Linux:amministratori di sistema produttivi senza root (protezione della proprietà intellettuale)?

Soluzione 1:

Tutto ciò che è stato detto finora qui è roba buona, ma c'è un modo "semplice" non tecnico che aiuta a negare un amministratore di sistema canaglia:il principio dei quattro occhi che sostanzialmente richiede che due amministratori di sistema siano presenti per qualsiasi accesso elevato.

EDIT:I due elementi più importanti che ho visto nei commenti stanno discutendo dei costi e della possibilità di collusione. Uno dei modi più grandi che ho preso in considerazione per evitare entrambi questi problemi è l'uso di una società di servizi gestiti utilizzata solo per la verifica delle azioni intraprese. Fatto correttamente i tecnici non si conoscerebbero. Supponendo l'abilità tecnica che dovrebbe avere un MSP, sarebbe abbastanza facile avere un'approvazione delle azioni intraprese ... forse anche semplice come un sì / no a qualcosa di nefasto.

Soluzione 2:

Se le persone hanno davvero bisogno dell'accesso amministrativo a un sistema, allora c'è poco che puoi fare per limitare le loro attività su quella casella.

Quello che fa la maggior parte delle organizzazioni è fidarsi, ma verificare - potresti dare alle persone l'accesso a parti del sistema ma usi account amministratore con nome (ad esempio non dai loro l'accesso diretto a root ) e quindi controlla le loro attività in un registro con cui non possono interferire.

C'è un atto di bilanciamento qui; potresti aver bisogno di proteggere i tuoi sistemi, ma devi fidarti anche delle persone per fare il loro lavoro. Se l'azienda è stata precedentemente "morsa" da un dipendente senza scrupoli, ciò potrebbe suggerire che le pratiche di assunzione delle aziende sono in qualche modo scadenti e tali pratiche sono state presumibilmente create dai "top manager". La fiducia inizia a casa; cosa stanno facendo per correggere le loro scelte di assunzione?

Soluzione 3:

Quello di cui stai parlando è noto come il rischio "Evil Sysadmin". Il lungo e il breve è:

• Un amministratore di sistema è qualcuno che ha privilegi elevati
• Tecnicamente abili, a un livello che li renderebbe dei bravi "hacker".
• Interagire con i sistemi in scenari anomali.

La combinazione di queste cose rende sostanzialmente impossibile fermare l'azione dannosa. Anche l'auditing diventa difficile, perché non hai un "normale" con cui confrontarti. (E francamente, un sistema rotto potrebbe anche aver rotto l'auditing).

Ci sono un sacco di passaggi mitigativi:

• Separazione dei privilegi:non puoi impedire a un ragazzo con root di fare qualsiasi cosa sul sistema. Ma puoi rendere un team responsabile della rete e un altro team responsabile dei "sistemi operativi" (o Unix/Windows separatamente).
• Limita l'accesso fisico al kit a un team diverso, che non ha account amministratore... ma si occupa di tutto il lavoro manuale.
• Separa le responsabilità del "desktop" e del "server". Configurare il desktop per inibire la rimozione dei dati. Gli amministratori desktop non hanno la possibilità di accedere ai dati sensibili, gli amministratori del server possono rubarli, ma devono fare i salti mortali per farlo uscire dall'edificio.
• Auditing su un sistema ad accesso limitato - syslog e controllo a livello di evento, a un sistema relativamente resistente alle manomissioni a cui non hanno accesso privilegiato. Ma raccoglierlo non è sufficiente, è necessario monitorarlo e, francamente, ci sono molti modi per "rubare" informazioni che potrebbero non essere visualizzate su un radar di controllo. (Bracconiere contro guardiacaccia)
• applica la crittografia "a riposo", quindi i dati non vengono archiviati "in chiaro" e richiedono un sistema live per l'accesso. Ciò significa che le persone con accesso fisico non possono accedere a un sistema che non viene monitorato attivamente e che in uno scenario "anomalo" in cui un amministratore di sistema ci sta lavorando, i dati sono meno esposti. (ad es. se il database non funziona, i dati probabilmente non sono leggibili)
• La regola dei due uomini - se sei d'accordo che la tua produttività sia paralizzata, e allo stesso modo il tuo morale. (Seriamente - l'ho visto fare, e il persistente stato di lavoro e di essere osservato rende le condizioni di lavoro estremamente difficili).
• Controlla i tuoi amministratori di sistema:possono esistere vari controlli dei record a seconda del paese. (Verifica il casellario giudiziario, potresti anche scoprire che in alcuni casi puoi richiedere un nulla osta di sicurezza, che attiverà il controllo)
• Prenditi cura dei tuoi amministratori di sistema:l'ultima cosa che vuoi assolutamente fare è dire a una persona "fidata" che non ti fidi di loro. E certamente non vuoi danneggiare il morale, perché questo aumenta la possibilità di un comportamento dannoso (o "non proprio negligenza, ma uno slittamento nella vigilanza"). Ma paga in base alla responsabilità e al set di abilità. E considera i "vantaggi", che sono più economici dello stipendio, ma probabilmente valutati di più. Come il caffè gratis o la pizza una volta alla settimana.
• e puoi anche provare ad applicare condizioni contrattuali per inibirlo, ma fai attenzione a quanto sopra.

