Kollégád felmondott, távozott. A részedre átadott szerverek OS-ét

Kérdés

változatlan formában átveszed és üzemelteted tovább.
8% (38 szavazat)
változatlan formában átveszed, megváltoztatod a jelszavakat és üzemelteted tovább.
64% (312 szavazat)
letolod és újrahúzod, mert hátha berootkitezte stb.
18% (90 szavazat)
egyéb (leírom)
10% (48 szavazat)
Összes szavazat: 488

( mhmxs v | 2011. 12. 01., cs – 19:00 )

Megváltoztatom a jelszavakat, és megy minden tovább. Persze ez nagyban függ az elválás módjától. De jobb helyeken pl elbocsátás után már nincs is a gépe az asztalon a delikvensnek :)

_____________________
OWASP AntiSamy Javaban

( buccaneers v | 2011. 12. 01., cs – 20:32 )

ha a szerver egyben tűzfal is, akkor az kicsit tovább árnyalja a képet...

kieg:

mármint arra gondoltam, hogy újratelepíteni felesleges egy szervert, mert a tűzfalnak a dolga védelem és
az üzemeltetés szintű hozzáférés biztosítása. A szerverre közvetlenül sose megyünk be... és úgy is van beállítva :-)

( subchee | 2011. 12. 01., cs – 19:22 )

> letolod és újrahúzod
ROR
Most szerverekről van szó vagy szaros gatyákról?

Ja, én is azt hittem, hogy trey bedobta a törülközőt és azért nyomat ilyen hülye
szavazást.. bár ahogy nézem, ezen a héten osztódással szaporodtak a hülyébbnél hülyébb szavazások.

Ennek kb. ez a lényege, amiről itt sokan nyilatkoznak:
Van vagy nincs olyan policy-d arra vonatkozólag, miként kell egy szervert rendszerben üzemeltetni?

Trey, biztos a nagyban körmöli már ezt a policy-t, hogy építő jelleggel is hozzájáruljon a (bugyuta) szavazáshoz.. remélhetőleg,
és nem csak röhög a válaszokon.

Egyébként tényleg akadnak gyöngyszemek.. lévén 2 kakukktojás is van a bugyuta szavazásban.. de egy tutira, a harmadik kérdés..:)

Szavaztam én is.. egyéb: leöntöm benzinnel és felgyújtom.

Az élet cáfolta/cáfolja ezt a kommentet. Volt olyan cég, ahol az előző, az IT-t outsourcing-ben végző céget kidobták, mert kémkedéssel vádolták. A rendszert át kellett adnia a soron következő szolgáltatónak. A tulajdonos rettegett, hogy melyik ponton, (az ipari kameralánctól a vezérlőgépekig bezárólag) hol nyúlták meg a rendszerét.

A rendszernek voltak olyan elemei, amit egyszerűen nem lehetett újratelepíteni, egy darab beégetett jelszóval rendelkezett, aki meg meg tudta volna változtatni, az sok tízezer euróért meg is csinálta volna. Nem minden vegytiszta a világban.

--
trey @ gépház

1) A szavazás nevében a "kolléga" szó szerepel, ami csak akkor áll, ha mind a "ketten" egy cégnél dolgoznak..
az általad hozott példa már ezen elbukik.
2) Azt, hogy egy cégnél kell X policy, ha már többen dolgoznak, ha több szerver van, akármi.. azt szintén elég nehezen lehet cáfolni.

Üdv!

A kolléga az miért nem alkalmazható ugyanolyan vagy nagyon hasonló területen de más helyen (cégnél) dolgozó(?) egyénre... ?

@trey: A munkaügyes hölgyek nálatok sem tudják kezelni az e-mail -t!? B-) B-)

Amúgy meg: Odameny, minden rendszer kihúz, azonnal új hardver igényel, oszt szépen offline az adatok átmigrálása a ... aaaaa.... bsd -n wine -ban futó PDC -kre...

(Mert olvastamám hogy úgy gyorsabb mint az eredeti win... B-) )

Ha valami nem reprodukálható akkor viszonthallásra...

Így még a hardware -es rootkit-ek és backdoor -ok is ki vannak szűrve...

--
RudyD

"1) A szavazás nevében a "kolléga" szó szerepel, ami csak akkor áll, ha mind a "ketten" egy cégnél dolgoznak.."

Baromság.

"2) Azt, hogy egy cégnél kell X policy, ha már többen dolgoznak, ha több szerver van, akármi.. azt szintén elég nehezen lehet cáfolni."

