте это человечество на колени. Как добудете первый миллиард долларов отпишитесь в этой теме. Точно, создайте тему «рабочее место троянописца». А на ней вы, на собственной яхте как у Алишера Усманова в окружении гарема обнажённых красоток. Вот это будет дело. Вот это будет убедительно. В отличие от болтовни как вы всех одной левой победите, обманете и поломаете.

Много чего написали, но ничего практичного. Меня не интересуют законы. Я хочу чтобы вася пупкин админил сервер и не лез в бд и фотки

давайте спросим у alpha. она даже может посоветовать мужикам, как поднимать тяжести.) уж тебе-то она точно даст совет. а потом и я тоже что-нибудь напишу)

Как ограничить доступ к БД и вообще к другим разделам, фоткам, например, пользователей?

ты конкретнее сформулируй, что ты хочешь, чтобы админ делал. и что ты не хочешь, чтобы он делал (чем это тебе лично грозит). что за сайт, бд и откуда вообще родилась у тебя такая идея иметь с этим всем дело.

Нанять админа в конторе которая предоставляет услуги по администрированию серверов:

согласен с перечисленными пунктами. вариант для полного дурака в айти. но нужно понимать, что минусы у него тоже есть. платить будет больше (админу и конторе), а получать меньше (админу глубоко наплевать, что там этого конкретного клиента. дело сделал и свободен. а потом хоть трава не расти.).