Ma fondamentalmente, devi accettare che questa è una questione di fiducia, non una cosa tecnica. I tuoi amministratori di sistema saranno sempre potenzialmente molto pericolosi per te, come risultato di questa tempesta perfetta.

Soluzione 4:

Senza metterti in una folle svolta tecnica per cercare di trovare un modo per dare potere a un amministratore di sistema senza dargli potere (è probabilmente fattibile, ma alla fine sarebbe imperfetto in qualche modo).

Dal punto di vista della pratica aziendale esiste una serie di soluzioni semplici. Soluzione non economica, ma semplice.

Hai detto che i pezzi di IP che ti preoccupano sono divisi e solo le persone in alto hanno il potere di vederli. Questa è essenzialmente la tua risposta. Dovresti avere più amministratori e NESSUNO di loro dovrebbe essere un amministratore su un numero sufficiente di sistemi per mettere insieme il quadro completo. Ovviamente avresti bisogno di almeno 2 o 3 amministratori per ogni pezzo, nel caso in cui un amministratore sia malato o abbia un incidente d'auto o qualcosa del genere. Forse anche scaglionarli. diciamo che hai 4 amministratori e 8 informazioni. L'amministratore 1 può accedere ai sistemi che hanno le parti 1 e 2, l'amministratore 2 può accedere alle parti 2 e 3, l'amministratore 3 può accedere alle parti 3 e 4 e l'amministratore 4 può accedere alle parti 4 e 1. Ogni sistema ha un amministratore di backup, ma non admin è in grado di compromettere il quadro completo.

Una tecnica utilizzata anche dai militari è la limitazione dello spostamento dei dati. In un'area sensibile potrebbe esserci un solo sistema in grado di masterizzare un disco o utilizzare un'unità flash USB, tutti gli altri sistemi sono limitati. E la capacità di utilizzare quel sistema è estremamente limitata e richiede un'approvazione documentata specifica da parte dei superiori prima che a chiunque sia consentito inserire dati su qualsiasi cosa che possa portare alla fuoriuscita di informazioni. Allo stesso tempo, ti assicuri che il traffico di rete tra sistemi diversi sia limitato dai firewall hardware. I tuoi amministratori di rete che controllano i firewall non hanno accesso ai sistemi che stanno instradando, quindi non possono ottenere specificamente l'accesso alle informazioni e gli amministratori del tuo server/workstation assicurano che tutti i dati da e verso un sistema siano configurati per essere crittografati, quindi che i tuoi amministratori di rete non possono toccare la rete e ottenere l'accesso ai dati.