Faterkám, akarja a rák cáfolni. Jómagam is írtam saját kezemmel "Informatikai kézikönyv" dokumentumot. Majdnem 100 oldalas, minden éven frissítem (az aktuális auditra :)). Az ISO auditor álla leesett, azt mondta, nem nagyon látott még ilyen részleteset. Természetesen szabályozva van benne ez a kérdés _is_.

--
trey @ gépház

( joco01 v | 2011. 12. 01., cs – 19:36 )

változatlan formában átveszed, megváltoztatod a jelszavakat és üzemelteted tovább, de elkezded tervezni az átállást új OS-re

--
joco voltam szevasz

Az eg ovjon meg az ilyen migracioktol. Egy meglevo ES mukodo rendszert miert jo szejjelatomozni? Kulonosen uj oprendszerre. Foleg, ha mondjuk nem 1-2 hanem 10-20-100+ szerverrol van szo? Minek? Elvileg a meglevo rendszer *uzemeltetesere* vesznek fel embereket altalaban es nem rendszermernokosdit jatszani.

Vagy fejlesztok eseten is, ha van egy programozo elmegy, ujrairattatnad az egeszet?

Termeszetesen vannak javithatatlanul elbaszott rendszerek. De a "csak mert en ezzel az OS-el akarom megoldani, ezert atbarmoljuk az egeszet" hozzaallasu rendszergazdakat - ha lenne sajat cegem - paros labbal reptetnem az elozo utan. Komolan, ovoda.

----------------
Lvl86 Troll

Néhány éve hasonló helyzetben voltam, azzal a különbséggel hogy nem kirúgták, hanem egyéb (semmi összeveszés vagy ilyesmi) okok miatt távozott az admin srác. Kb ez a kép fogadott:
- Létezett egy kinevezett backup szerver, amin LVM-es (már akkor értettem hogy ehhez miért lvm kellett) RAID0-ban volt, amiben épp akkor valamikor halt az egyik diszk. Örültem.
- Volt egy Debian valamilyen alapon levő Xen dom0 és egy Gentoo alapon levő Xen dom0
- Még megvoltak bizonyos ősi szerverek, amikről csak a "teremtő" tudta, hogy micsinálnak

A fenti állapotok mindenféle migrációs elképzelések közepén álló helyzetett mutattak.

Az első fél évben nemnagyon unatkoztam. :) Utána sem unatkoztam, de a közvetlen pánikhangulat elmúlt.

"De a "csak mert en ezzel az OS-el akarom megoldani, ezert atbarmoljuk az egeszet" hozzaallasu rendszergazdakat - ha lenne sajat cegem - paros labbal reptetnem az elozo utan. Komolan, ovoda."

A helyzet az, hogy sehol sem szeretnek nyócféle rendszert karban tartani és azon belül is nyócféle verziót. A kisebbik baj, hogy nem szeretik, de egyben nehézkessé is teszi az életet. Arra is érdemes gondolni, hogy a Debianhoz/Ubuntuhoz szokott admin nem fogja magát 1 perc alatt kiismerni Red Hat/Fedora vagy Gentoo alatt. Már sok topikban elhangzott, hogy abból építsen az illető rendszert, amit biztonsággal és biztonságosan tud üzemeltetni.

Az igazán nehéz megtalálni azt az egyensúlyt (csak windows, csak linux, windows + linux, windows + bsd és még sorolhatnánk), ami az adott szervezet igényeit lefedi és kellően rugalmas lehet a következő 1-2 évre. A helyzet mára sokat javult a virtualizációval, de még így nehéz követni a fejlődést és az igényeket.

Ó nem kell mondani, én is egy elég káoszos rendszert vettem át nem olyan rég, igaz, alapvetően szoftveres szemszögből. Mégse azzal kezdtem, hogy akkor kidobálom az egészet, mert értelmetlen. Persze, idővel változni fognak a dolgok, mert változnak az igények, de csak azért nem állok neki áttákolni az egészet, mert másik kolléga csinálta.

Vagy pl. közvetett felügyeletem alá került most így 4 WinServer és 4 debianos szerver, mégse jutott eszembe, hogy cseréljük le FreeBSD-re vagy Slackwarere, pedig a Debiant kifejezetten rühellem.

"A helyzet az, hogy sehol sem szeretnek nyócféle rendszert karban tartani és azon belül is nyócféle verziót."

Nem is kell, pont ezért nem kell elkezdeni buzgálkodnia az új adminnak, mert elment a régi. Mert ha egy félbehagyott migráció során elmegy az új is, akkor megint ott lesz néhány vegyes rendszer.

