我有一台专用服务器,用于运行我定制开发的网站。我并不认为它是有史以来最昂贵或最重要的软件,但要让它运行起来,我付出了很多努力。
现在我需要聘请一位专业管理员来查看我的邮件服务器(从我的服务器发送的所有邮件都会被标记为垃圾邮件),这将需要访问我的专用服务器。我打算从 elance.com 等自由职业网站聘请这位专业人士,这意味着他完全是个陌生人。
我的问题是,将服务器访问权限授予您从互联网上雇用的陌生人是否不明智?您是否曾将服务器访问权限授予他人?是通过远程桌面吗?请分享您的想法和经验。
答案1
我不得不说是的,让一个完全陌生的人在网上获得信息是不明智的,尤其是作为一名自由职业者。更好的办法可能是联系当地的学校或企业,看看您所在地区有哪些顾问可以合作。
你必须记住,安全归根结底是相信您需要知道,此人对您的系统具有完全访问权限,并且可以轻松地将他自己的脚本、篡改的二进制文件等放在您的系统上在你不知情的情况下,特别是如果你不精通管理的话。没有什么可以阻止这个人认为你没有按时支付足够的钱给他,并且有一个脚本,如果用户 XYZ 在某个日期或 X 天内没有登录,则“rm -fr /”。
如果你找到本地人,至少可以追究他们的责任。你还应该确保在自己控制的单独磁盘上备份了你的工作。你不能只依赖备份,因为管理员负责系统状态……如果他们修改配置和/或向二进制文件添加一点“礼物”,你会将它们与其他所有内容一起备份,然后最终将木马数据与你的其他数据一起复制。
您需要找到一个可以对您负责的人,或者至少经营着一家信誉良好的企业。根据您对网站的收入或声誉或您自己的业务需求的依赖程度,您需要决定对管理员的信任程度的优先程度。
我们是否已将访问权限授予他人?是的,我们的学校已与 IU(一种支持公立学校的州政府机构)签约,但我们知道谁拥有这些访问权限,并且我们一对一地与他们打交道。他们会给我们带来麻烦吗?当然可以。如果我们自己的管理员被坑,被当做垃圾对待,并且发生了一些事情,他们不欢而散,那么他们也会受到伤害。同样,安全性取决于您对用户的信任程度以及您将访问权限与他们绝对需要的访问权限分开的程度。
远程桌面并不能真正帮助阻止许多安全问题。例如,我们可以控制用户的桌面...什么是最有价值的?信息?如果我们愿意,我们可以看到他们输入敏感电子邮件并被动获取信息,而无需知道他们的密码。我们还让远程技术人员远程操作我们的销售点自助餐厅软件的供应商等事情,因此他们没有我们的管理员密码,但他们确实拥有管理员访问权限,因为我是以管理员身份登录的。我也一直在观察他们在做什么,我们再次信任他们。只是不足以在没有监督的情况下工作 :-) 我通常也知道他们在做什么。我知道他们没有理由在我们的共享中乱摸或在我们的服务器上安装某些软件。如果您不知道系统管理需要做什么,那么观察他们在做什么对您没有多大帮助。这实际上只有当您知道在其他人工作时什么可以摆弄,什么不可以摆弄时才有帮助,如果您谈论的是 SSH 访问,那么当您正在观察其他事情发生时,他们很有可能获得后门访问权限。
我刚刚读到一篇比失败更糟糕的文章一名开发人员正在开发一个网站,但在薪酬或其他问题上存在分歧,开发人员威胁要删除该网站,即使所有者更改了密码和信息。开发人员说他仍然可以这样做,所以付钱吧……于是管理员快速进行了 grep,在 PHP 中找到了一条愚蠢的语句,如果提交给 Web 应用程序的 URL 中存在某个关键字,则会删除所有文件。被人坑骗就是这么简单。
备份、备份、存档和版本信息您的应用程序和数据,并找到一个您可以负责和信任的人。您的系统管理员应该是您要与之建立良好业务关系的人,而不是一个“让我们试试这个”的人。
答案2
我认为,简单的答案是,如果你不给某人访问权限,他们就无法帮助解决问题。但使用你不信任的公司是不明智的。无论是街上的那个人还是网上的某个人,你都必须信任某个人才能解决问题。
许多公司(如 elance.com)都会提供所有技术人员的评级和评论,如果没有,请找一家提供评级和评论的公司。您还可以找到对整个公司的评论。一般来说,注册这些网站的技术人员希望赚点外快,他们会诚实地尝试来帮助你。但是,在他们看到问题之前,没有人知道他们是否能够做到这一点。
但请确保您有备份...谨慎一点总是没有坏处的。
答案3
这是什么操作系统?你能为他创建一个受限帐户,仅允许他访问他需要的内容吗?
我从未向互联网上的陌生人提供访问权限,也绝不会这样做。我甚至不会向供应商提供访问权限,除非我与他们的技术人员进行面对面的会谈。
对于这种具有潜在危害的事情,您是否想使用 elance,而不是寻找可以坐在您办公桌前并让您监视他们输入的每个命令的本地 IT 顾问?
答案4
我没有授予任何我管理的服务器的访问权限。但我曾多次被授予访问权限。
我曾使用过直接 RDP、SSh,还有人使用过 logmein.com。从安全角度来看,我认为 logmein.com 服务是最好的。因为它在您点击 Windows 登录提示之前提供了一层安全保护。如果您无法执行此类操作。RDP 可以工作。然后您可以在事后关闭访问权限。
因为你不能保证他们登录后不会做任何恶意的事情。在移交帐户之前,你应该对用户帐户和正在运行的服务进行仔细盘点。完整备份也总是一个好主意。
当他完成后,您可以禁用该帐户。然后,您可以将新的服务器状态与您获取的清单进行比较。您还可以在 Windows 或 Linux 中进行文件搜索,并按修改日期搜索以查看他们触碰了哪些文件。
您可以采取的另一个步骤是授予他们非常基本的用户权限,无需管理员权限。然后在深入研究问题时升级他们所需的权限。这样做的问题是您需要付出代价,因为解决问题需要更长的时间。