Tutti i laptop/workstation devono disporre di dischi rigidi crittografati e ogni dipendente deve disporre di un armadietto personale in cui è tenuto a chiudere a chiave le unità/i laptop alla fine della notte per garantire che nessuno entri in anticipo/esca in ritardo e possa accedere a qualcosa non dovrebbero.

Ogni server dovrebbe come minimo trovarsi nel proprio rack chiuso, se non nella propria stanza chiusa, in modo che solo gli amministratori responsabili di ogni server possano accedervi, dato che alla fine l'accesso fisico ha la meglio su tutto.

Poi c'è una pratica che può ferire/aiutare. Contratti limitati. Se pensi di poter pagare abbastanza per continuare ad attrarre nuovi talenti, l'opzione di mantenere un solo amministratore per un periodo di tempo predeterminato (ad es. 6 mesi, 1 anno, 2 anni) ti consentirebbe di limitare il tempo che qualcuno avrebbe per tentare di mettere insieme tutti i pezzi del tuo IP.

Il mio progetto personale sarebbe qualcosa sulla falsariga di... Dividi i tuoi dati in tanti pezzi, diciamo per il gusto di avere un numero 8, hai 8 server git, ognuno con il proprio set di hardware ridondante, ciascuno amministrato da un diverso gruppo di amministratori.

Hard disk crittografati per tutte le workstation che toccheranno l'IP. con una specifica directory "progetto" sull'unità che è l'unica directory in cui gli utenti possono inserire i propri progetti. rinchiuso (giusto per sicurezza).

A ogni bit del progetto è assegnato un amministratore diverso, quindi un utente interagisce solo con l'amministratore della workstation a cui è assegnato, se l'assegnazione del progetto cambia, i dati vengono cancellati e gli viene assegnato un nuovo amministratore. I loro sistemi non dovrebbero avere funzionalità di masterizzazione e dovrebbero utilizzare un programma di sicurezza per impedire l'uso di unità flash USB per trasferire dati senza autorizzazione.

prendi da questo quello che vuoi.

Soluzione 5:

Sarebbe simile alla sfida di assumere un bidello per un edificio. Il bidello ottiene tutte le chiavi, può aprire qualsiasi porta, ma il motivo è che il bidello ha bisogno di loro per fare il lavoro. Lo stesso con gli amministratori di sistema. Simmetricamente si può pensare a questo annoso problema e guardare ai modi in cui la fiducia viene storicamente garantita.

Sebbene non esista una soluzione tecnica netta, il fatto che non ce ne sia non dovrebbe essere un motivo per non provarne nessuna, un'aggregazione di soluzioni imperfette può dare risultati in qualche modo ottimi.

Un modello in cui si guadagna la fiducia :

• Per cominciare, concedi meno autorizzazioni
• Aumenta gradualmente le autorizzazioni
• Metti un honeypot e monitora cosa succede nei prossimi giorni
• Se l'amministratore di sistema lo segnala invece di tentare di abusarne, è un buon inizio

Attuazione di diversi livelli di poteri amministrativi :

• Livello 1:può modificare il livello inferiore dei file di configurazione
• Livello 2:può modificare file di configurazione di livello leggermente superiore
• Livello 3:può modificare un livello leggermente superiore di file di configurazione e impostazioni del sistema operativo

Crea sempre un ambiente in cui non sia possibile l'accesso totale da parte di una sola persona :

• Dividi i sistemi in cluster
• Assegna i poteri di amministratore del cluster a diversi gruppi
• Minimo 2 gruppi

Utilizza la regola dei due uomini quando apporti modifiche fondamentali di alto livello :

• https://en.wikipedia.org/wiki/Two-man_rule
• Richiedi un amministratore da cluster1 e cluster2 per le modifiche principali

Fidati e verifica :

• Registra tutto
• Monitoraggio dei log e avvisi
• Assicurati che tutte le azioni siano distinguibili

Documentazione :

• Far loro firmare i documenti per fare in modo che il sistema legale sia in grado di aiutarti citandoli in giudizio se ti fanno del male dà più incentivo a non farlo