所以我雇佣了一名自由职业者在我的服务器上做一些需要管理员访问权限的工作。
在雇用他之前,我对该服务器上的 Debian 安装进行了备份。
我对这个人有基本的信任,但是为了确保万无一失,有没有办法检查完整的 Debian 安装中是否存在文件差异?
最好输出离线备份中不存在的目录列表,或者大小不同或最近被编辑过的文件列表。
这样我就可以检查他可能在未经我批准的情况下安装的任何添加的配置文件/软件?
谢谢。
答案1
使用备份软件进行另一次备份并列出已更改的文件。这是一个很长的列表,并且没有通用的方法来评估它。也许可以抽查一下安全关键身份验证配置是否未受到影响,以及安装的软件集是否合理。
如果不在工作范围内,您的帮助不应具有写入备份存储的权限。否则恶意人员可能会修改历史记录。
考虑实施集中式日志记录,并限制访问,使其无法被修改。系统日志,可能是额外的审计或应用程序日志记录。而且量很大,因此无法全部读取。然而,保护这些日志可以重建所发生的事情(如果需要)。
负责任的人会将这些预防措施理解为职责分离等原则的一部分。审计跟踪和恢复系统不得被篡改。
以自动化为中心的方法可能会减少您对一台主机配置方式的依赖。可交付成果可能包括执行请求任务的脚本。查看脚本并测试它们。烧毁测试环境并重建它,就好像您真的受到了攻击并需要在全新安装上恢复一样。