Hozzászólások
Nekem túl nagy falat, és lejáratni sem akarom magam, ezért beteszem ide:
Szerverhez root-ot keresnek. (3-4 user, 50-100 domainnal)
Előzmény:
A gépet tavaly nyár közepe óta folyamatosan piszkálják, amely eddig már 3 rendszergazdit fogyasztott el. És nem is kezdőket!!!
Szokásos. Apache2 reg.global on-al, php4, mysql, sftp és levelező quotazva. Webes állítássokkal. (a megbízót ez érdekli a többit meg nem sorolom)
+ Dolog: megbízó is root jelszó birtokába akar lenni (nem kell fikázni, én értem, megértem miért)
Munka elvégzésére: a hétvége adatik. Hétfő reggel 8-ra muxania kell.
Anyagiakat: 4 részletben rendezik. 1-et induláskor, és utána 30 naponta 3 hónap alatt. (érthetően csak akkor ha rendeltetésszerű a dolog)
Akit érdekel, írjon privát üzit, benne pár sorba refeket, telszámot.
Nem én választok! (de mindet továbbítom)
[quote:664f7301a6="hszoszi"]Nekem túl nagy falat, és lejáratni sem akarom magam, ezért beteszem ide:
Szerverhez root-ot keresnek. (3-4 user, 50-100 domainnal)
Előzmény:
A gépet tavaly nyár közepe óta folyamatosan piszkálják, amely eddig már 3 rendszergazdit fogyasztott el. És nem is kezdőket!!!
Szokásos. Apache2 reg.global on-al, php4, mysql, sftp és levelező quotazva. Webes állítássokkal. (a megbízót ez érdekli a többit meg nem sorolom)
+ Dolog: megbízó is root jelszó birtokába akar lenni (nem kell fikázni, én értem, megértem miért)
Munka elvégzésére: a hétvége adatik. Hétfő reggel 8-ra muxania kell.
Anyagiakat: 4 részletben rendezik. 1-et induláskor, és utána 30 naponta 3 hónap alatt. (érthetően csak akkor ha rendeltetésszerű a dolog)
Akit érdekel, írjon privát üzit, benne pár sorba refeket, telszámot.
Nem én választok! (de mindet továbbítom)
Engem lehet hogy érdekelne, de:
- webes állítások azt takarják, hogy minden webről állítgatható?
- olyan szerver nincs és nem is lesz, ami karbantartás nélkül kitehető internetre és nem fogják megtolni, főleg ha céltábla
- ha kiadom (vagy bárki) a kezéből a root jelszót, olyannak, akinek a hozzáértese erősen megkérdőjelezhető akkor mégis mit vállaljak?
- mondjuk 4 hónapig működik a gép, de az ötödikben gyalulják apache+php hiba miatt. Ez esetben mi lesz? Nem volt karbantartva és egy php-ban remote lukat talaltak es durr, akkor ez kinek a felelossege?
- PHP-t eleve csak szenne szigoritva szabad kiengedni netre, egyebkent totalisan ongyilkossag, ez persze nem fog menni ahogy elnezem
- Mi az hogy 3 rendszergazdát fogyasztott? Az hogy bedarálják a gépet egyáltalán nem biztos, hogy a root hibája, lásd 0 day attack, PHP remote okosság (még full uptodate dolgoknál is...) Amelyik T. Megbízó ezzel nincs tisztában vagy nem hajlandó elfogadni (ez konkrétan ennek a biznisznek a kockázata) az menjen villanypásztornak.
a root jelszo kiadasarol: szerintem teljesen mukodokepes az a modell, hogy kiadod, de csak azert hogyha kirugnak ne tudd oket szivatni, es nem azert hogy hasznaljak es allitgassanak.
(most azt hagyjuk hogy ha akarja a rendszergazda igyis-ugyis meg tudja szivatni)
Azt meg ugyis latod ha belepnek vele.
andrej: abba amit irtál sok igazság van. (nem véletlen gondolom szakmailag is kihivásnak -php miegymás - és passzolom le)
a webes állitgatás dolog viszont - szerintem - nem nehéz, fel tudná itt mindeni sorolgatni, inkább csak biztonsági (!) gond/rés.
nug: nem biztos mindig rosszat kell már az elején feltételezni.