"Arra is érdemes gondolni, hogy a Debianhoz/Ubuntuhoz szokott admin nem fogja magát 1 perc alatt kiismerni Red Hat/Fedora vagy Gentoo alatt. "

Akkor menjen havat lapátolni, vagy essen neki tanulni. Ha RH adminnak vették fel, akkor azt adminisztráljon, főleg, ha mondjuk fut rajta valami olyan cucc, ami miatt kifejezetten választva lett a RH.

Egyébként külön jó, hogy ennyi disztrib van, legalább garantáltan lehet napokat vitázni, hogy miért ez vagy az legyen, aztán végén lehetetlen dűlőre jutni, mivel mindegyikben el lesz cseszve vmi, ami a másikban nem. Épp csak picurkát lesz bikeshed pozitív szitu, mikor ugye arról lenne szó, hogy teszem azt, adott mondjuk egy ügyviteli rendszer, aminek futnia _KELL_ és az admin elkezd oprendszereket legózni alatta. Na ne...

----------------
Lvl86 Troll

Itthon igen kevés hely van, ahol RH adminnak veszik az embert. :) Nekem spec az RH/Fedora/Gentoo nem áll kézre, mert szökőévente találkozom velük, pedig nem kerülöm egyiket sem és anno még néha Mandrake-el is próbálkoztam. :) A FreeBSD, Debian, Ubuntu viszont napi szinten van és a Hyper-V miatt a Windows Server virtualizációs oldala is képbe kerül lassan.

Természetesen ha szükséges elboldogulok egy RH-en, de pl. a múltkor szívesség szinten kellett Apache-ot patkolnom és kissé izgultam, hogy mit borítok még be 2-3 csomag upgrade-el és hogy tényleg jók lesznek-e a talált csomagok.

Én sem kidobálással kezdtem, de a haldokló szervert és a halott RAID0-t már úgy tettem helyre, hogy otthonosan tudjam adminolni.

( ablaz | 2011. 12. 01., cs – 19:55 )

Jobb esetben a cég házirendje kötelez a jelszó módosításra.

Az a rendszergazda, aki rootkitet rak az általa felügyelt rendszerekre, az nem való rendszergazdának.

Ha mégis, az első gyanús nyomra feljelenteni ipari kémkedésért és tenni róla, hogy az életben ne kapjon szakmán belül állást sehol, ahol bizalmas adatokkal foglalkozik.

----------------
Lvl86 Troll

Volt a történelemben olyan is (Google-ben ott a sztori), hogy a kirúgott rendszergazda nem rootkit-et, hanem "időzített bombát" (rosszindulatú kódot) helyezett el a rendszeren, ami a távozása után csak hónapokkal, évekkel aktiválódott. Ilyen esetben védekezhet azzal, hogy "de hát én akkor már 1 éve nem dolgoztam ott".

Ebben az esetben az ártatlan adminisztrátor kellemetlen napokat élhet át.

--
trey @ gépház

( Replaced | 2011. 12. 01., cs – 20:15 )

ubuntut rakok ra

--
NetBSD - Simplicity is prerequisite for reliability

( snq- | 2011. 12. 01., cs – 20:16 )

telibeszarom. vigye tovább, akit felvesznek a helyére

( Husky | 2011. 12. 01., cs – 20:20 )

Átpöccintem a riasztásokat a nevemre, és változatlanul vigyázok a vasakra tovább.

A kollégát meg törlöm az LDAP-ból, Puppet/CFEngine-ből, egyéb rendszerekből, majd lezúzatom a scriptekkel a home könyvtárainak és a tanúsítványainak a nyomát is.

A ServiceAccountok/SQL/root/egyéb plaintext jelszavak használatához vissza kéne jönnie fizikailag, így ezeket csere helyett inkább agyonnaplózzuk: az adatközpontba nem jut be mert kettélövik az őrök, ha meg hozzánk jönne akkor meg nem jut a szerverek közelébe mert elvisszük sörözni.

Ezzel arra célzol, hogy a félelem visszatartó ereje miatt eddig még soha nem törtek be az FBI-hoz, a NASA-hoz, kormányhivatalokhoz, vagy titkosszolgálatokhoz vagy a világ egyik hadseregének rendszereibe sem?

Volt olyan sysadmin, aki San Francisco-ban a komplett városi hálózatból zárt ki mindenkit. Igaz, kapott érte 5 évet.

