我有一个专用服务器,我在上面运行我的自定义开发的网站。我并没有声称它是有史以来编写的最昂贵或最重要的软件,但要使其正常工作仍然需要付出很多努力。
现在我需要聘请专业管理员来查看我的邮件服务器(从我的服务器发送的所有邮件都被标记为垃圾邮件),这将需要访问我的专用服务器。我打算从一个自由职业网站(如 elance.com)雇佣这个专业人士,这意味着他完全是个陌生人。
我的问题是,让你从互联网上雇佣的完全陌生的人访问你的服务器是不明智的吗?您是否曾将您的服务器的访问权限授予其他人?是通过远程桌面吗?请分享您的想法和经验。
我不得不说是的,让一个完全陌生的人访问互联网是不明智的,尤其是作为自由职业者。一个更好的主意可能是联系当地的学校或企业,看看您所在地区有哪些顾问可以合作。
您必须记住,安全性归结为信任。您需要知道此人可以完全访问您的系统,并且可以在您不知情的情况下轻松地将他自己的脚本、篡改过的二进制文件等放在您的系统上,尤其是在您不精通管理的情况下。没有什么能阻止这个人决定你没有给他足够的或没有按时付钱,并且有一个脚本来说明用户 XYZ 是否在某个日期或 X 天内没有登录,“rm -fr /”。
如果你找到本地人,你至少有一个人可以追究责任。您还应该确保在您自己控制的单独磁盘上备份您的工作。您不能只依赖备份作为系统状态的管理员工作......如果他们更改配置和/或向二进制文件添加一些“礼物”,您将与其他所有内容一起备份它们,然后结束将木马数据与其他数据一起复制。
您需要找到可以让您承担一定责任或至少经营信誉良好的人。根据您对网站的收入或声誉或您自己的业务需求的依赖程度,您需要决定优先考虑管理员信任级别的程度。
我们是否允许他人访问?是的,我们学校已与 IU(一种支持公立学校的国家机构)签约,但我们认识拥有他们的人,我们与他们一对一地打交道。他们能把我们搞砸吗?他们当然可以。我们自己的管理员也可以,如果他们被搞砸并被当作垃圾对待,并且在他们离开的地方发生了一些事情。同样,安全性取决于您对用户的信任程度以及对他们绝对需要的访问权限的分离程度。
远程桌面并不能真正帮助解决很多安全问题。例如,我们拥有用户的桌面控制权……什么是最有价值的?信息?如果我们如此倾向,我们可以看到他们输入敏感电子邮件并被动地获取信息,而无需知道他们的密码。我们也有远程技术人员操作一些东西,比如我们的销售点自助餐厅软件的供应商远程处理事情,所以他们没有我们的管理员密码,但自从我以管理员身份登录后,他们确实有管理员访问权限。我也一直在观察他们在做什么,我们再次信任他们。只是没有监督就不够工作:-) 我通常也知道他们在做什么。我知道他们没有理由四处查看我们的股票或在我们的服务器上安装某些软件。如果您不知道系统管理需要什么,那么观察他们在做什么对您没有多大帮助。只有当您对在其他人工作时可以摆弄什么和不该摆弄什么有一些了解时,它才会真正有帮助,并且如果您谈论的是 SSH 访问,那么他们很可能在您观看时获得后门访问权限正在发生其他事情。
我刚刚读到一篇关于比失败更糟糕的文章,其中一名开发人员在网站上工作,在薪酬或其他问题上存在分歧,开发人员威胁要删除该网站,即使所有者更改了密码和信息。开发人员说他仍然可以做到,所以付钱...所以管理员做了一个快速的 grep 并在 PHP 中发现了一个愚蠢的声明,如果某个关键字在提交给网络应用程序的 URL 中,它会删除所有文件。有人把你搞砸就是这么简单。
备份、备份、存档和版本信息您的应用程序和数据,并找到您可以负责和信任的人。您的系统管理员应该是您要与之建立良好业务关系的人,而不是说“让我们试试这个”的话。
小智 5
在我看来,简单的答案是,如果您不授予某人访问权限,他们将无法帮助解决问题。但是使用您不信任的公司是不明智的。无论是街上的人还是网络上的人,您都必须信任某人才能解决问题。
许多公司(如 elance.com)都会为其所有技术提供评级和评论,如果没有,那么他们会找到一家这样做的公司。您还可以找到对该公司的总体评价。通常,注册这些网站的技术人员希望赚到一些额外的钱,并且会诚实地尝试为您提供帮助。但是,在他们看到问题之前,无法确定他们是否能够做到。
但是请确保您有备份...谨慎行事并没有什么坏处。
| 归档时间: |
|
| 查看次数: |
1384 次 |
| 最近记录: |