Ha nagyon akarom a root jogokat lehet ellenőrizni is ;-) de itt is az a sztori, hogy az egyik srác mikor már 2-3 napja akadozott a dolog éppen 3 hetes nyereményutjára indult mikor az ügyfelem meg felhivta, hogy mi lesz már, de az meg csak röhögött a hülye nőjével. Szivás volt mert Őt én ajánlottam, és arra a hónapra annak a hétenek az elején még a pénzt is felvette. (úgy, hogy akkor már tudta, hogy elutazik ! na ehhez tényleg pofa kell. ) Még el se ment a repülője, amikor már totál leállt.
Aki utána vállalta pont ezen a jogok dolgon szivott 2 napot. (és én pontosan emiatt soha senkit nem is fogok többet ilyen dologra ajánlani) Amúgy ez a srác meg odáig jutott, hogy a végén már nem is Ő volt a root :-) /ezt meg kizárták :-) :-) :-) utána meg megkérdezte hova fizessen vissza - ez legalább normális volt - de mondták neki, hagyja./
Szerintem:
Ha ez jól működik, akkor ezek szivtak már annyit, hogy körbeörömködik a rootjukat és nem a varia a lényeg hanem a működés. Viszont itt is ismét mondom: tényleg rendesen piszkálják a gépet!!! Ember legyen aki nekiáll ezekkel a feltételekkel.
üzisek: jött már pár, köszi mindenkinek.
Reggel mindet kinyomtatom és átadom. (aki kérdez annak meg este próbálok még válaszolni, de NEM akarok igazán közvetítő sem lenni, okosabb ha egymás közt intézik az illetékesek.)
Ismét mondom: én nem gondolom apró munkának! Csak az jelentkezzen aki felvértezve érzi magát egy kihivásra! (pont ezért is ajánlottam, hogy ide is be kell tenni) de túldumálni sem akarom, mert ez nem az én szerepem.
[quote:540f7df28e="andrej_"]- mondjuk 4 hónapig működik a gép, de az ötödikben gyalulják apache+php hiba miatt. Ez esetben mi lesz? Nem volt karbantartva és egy php-ban remote lukat talaltak es durr, akkor ez kinek a felelossege?
ja meg erre annyit, hogy szerintem nem 4 hónapban gondolkodnak, csak párszor már fürödtek.
+tipp: alkudni kell, mit lehet és mit nem. ;-)
Korrekt álláshírdetés flame nélkül! Ezt nevezem. Lehet, hogy kicsit észbekaptak az emberek. :wink: Sajnos konstruktívan nem tudok hozzászólni a témához, csak annyit, hogy a root-jelszót általában blombázott borítékban szokták odaadni a főnöknek.
Csaba
Nem gondolom hivataloskodó szöveget kellene nyomni. Főleg nem azt, hogy azt nekem kellene, vagy velem kellene.
A root jelszó meg mindenkinek szive joga - de már eredetiben is irtam nem kell fikázni, mert tudtam ebből lesz a kiakadás. (és most sértő leszek! .. de nem mégse) pá.
en is ki szoktam adni a root jelszot... lezart, lepecsetelt boritekban. Addig vallalok felelosseget amig az aktualis root jelszot tartalmazo boritek sertetlen. Teljesen kivitelezheto a dolog.
php es apache2 nelkul a tamadasi lehetoseget kb 90%-a kifujt.
Ha nem vesszuk a webes admin feluletet, ami alapjaban veve egy hatalmas weakness.
Megis, mit kell alatta erteni?
asd
[quote:6bab5cc30b="nug"]
a root jelszo kiadasarol: szerintem teljesen mukodokepes az a modell, hogy kiadod, de csak azert hogyha kirugnak ne tudd oket szivatni, es nem azert hogy hasznaljak es allitgassanak.
Szerintem ha én vagyok megbízva egy rendszer karbantartásával és a megbízó engem kirúg és pl. neked adja át a lehetőséget, akkor első dolgod lesz a root-jelszó átírása, a loginom kiírtása, végignézni van-e a gépen a felhasználói nevem/csoportom tulajdonában fájl/könyvtár, stb. Ugyanez visszafelé is.
Változásnál szokásos eljárás, a megbízó egyszerűen odahívja magához a "régi"-t, csináltat egy átadás-átvételt s amint a "régi" kilép az ajtón, az "új" versenyző máris átírja a pass-okat.
