访问非系统pipe理员的生产系统

应用最小特权原则 。 如果他们需要访问来完成这项工作，那么就给他们访问权限。 但是你只给他们需要的访问权限。 如果他们不需要去做这项工作，那么就不要给他们。

这不只是保护这个人（不能被指责超越他/她的界限），而且还保护组织，如果用户的帐户被泄密。

至于为什么他们不应该这样的访问…

一个错误的步骤和腐败的悲惨故事（从今天起）

我同意上述，但我想补充说，共享用户帐户不是一个好主意。 您无法追查谁在日志中做了什么，也无法控制谁与谁共享什么密码。

configuration一个特定的访问控制组，并给每个需要访问系统的非pipe理员自己的帐户，只有他们需要访问他们的工作。

从DBA的angular度来看，用户访问生产系统应严格限制，这包括开发人员。 用户应该只能看到他们需要的数据，理想情况下可以通过视图提供，而不是直接访问表。

开发人员也应该能够看到生产中的数据，但不能更改任何表。 任何更改应该先在testing（或开发）中完成，然后由DBA编写并运行生产。

启发式很简单：

如果把系统搞砸了，他们会被解雇吗？

你做？

如果答案是“不”和“是”，他们在大多数组织中的方式，那么答案是明确的。

对于开发，如果可能的话，为他们提供一个实时系统的副本，并提供一种方法，将数据库更改推回开发副本。 您会发现许多开发人员在访问“真实”数据时会更高效，并且知道他们无法访问实时系统，您会感到安全。

我也相信，没有真正的理由在交易之外存储某些敏感数据。 例如，信用卡交易…抓取数据并将其发送到商户处理系统…但是不要将其保存在数据库中，而是仅存储卡的最后4位数字和来自商家的交易ID系统。 通过这种方式，当一个漏洞被发现并且产生一个修复（我知道，就像从来没有发生过的那样），你有信心没有人能够从你的数据库中窃取任何这些数据。

我完全同意H.布赖恩·凯利的回答，即“最低特权原则” 。

但是我想提一下，这是与我自己的螺丝钉共享责任原则齐头并进的。 也就是说，任何能够pipe理服务器的人也应该将他们的电话号码添加到服务器的待命列表中。 所以现在这个非系统pipe理员也可以知道2AM“打破了什么”的喜悦。

根据生产服务器的重要性，是的，我认为非系统pipe理员应该使用第二个特权帐户来访问系统 – 就像我一样（例如，我使用一个帐户作为我的每日电子邮件，正常用户活动;另一个为我的系统pipe理员活动）。 用户现在必须明确地更改为更高的秘密级别，这将有助于防止失败。

是的，有些情况下应该允许日志（仅查看）访问。 显然，当那个人需要看到输出更好地完成他/她的工作时，你想倾向于给予访问。 如果日志中包含客户个人或财务数据等非常敏感的信息，请重新考虑。

无论何时授予权限，您都可以考虑对特权访问的安全性方面进行一定程度的正式/非正式培训。

是。 完整的root权限（通过sudo ALL授予）。 而且他们也被加到了oncall的旋转中。

许多公司都有一个系统pipe理员，他们24/7全天候工作，即使是应用程序问题。 有些公司是幸运的，有两个。 期望一个人在夜间所有的日常工作中工作并响应系统警报是完全不合理的。

但是，许多公司都有相当数量的开发人员负责系统上运行的应用程序代码。 他们中的许多人甚至可能有经验。

不，他们不应该对邮件系统负责，除非它直接与他们工作的应用程序联系在一起。 但是应该有一个清晰的事情logging来快速推理，这样他们就可以为系统pipe理员收集信息，甚至可以在足够简单的情况下解决问题。

每个人的工作都是为了实现业务。