--
trey @ gépház

Arra, hogy a rendszergazda általában elgondolkodik:
a) nem telepít rosszindulatú kódot
b) lebukás után lemond minden további szakmai pályafutásról
c) nem fog lebukni

Ezt a döntést lehet a munkaadói oldalról különféle irányokba súlyozni a védett adatok értékével, az adatokat védő gépi és emberi háttérrel, szerződésekkel, nyilatkozatokkal, szabályzatokkal, stbstb. A jogot nem érdekli hogy a behatolónak milyen színű a szeme, vagy hogy a Pimpő pékségben dolgozott-e előtte. Volt joga hozzányúlni? - Igen. / Nem? - Beadvány.

Olyan helyeken ahol a mailszerver osztozik egy desktop PC-n a fileszerverrel, a webszerver meg a NAS-on fut (ha már úgyis van rajta apacs), ott értelemszerűen esélyesebb egy c) válasz. Nagyobb helyeken meg tendál a b) felé. Ahol eddig életemben dolgoztam, általában az a) volt a jellemző - nem vettek fel szakmailag alkalmatlanokat. Az informatikust is ugyanúgy meg lehet válogatni mint a sebészeket: azért jött mert itt legálisan tud embereket felvágni, vagy azért mert hivatásának érzi hogy jobban működő emberek hagyják el a bicskáját?

"Az informatikust is ugyanúgy meg lehet válogatni mint a sebészeket: "

Ja, mint a pénzszállítót, akit kollégái megbízható, becsületes, jó munkaerőnek ismerték, aki több éve volt már alkalmazásban, de egyik este mégis megpattintott 1 milliárd értékű bankót és letiplizett.

--
trey @ gépház

Az eredeti kérdésed arról szólt, hogy a kollégája munkaviszonyának megszűnése után ki mit szokott tenni a pénzszállító járgánnyal. Pin kódot cserél az ajtón, vagy az alváz kivételével bezúzatja a komplett járművet és csak a benzint tölti át az új autóba. :)

A szervereken tartott adatokról minimálisan komoly helyeken már van biztonsági mentés. A pénzről körülményes csinálni. Ha az eredeti kompromittálódott, akkor még azokkal a fránya sorozatszámokkal is kezdeni kell valamit -> macera -> megéri/nem éri meg döntés a munkavállaló oldalán.

(Az már részletkérdés hogy egy embernek egyedül van joga lenyúlni nyolcmillió bankkártyaszámot pinkódostul, vagy össze kell szednie hozzá egy párfős csapatot. Terveztem eztazt bankkártyagyártó cégeknek, ott olyanok is benne voltak az informatikai szabályzatban hogy pl a hálózat nem lehet VLAN-taggelt. Innentől 1-2 emberrel nehezebb a gyártócsarnoki technikusnak odakonfigolnia magát valamelyik bankközi tűzfal elé.)

( blackberry | 2011. 12. 01., cs – 20:21 )

Jelszóváltoztatás? Wut? A kolléga sima és admin accountja is le van tiltva az AD-ben és kész... Local user meg nincs sehol.

--
Sent from my ezeréves Nokia.

( GerzSonka | 2011. 12. 01., cs – 20:29 )

A részemre átadott szervereken csak az IT-nak van root joga Malájziában, és egyéként is csak intraneten érhetőek el, szóval max belépek saját userrel, és marad minden a régiben. :O)
De ha olyan lenne a cég, akkor jelszó változtatás. Új OS szerintem felesleges!
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

( Dacr (nem ellenőrzött) | 2011. 12. 01., cs – 21:16 )

folyamatos kiszolgálásban lévő szervert gyalulni, háááát, ha valakinek ennyi ideje van. Persze át kell nézni őket rendesen, ennyi a titka.

( meepmeep v | 2011. 12. 01., cs – 23:47 )

2. valasz + VPN hozzaferese torlesre kerul igy a belso halohoz es azon keresztul a management feluletekhez is megszunik a hozzaferese. Persze backdoorral patkolt webserverek ellen ez sem ved...
---
Electric Heater Reviews

( hokuszpk | 2011. 12. 02., p – 00:48 )

erdekes kerdes. egyik cegnel -- ahol melozom -- sincs kollegam :D)

( traktor | 2012. 01. 02., h – 03:03 )

egyeb: attol fugg...
ki a kollega, mi/milyen jellegu a rendszer.

A legszanalmasabb rendszergazdai hozzaallasok egyike pl a "nem erdekel mi volt, ratolom a kedvenc OS-em", ami eppen nem szakertelemrol, hanem beszukultsegrol arulkodik.l Persze ha bizalmatlansagbol toretnik reinstall, az mas kerdes. Megint mas az uzemeltetes meg a fejlesztes. Gyanitom, hogy a kerdes uzemeltetesre vonatkozik, de fejlesztesben egyeszeruen nem teheted megm hogy volt kollegad minden kodjat kidobod (es igen: ilyesmi rendszerkozeli dolgokkal is elofordulhat, nem csak "igazi" programkoddal).