[quote:6bab5cc30b="asd"]en is ki szoktam adni a root jelszot... lezart, lepecsetelt boritekban. Addig vallalok felelosseget amig az aktualis root jelszot tartalmazo boritek sertetlen. Teljesen kivitelezheto a dolog.
php es apache2 nelkul a tamadasi lehetoseget kb 90%-a kifujt.
Ha nem vesszuk a webes admin feluletet, ami alapjaban veve egy hatalmas weakness.
Megis, mit kell alatta erteni?
Egyszer adtam ki a root-jelszót, mert a megrendelőnek olyan nagyon tudnia kellett. Később mikor néztem, milyen új júzerek mászkálnak be a gépre kiderült, kedves megbízó még hozzáadott 1-2 logint.
Érzésem szerint nem az a gond, amikor a jelszót tudja a megbízó, sokkal inkább amikor beletúr a rendszerbe, majd téged hív, hogy nem megy a gép és _azonnal_ ess neki és csinál meg. Ha jól sejtem itt nem erről lesz majd szó, mindössze ha valaki nem jön be mert linkeskedik, tovább tudják adni.
A webes admin felület gondolom a Webmin egyik verziója lenne.
ezert kell szerzodest kotni, es abban leirni, hogy ki, mit, mikor , miert csinalhat. illetve kinek mi a felelossege. Ennyi. igy ha az emberunk elbasz valamit akkor van mit lengetni. ugyanigy, ha megrendelo baszik el valamit, akkor nem a rgazdat b@sszak meg. ennyi
[quote:6fb60fa0ec="Elbandi"]ezert kell szerzodest kotni, es abban leirni, hogy ki, mit, mikor , miert csinalhat. illetve kinek mi a felelossege. Ennyi. igy ha az emberunk **** valamit akkor van mit lengetni. ugyanigy, ha megrendelo **** el valamit, akkor nem a rgazdat b@sszak meg. ennyi
Ha normalis a megrendelo akkor nem kell szerzodes, csak formasag es naon rovid... ha meg nemnormalis akkor tokmind1. Mondjuk felberelodsz, mint Mr. Verybestsysadminoftheplanet es 2 honap mulva valami elqrt PHP miatt legyaluljak a gepet, es mondjuk vmi 0day attack volt (lasd: a Santy wormos okossag 1-1,5 hettel a bugtraq mail elott mar probalkozott nalunk, csak nem tudtuk miaz), akkor ki a felelos? Gyakorlatilag nincs felelos, mert ugymond vis major eset. Tehat normal esetben reinstall es megyunk tovabb. Ha idiota a megrendelo, akkor kitalalja, hogy bena volt az admin es elkoszon tole. Ekkor megis micsinal szerencsetlen adminunk? Lobogtatja a szerzodest, meg ugyvedhez jarkal? Egyszeruen nem eri meg, se az idot (egy ugyved anno ugy nyitott nekunk, hogy nincs gond, csak mondjuk meg meddig huzza az ugyet, meg jo hogy elkepzelt eset volt...), se a penzt. :(
Nade offolok itten csak es telleg csak teoretikus dolgok, nem ismerjuk a topikban irt megrendelot, csak talalgatas.
On: A "webes adminolas" kisse laza megfoglamazas. Lehet irni egyedit, ha minden PHP+MySQL vagy lehet elore irt csodat hasznalni.
Hmmm. Ket napig szivott full kontroll mellett egy root jelszo miatt? Hmmm.
Sajat velemenyem szerint egy megrendelonek olyan formaban lehet csak es kizarolag admin jelszot adni, ahogy asd mondja.
Hogy vallaljak felelosseget a munkamert, ha rajtam kivul mas is garazdalkodik a rendszeren? En egyszer adtam meg a "nagytudasu" tulajdnak a root jelszot, o volt a fejleszto is... ejjel adott apache jusernek sudoersben jogot par parancsra... reggel hiv, hogy nem megy a levelezes, stb, gyakorlatilag semmi. Benezek, 1000 uid es gid tulajjal volt az osszes fajl, konyvtar.... mindezt azert, mert o balf*sz volt raadasul php tudasa is olyan volt, hogy erosen akkor tanulta....
Raadasul nem is annyira kis ceg volt, najo, ahhoz kepest, hgy hany weboldal uzemel rajta.
Nah, azota en nem adok senkinek rootot.