我们聘请了一位新的系统管理员,这是第一次将这项敏感任务委托给第三人。他是个好人,但我们仍然担心安全性。
您有什么建议?将 Linux 服务器的 root 访问权限授予新人是否明智?或者我们应该在 Linux 上创建一个单独的用户帐户?您有什么建议?他将登录我们的服务器并首先监视 /var/log/* 文件。
答案1
这并不是说所有人都是完全值得信赖的,但系统管理员必须拥有几乎无限的访问权限才能完成他们的工作。如果您担心安全问题(这不应该归咎于您,说真的……大多数人都不注意安全),您可能需要与系统管理员合作安装审计保护措施。
将所有程序记录下来,这应该是他工作的一部分。如果他明天被一个不满用户的车撞了,你应该能够让新的系统管理员很快熟悉政策和程序指南。
此外,您的系统管理员不应该介意采取安全措施来保护自己的行为免受恶意攻击。Sudo 会记录一切。系统密码应保持安全,并在需要时可访问,但仅限于真正需要的人需要它(如果有人想访问它们,就应该知道。)
系统管理员需要足够的自由来完成他的工作,并且感觉他或她不会总是被猜测或不被信任(否则你为什么要雇用他?)让系统管理员做工作,但要知道如果需要的话他或她可以受到审计。
如果他们过于保密,那就是一个危险信号。但如果管理层不放手,那也是一个问题。如果管理层的人不是 IT 人员,却不断插手 IT 事务,情况会更糟(我不是说你不是,因为我不知道你是做什么的……但当工程师和/或程序员自以为知道执行系统管理员任务是什么样的,但实际上他们并不知道,并坚持按照自己的方式做事时,这可能会成为一个问题……)
答案2
您给他自己的帐户并授予他 sudo 访问权限,这样他所做的一切都会被记录下来。您甚至可以在一定程度上限制他可以使用 sudo 做什么和不能做什么。设置 logwatch 每天向您发送电子邮件,所有 sudo 命令都会列出。这会为您提供某种监控。如果您停止收到电子邮件或没有列出 sudo 命令,您就会知道出了问题。
当然,设置所有这些东西至少需要另一个你信任的 Linux 精通人员,所以如果你没有,你就必须信任这个人。
答案3
如果你雇用了他,你就必须信任他,所以当然你要让他访问一切内容。
如果没有这个条件,我可能会在一周内辞职,因为我无法完成工作
答案4
询问新人他认为你应该做什么。
也许这应该是系统管理员的标准面试问题!