远程 Linux 管理顾问 - 最佳实践

远程 Linux 管理顾问 - 最佳实践

我们正在聘请一位印度顾问担任我们的 Linux 管理员。我们不太了解他,但他需要我们所有服务器的 Root 权限才能完成他的工作(包括安全审计)。

让远程顾问开展此类工作以保护我们免受任何恶意活动的侵害的最佳做法是什么?

提前致谢。

答案1

。此外,你还面临着无能作为恶意从我所看到的公司处理这一问题的典型方式来看。

我想说的是,可能伟大的印度有很多系统管理员,但许多公司做的事情太可怕了。

如果你去汽车修理厂,你很可能会看到他们从中抽取了相当多的佣金,而且他们中的许多人不太可能对员工进行适当的审查。我和三家汽车修理厂谈过,其中一家是我工作过的,没有任何他们中没有人接受过技术面试。

所以,如果你必须远程雇佣某人,看在上帝的份上,最好面试一下他你自己并确保他了解自己的工作。系统管理太重要了,不能盲目地交给别人

现在我已经处理好了“无能”的部分,

管理是一个相当宽泛的术语。具有 root 权限的人可以执行任何事物。 现在,亲自我认为为管理员创建一个帐户,并让他能够通过 sudo 提升自己的权限是一个更好的主意(如果您有许多服务器,您的配置管理系统应该可以处理)。话虽如此,即使依赖于一定程度的信任。有很多故事表明心怀不满的系统管理员会造成巨大损害。更改所有密码?当然您最终可以进入,但这并不简单,并且可能花费比您所节省的更多的钱。

因此,考虑找一个当地人。如果没有,考虑找一个你认识的人审查自己并且有直接聘用

答案2

正如已经提到的,不要这样做。

你能保护自己的唯一方法就是做这样的事情:

  1. 坚持要求顾问使用您选择的配置管理系统。
  2. 顾问将为您需要完成的操作编写配置管理清单。
  3. 顾问将在测试系统上测试清单。
  4. 准备就绪后,顾问会将配置提交到代码存储库。
  5. 所有更改均由您的员工审核或者另一位顾问与第一位顾问毫无关系,而且无法联系他们。
  6. 一旦更改被批准,您或您的员工就会将其应用于服务器。原始顾问不应该可以访问您的任何系统。

应该清楚的是,这是一个非常笨拙和低效的过程,但如果你坚持接受不受信任的个人的工作,这是一种处理事情的方法。

不过,正如我建议的那样,你最好雇佣一个知名的、值得信赖的人。

答案3

让远程顾问开展此类工作以保护我们免受任何恶意活动的侵害的最佳做法是什么?

从法律角度:事前尽职调查、严格违约处罚。

您从通常的良好招聘实践开始,这些实践也适用于招聘现场员工(和/或服务提供商),其中包括核实提供的简历、索要教育成绩单和证书号码、检查并致电他们的推荐人、面试,甚至进行背景调查或安全检查等。

然后申请胡萝卜:支付公平的薪酬、提供有吸引力的工作、优秀的同事、良好的工作条件和福利等。(如果你付出花生,你就会得到猴子。

棒子:违反您的雇佣/服务合同条款,我们就会派律师去找您,让您破产!

不幸的是,当跨越国界和时区时,上述两件事都会变得越来越困难。

一旦你决定雇用某人:

  • 有了明确的指示和政策,人们就应该清楚自己应该做什么和不能做什么。
  • 最小访问原则适用,使人们难以(有意或无意地)做他们不应该做的事情。对于典型的系统管理员来说,这通常仍然意味着完全访问权限,但例如安全审计员不需要完全管理员访问权限,而只需请求现有管理员代表他运行脚本,以收集他制作报告所需的详细信息。这样的脚本可以很容易地预先检查。
  • 信任,但要核实。只需让现有员工检查新员工的工作,并像往常一样收集审计信息。
  • 等等等等

这个问题详细说明我通常要求我的客户做些什么来为我建立远程访问,这也可能成为您的起点。

答案4

给他自己的用户帐户。然后找出他需要访问的确切内容,并只授予该访问权限,而不授予其他任何权限。例如,如果他需要重新配置 Apache Web 服务器,请使用 ACL 授予他对 Apache 配置文件的写访问权限,并配置sudo允许他重新启动 Apache 服务,但不能以 root 身份执行任何其他命令。与往常一样,保留您授予他访问权限的任何内容的备份(在本例中为 Apache 配置文件)。

相关内容