我们聘请了一个新的系统pipe理员,这将是第一次把这个敏感的任务委托给第三方。 他是个好人,但我们仍然对安全感到疑惑。
你推荐我们什么? 给我们的Linux服务器提供root权限是否明智? 或者我们应该在Linux上创build一个单独的用户帐户? 你有什么build议? 他将login到我们的服务器并监视/ var / log / *文件的开始。
这并不是说所有的人都是完全可以信赖的,但是系统pipe理员必须要有几乎无限的访问权限才能完成工作。 如果您担心安全问题(您不应该为此担心,认真……大多数情况下不会重视),您可能希望与系统pipe理员一起安装审计保护措施。
把所有程序logging下来,应该是他工作的一部分。 如果明天他被一个心怀不满的用户的汽车所击中,那么你应该可以让一个新的系统pipe理员按照政策和程序指南快速加速。
另外,你的系统pipe理员不应该介意有保护措施来保护他或她的手指。 Sudologging东西。 如果需要,系统密码应该保持安全和可访问性,但只限于真正需要的人(如果有人想访问它,应该知道)。
系统pipe理员需要足够的自由去完成他的工作,并且觉得他或她不是一直被第二个猜测或者不信任(或者你为什么要雇用他?)让系统pipe理员去做,但是知道他或她可以必要时进行审计。
如果他们太保密,这是一个红旗。 但是,如果pipe理层不会放弃统治,这是一个问题。 而且,如果pipe理人员不是IT人员,那么pipe理层就会一直坚持自己的观点(不是说你不是IT人员,因为我不知道你做了什么,但是当工程师和/或程序员,他们知道做系统pipe理员任务是什么样的,真的有点不对,并且坚持以他们的方式来做事……)
你用sudo访问他自己的帐户,这样他所做的一切都被logging下来。 你甚至可以在某种程度上限制他可以或不可以用sudo做什么。 设置logwatch每天发送电子邮件,所有的sudo命令将被列出。 这会给你一些有点监控。 如果你停止收到邮件,或者没有列出sudo命令,你就会知道一些事情正在发生。
当然,设置所有这些东西需要至less有一个你信任的Linux精明的人,所以如果你没有这些,你就不得不相信这个人。
如果你雇用了他,那么你必须相信他,所以你当然可以给他提供一切。
如果我没有得到,我可能会在一个星期内走出去,因为我不能做我的工作
问新的家伙他认为你应该做什么。
也许这应该是系统pipe理员的标准面试问题!