( Finder | 2011. 12. 02., p – 03:08 )

Egyeb: 1. Felmerem a helyzetet (kollega tavozasanak korulmenyeit, korabbi hozzaallasat, munkaja minoseget, rendszer allapotat)
2. A kockazatok alapjan eldontom mi a legjobb megoldas (rendszer tovabbvisz, picit atgondol, ujratervez... stb.)
3. Megvitatom a megrendelovel (munkaltatoval)
4. a dontes alapjan cselekszem

Ugyan szerencsere nem voltam ilyen helyzetben, DE igy csinalnam.

+1
Én már igen, és én is így csináltam.
A "megörökölt" webszervereket frissítettem, jelszót változtattam, üzemeltettem, majd az egészet újra húztam új alapokra téve, ami azóta is így üzemel. Természetesen a munkáltatóm egyetértésével.
---
http://it2it.hu/valastyan.attila

( wladek1 | 2011. 12. 02., p – 08:08 )

Átveszem, megváltoztatom a hozzáféréseket, s amint lehet, RT átmigrálom, szolgáltatáskiesés nélkül.

( lberes (nem ellenőrzött) | 2011. 12. 02., p – 08:47 )

Root jelszot nem tudja, sudo/RBAC/stb. jogosultsaga azonnal visszavonhato, rendszeres security scan van a gepeken, VPN hozzaferese kilepeskor megszunik. Szepen is neznenk ki, ha minden erintett gepet ujra kellene huzni, nem olyan vilagban elunk.

Ja es vannak standardok, nem telepitget meg egyenieskedik am, akinek nem szabad.

--
Fedora, RHEL, CentOS, virtualizáció, SELinux: http://sys-admin.hu

A problema amugy erost fugg attol, hogy hol dolgozol, ki ment el, milyen a vallalati kultura, mekkora szerverparkrol van szo, milyen hozzaferesek vannak es meg sok mindentol.
Mert azert elozo munkahelyemen, nem hiszem, hogy ujrahuztak 350 darab OS-t csak mert eljottem.
A security scan is hackelheto. A gond inkabb az, hogy a legtobb cegnel inkabb insecurity van uzemeltetesi oldalon, mint security.
(NFS mountok, imitt-amott "ideiglenesen" letrehozott kiskapu, hogy ne kelljen +200szor begepelni a jelszot egy nap. S ne felejtsuk el, hogy mindig van valami amire epp nem gondolsz/gondoltok.)
Meg lattunk mar cron/at kombonal jol eldugva "elfelejtett" reboot -q parancsot is...
Szoval a valasz valahol a ketto kozt van.

( emberk | 2011. 12. 02., p – 11:09 )

Elalvás előtt. Fordítva még soha nem volt. :)

------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.

( saabi v | 2011. 12. 02., p – 11:14 )

Ez a döntés nem a rendszergazda dolga. Egy ilyen rendszer megtartása változatlan formában kockázatos, lecserélése ugyanakkor költséges és nem feltétlen elfogadható a kiesett idő sem. Persze az is kérdés, hogy milyen gépekről van szó, nagyvállalatnál, üzletileg kritikus rendszereket amúgy sem egy rendszergazda gondoz.

Ave, Saabi.

Van ez így. De úgy gondolom a megfelelő üzemeltetési környezet kialakítása, a dokumentálás felügyelete, az üzem biztosítása a management feladata. És annak eldöntése is, hogy egy vagy több rendszergazda távozása után mit és mennyire alakítanak át a felügyelt környezetben biztosítandó, hogy az elmenteknek ne legyen semmilyen hozzáférése az egykor felügyelt gépekhez.
De én sajnos inkább olyan cégekkel találkoztam, ahol a felmondott rendszergazdát még dolgoztatták a felmondási idejében. Úgy vélem, ezeken a helyeken nem fogták fel a távozó sysadmin jelentette potenciális veszélyt.

Ave, Saabi.

( b | 2011. 12. 02., p – 14:40 )

Csak fejlesztőkről tudnék nyilatkozni. 90-es években amikor kezdtek megjelenni az ilyen helyek egy kicsit kemény volt a szitu. A verziókezelés gyakorlatilag CD égetés + a kolléga floppijai voltak.

Ma már minden fenn van CVS-ben és csak simán letúrják az illető gépét azt csókolom.

--
GPLv3-as hozzászólás.