当特权或技术人员辞职/被解雇时,您如何处理离职流程?您是否有一份清单来确保公司基础设施的持续运营/安全?
我正在尝试制定一个很好的规范清单,列出我离开时同事应该做的事情(我一周前辞职,所以我有一个月的时间来整理和 GTFO)。
到目前为止,我有:
护送他们离开场所
删除他们的电子邮件收件箱(将所有邮件设置为全部转发)
删除他们在服务器上的 SSH 密钥
删除他们的 mysql 用户帐户
...
下一个是什么。我忘了提到什么,或者可能有什么类似的用处?
(尾注:为什么这是题外话?我是系统管理员,这涉及持续的业务安全,这绝对是主题。)
我有一个带密码保护的 SSD 磁盘,但密码早就丢失了......所以我试图用hdparm命令擦除 ATA 安全性。
使用“hdparm -I”,磁盘信息看起来很有趣,如下所示:
root@ubuntu:~# hdparm -I /dev/sda
/dev/sda:
ATA device, with non-removable media
Model Number: TX21B10400GE8001
Serial Number: FG002VTA
Firmware Revision: PRO6F515
Transport: Serial, ATA8-AST, SATA 1.0a, SATA II Extensions, SATA Rev 2.5, SATA Rev 2.6, SATA Rev 3.0
Standards:
...........................
Commands/features:
Enabled Supported:
* SMART feature set
Security Mode feature set
...........................
Security:
Master password revision code = 65534
supported
not enabled
locked
not frozen
not expired: security count
supported: enhanced erase
2min …在旅途中使用 SSH 从酒店连接到服务器真的安全吗?
服务器:
- CentOS 7
- 仅通过 RSA 密钥授权 - 密码认证被拒绝
- 非标准端口
工作站:
- Ubuntu 14
- 用户密码
- 使用 RSA 密钥的密码(标准方法)
也许将一半的私有 RSA 密钥保留在 USB 记忆棒上是个好主意,并在连接之前自动(通过脚本)将此一半添加到 ~/.ssh/private_key 中?
互联网将通过酒店的 WIFI 或租来的公寓中的电缆进行。
UPD
抱歉一开始不清楚。我在这里的意思是两个方面的安全性:
我想知道是否有人对如何保护服务器机房不受员工影响有任何建议。门上有一把锁,但是任何有建筑大师(维护人员、业主、管理员等)的人都可以打开它。如果它需要钥匙并且还有一个感应卡锁,这样我们就可以登录并进一步限制它,那就太好了。以前有人这样做过吗?还有哪些其他方法可以确保它的安全?
我们正在考虑用更强大的东西替换我们校园范围内的磁卡系统。我的“程序员”方面说必须有一个开源的、可扩展的解决方案已经做到了这一点,但我能找到的只是专有的供应商特定的解决方案。
理想情况下,它具有以下内容:
我发现的信息缺乏使我相信我没有在寻找正确的东西......或者这样的解决方案不存在。有没有一些基本的开源解决方案(例如用于数据库的 MySQL,或用于 LMS 的 Moodle,或用于 Web 服务器的 Apache)?
有没有人有使用用于安全目的的网络摄像头的经验?
我需要最好从本地网络和互联网监控远程位置(服务器机房)。我还需要能够记录事件(例如运动检测)、运行事件过程(例如给我发送电子邮件)和捕获静止图像。此外,我需要一个允许 2 或 3 个用户同时查看提要的界面。
是否还有其他我没有想到的功能是可取的?摄像机将放置在一小时外的建筑物中的小型服务器壁橱的门外。因为我和大楼里的工作人员共用这个壁橱(他们用它做储藏室),所以门没有锁。现场工作人员无法对该区域进行监管,该区域位于向公众开放的建筑物内。机柜包含一个机架、一些交换机、路由器、DHCP 服务器、杂项电缆和备用硬件。
我想将数 GB(大约 250 GB)的敏感数据从美国的一个位置传输到另一个位置。目前似乎最简单的方法是运送包含数据的加密硬盘。有什么选择可以做到这一点?安全是第一要务。
我正在为客户端设置一个配置的远程服务器,他们的主要要求是在引导分区之外对数据进行加密。主系统将位于主驱动器上的 dm-crypt LUKS 容器中,但由于在清除引导分区以捕获密钥的情况下内核可能被恶意替换,因此它也需要保护。
为了解决这个问题,我能想到的唯一选择是内置硬件加密的驱动器,并通过 IPMI 接口远程解锁它。这样做的问题在于,一个 IP 地址的月度成本预算已经获得批准,这意味着如果不进行昂贵的物理访问,或者与项目经理进行更昂贵的会话,就无法轻松连接到 IPMI 接口。增加几块钱的预算。
我希望找到一个驱动器解决方案,其中包含一个可以引导到的固件,通过 SSH 或 HTTPS 连接,解锁加密数据并链式加载引导加载程序,该引导加载程序将包括一个内核,该内核将主 LUKS 阵列作为根加载划分。接口可以是USB或SATA,甚至PCI-E。
我愿意接受其他建议,因为这是我自己能想到的唯一可行的选择;我只是找不到任何类似的解决方案,或为此搜索的术语。
在最大限度地降低员工向竞争对手公司传播关键信息的风险方面,常识是什么?
截至今天,很明显,即使是美国政府和军方也无法确保他们的数据安全地保存在他们的家中。因此,我明白我的问题可能应该写成“什么是使员工更难传播关键业务信息的常识?”
如果有人想传播信息,他们会找到办法的。这就是生活的运作方式,而且一直如此。
如果我们通过假设我们只有常规的 JohnDoes 而不是热爱 Linux 的系统管理员来缩小我们的员工队伍,从而使场景更现实一点,那么应该采取什么好的预防措施,至少使员工更难将关键业务信息发送到比赛?
据我所知,有一些明显的解决方案显然有利有弊:
在现实世界中做什么是现实的?大公司是如何处理的? 当然,我们可以把前雇主告上法庭起诉,但到那时损害已经造成了......
非常感谢
我在一家非营利组织工作,我们需要升级新服务器和 DC 周围的物理安全。我们无法确保整个房间的安全,也无法购买合适的服务器机架。解决方法是将设备放在一个三边都有墙的角落里,我们将使用某种带锁的安全门。然而,我正在努力寻找任何足以作为带锁安全门的东西。我在这里寻求有关该主题的资源和知识。如果这里有人了解负担得起的、非标准的、物理安全选项。