Meilleure pratique pour fournir à l'administrateur d'administrateur de servers un access racine (sur CentOS)?

Je suis en train d'embaucher un administrateur de server indépendant (qui est plus expérimenté que moi – c'est pourquoi je les engage) à faire du travail sur mon VPS fonctionnant avec CentOS. Ils auront besoin d'un access au niveau du système au server, car ils doivent installer des démon de server et autres.

Quelle est la meilleure pratique dans ce scénario: comment puis-je identifier si l'entrepreneur va et installer des kits racine ou quelque chose d'autre est-il méchant? Ce que j'ai fait, c'est créer un nouveau count pour l'user, append le nouveau count au groupe "roue", puis utiliser le visudo pour permettre à la roue de groupe d'exécuter toutes les commands.

Y a-t-il d'autres mesures que je devrais prendre? J'accepte que, en remettant des privilèges sudo, l'entrepreneur pourrait pratiquement faire tout ce qu'ils veulent et la fin de la journée, je dois leur faire confiance; Je suppose qu'au minimum je veux m'assurer que j'ai un registre de ce qu'ils font, au cas où.

Merci

8 Solutions collect form web for “Meilleure pratique pour fournir à l'administrateur d'administrateur de servers un access racine (sur CentOS)?”

Une option est d'utiliser les outils de configuration du système comme une marionnette, de sorte qu'ils peuvent expliquer explicitement ce qu'il faut faire sur le server. Bien sûr, cela oblige quelqu'un à examiner son travail avant d'être appliqué.

L'autre option consiste à configurer un service réseau syslog . En transférant les messages enregistrés vers un autre server qu'ils ne contrôlent pas, vous pouvez au less garantir l'intégrité des journaux. Assurez-vous que le système enregistre les connections / logouts et idéalement, restreignez l'access à sudo afin que toutes les commands racines puissent être fournies à un user spécifique. Encore une fois, ce server doit être accessible par root uniquement pour le plus petit nombre possible de personnes.

Solution technique : image le server afin que vous puissiez comparer après le fait quels changements ont été apportés. Gardez cette copy loin d'eux.

Solution politique : requestz-leur de signer une déclaration de travail et d'embaucher des entrepreneurs dans lesquels vous pouvez faire confiance.

Comme vous pouvez l'empêcher de faire ce qu'il veut, vous devez surveiller le système. La meilleure façon de le faire est d'exporter les journaux vers un location externe et d'utiliser un HIDS (système de détection d'intrusions d'hôte).

Vous pouvez utiliser set le sceau et l' OSSEC et surveiller l'utilisation de sudo par l'administrateur.

OSSEC notifiera également les modifications apscopes au système de files et l'installation des packageages.

Ce que vous requestz est difficile dans des conditions normales. Vous avez déjà indiqué qu'ils en savaient plus que vous, il est donc impossible de les surveiller lorsqu'ils ont des privilèges équivalents. (Ont-ils vraiment besoin de privées complètes? Peut-être pas.)

Si ces personnes ne sont pas des personnes dont vous avez confiance, vous ne devriez vraiment pas travailler avec elles. Comme Matt.j.alexander l'a souligné à juste titre, ce n'est pas un problème technique.

Les sysadmins de qualité sont hyper préoccupés par leur réputation pour cette raison même. Je garde mon nez propre , car il y a tant de confiance implicite requirejse pour que je fasse mon travail. Si je perds cette confiance personnelle, c'est une grave question de carrière.

Je vais généralement donner à l'user un count qui a l'écran en tant que shell et avec un .screenrc qui enregistre tout ce qu'ils font. De cette façon, je peux surveiller l'user en time réel en utilisant tail -f sur le journal en plus de garder un journal de toutes leurs actions.

requestz au fournisseur de VPS un instantané avant de continuer

Il existe des moniteurs open source qui utilisent une technique client-server pour surveiller l'état des clients. L'un d'entre eux est Xymon (anciennement connu sous le nom de Hobbit), une fourchette du logiciel de surveillance Big Brother bien connu, mais ensuite implémenté dans C. Une fonctionnalité intéressante est la possibilité de vérifier un hachage MD5 d'un file ou d'un directory. Offcourse, il peut surveiller plus que cela, mais vous pouvez, par exemple, créer quelques hachages MD5 de / etc / passwd, / etc / shadow, /etc/syslog.conf ou quoi que ce soit que vous ne voulez pas qu'ils changent silencieusement. Sur le server, vous pouvez définir ces hachages périodiquement (par défaut 5 minutes). Ils ne devraient pas avoir access à ce server de surveillance hors cours. Vous pouvez également créer une vérification pour un client en cours d'exécution sur le server sur lequel ils fonctionnent. Vous ne savez peut-être pas ce qu'ils ont fait, mais vous pouvez au less être averti si ils ont changé quelque chose que vous ne leur avez pas demandé de changer.

Une chose qui n'est pas mentionnée jusqu'ici: Créez une copy de mise en scène de votre server afin qu'ils n'aient pas access au site en direct. Demandez-leur de travailler sur la copy de mise en scène. Ensuite, soit périodiquement, soit une fois qu'ils sont terminés, comparez les deux sites et synchronisez les modifications. De cette façon, vous avez la possibilité d'examiner ou de renvoyer tout ce qu'ils font.

  • Comment puis-je sécuriser mon noeud hôte OpenVZ?
  • Comment résoudre la trace d'appel produite par security_ops_task_setrlimit () avec bind
  • SSL - Est-ce que je devrais tout mon site sécurisé?
  • Protéger le stockage en réseau
  • Hacked? Comment l'ajout d'un nom de file autorise l'access aux données sur le site ... voir exemple
  • Vulnérabilité de la security des injections SQL dans Plesk Control Pannel
  • Sauvegardes cryptées incrémentales hors site pour un petit cabinet d'avocats
  • Email + server de données pour une petite entreprise nécessaire?
  • Comment rendre AWS CLI plus sûre dans mes servers?
  • Ressortingction de l'access des users dans Debian Squeeze
  • Ubuntu 12.04 Server snort 2.9.2.3 ne pas save NMAP Scans après la première mise à jour des règles VTR
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.