Fórum Root.cz
Hlavní témata => Server => Téma založeno: Ivan 10. 10. 2011, 10:55:28
-
dobrý den,
od dodavatele sluzeb pro nasi spolecnost jsem dostal zajimavou odpoved. Na pozdavek pristupu na freeBSD servery, ktere resi VPN pristupy do firmy.
"Na VPN servery heslo do FreeBSD neposkytneme, je tam konfigurace, kterou léta vyvíjíme a považujeme ji za součást svého know-how. "
netusim jak to chodi ve svete freeBSD, jestli je to opravdu tak unikatni .
diky
Ivan
-
Tohle neni vubec o FreeBSD ale o ty lama spolecnosti co vam spravuje sit. Asi bych zvazoval zmenu provozovatele pokud vam odmitaji poskytnout heslo k vasim vlastnim strojum :).
-
jak souvisí to, že vám někdo dá nebo nedá přístup na své stroje, s tím, jaký operační systém na nich běží?
-
Rozhodně by bylo dobré si dobře prostudovat jak s nimi máte postavenou smlouvu.
-
Ja tusil ze odpovedi budou podobne. Ja se taky divil kdyz jsem dostal tuto odpoved.
S dodavatelem se uz resi vice veci toto je jen perlicka.
Spis bych potreboval poradit dobrou otazku na dodavatele co tam ma za tak unikatni konfiguraci ? ze nas nechce pustit do nasich stroju. :)
-
Jak rikam, zalezi na tom jak je postavena smlouva, nicmene tezko i nekdo muze narokovat na danou konfiguraci know-how, vzhledem k tomu, ze na ruznejch setupech jsou potreba ruzny konfigurace takze to asi tezko zkopirujes a prodas nebo pouzijes jinde a VPN konfiguraci vymyslel nekdo uplne jinej nez ta vase povedena firma :). Uprimne je tohle jednani dosti neprofesionalni a mela by tyhle veci mit osetreny ve smlouve a ne nejakyma prohlasenima.
-
to nieje o operacnom systeme ale o zmluve. Ta odpoved je trochu divna lebo by sa nemali odvolavat na know-how ale na zodpovednot za chod vpn Ak je ta firma zodpovedna za chod servera, tak sa musi nejako chranit a hocikomu nevidat pristup na server. Bezna prax je, ze pristup ma len dodavatelska firma, plus mena a hesla su uchovane v trezore firmy a ma k nim pristup len urcita osoba. Tym su chraneny, ze sa im tam nebude hrabat hocikto a tiez aj vy, ze ak sa nieco udeje, tak mate pristup k serverom.
-
Mňo, tohle není až tak zvláštní situace.
Například u nás, pokud máme za servery odpovědnost, žádnou třetí osobu to spravovat také nenecháme. Nikdo není zvědavej, aby se v tom někdo další rejpal.
Chcete zálohu stroje?
Prosím.
Chcete audit nastavení?
Jistě.
Chcete provést nějakou změnu?
Napište nám jakou a my to vyřešíme.
Chcete se v tom rejpat?
Produkční server není místo, kde si můžou hračičkové hrát a DOKUD ZA JEHO CHOD NESEME ZODPOVĚDNOST, tak si hrajte někde jinde.
Tady jde o tu zodpovědnost, nějaký "taškář" si řekne, že tady vylepší tohle, támhle tamto, celé to rozjebe, člověk se nestačí divit, že na serveru je najednou nainstalovaný X-server a spustil si tam web s index.php?zobraz=uvitani.php
Jak říkám, zálohy dáváme, konfigurace se dá vytisknout nebo vytáhnout ze zálohy a upravovat jí, ale heslo ,,aby se v tom dalo rejpat" nikomu (pokud za server neseme odpovědnost) nedáváme.
-
...
Chcete audit nastavení?
Jistě.
...
ten audit nastavení mě zaujal, to je prosím co?
-
Mňo, tohle není až tak zvláštní situace.
Například u nás, pokud máme za servery odpovědnost, žádnou třetí osobu to spravovat také nenecháme. Nikdo není zvědavej, aby se v tom někdo další rejpal.
Chcete zálohu stroje?
Prosím.
Chcete audit nastavení?
Jistě.
Chcete provést nějakou změnu?
Napište nám jakou a my to vyřešíme.
Chcete se v tom rejpat?
Produkční server není místo, kde si můžou hračičkové hrát a DOKUD ZA JEHO CHOD NESEME ZODPOVĚDNOST, tak si hrajte někde jinde.
Tady jde o tu zodpovědnost, nějaký "taškář" si řekne, že tady vylepší tohle, támhle tamto, celé to rozjebe, člověk se nestačí divit, že na serveru je najednou nainstalovaný X-server a spustil si tam web s index.php?zobraz=uvitani.php
Jak říkám, zálohy dáváme, konfigurace se dá vytisknout nebo vytáhnout ze zálohy a upravovat jí, ale heslo ,,aby se v tom dalo rejpat" nikomu (pokud za server neseme odpovědnost) nedáváme.
Diky za odpoved.
Chapu - ale nejsem zrovna clovek co ma potrebu neco vylepsovat :D na blind.
Nejde o to mit moznost se v tom "rejpat" menit konfigurace ci instalovat web server :D.
Proste chci mit pristupy na vsechny zarizeni, ktere jsou v majetku spolecnosti. Urcite je to i o pristupu, protoze od naseho dodavatele jsem konfiguraci nedostal ani po pul roce :).
-
Tak je uplne normalni ze spolecnost chce hesla ke svym zarizenim. Zase se dostavame k tomu, ze je velice jednoduche monitorovat pristupy a zjistit, kdo ze se to vlastne prihlasil pripadne neco upravil ale o to tady nejde. Zas znovu a opakovane, smlouva, smlouva, smlouva.....
-
ten audit nastavení mě zaujal, to je prosím co?
Každé nastavení, které je rozdílné oproti defaultní konfiguraci, musí být někde poznamenáno.
Proč je memory limit pro PHP skripty zvýšený na ....
Proč jsou přístupová práva do toho a toho adresáře jiná ....
Proč proč tu je tenhle program ....
Proč neběží SSH na výchozím portu ....
Proč je v CRON tahle úloha ....
Kdy se provádí zálohy ....
Kdo testoval zálohy ....
Kde jsou uschované zálohy ....
Kdo má přístup k zálohám ....
Kdo vymyslel záložní scénář ....
Kdo vyzkoušel záložní scénář ....
.....
No a pak se rozdělí věci na 3 skupiny.
A) Ty naprosto zásadní, které musí být vždy po stanovenou dobu dokumentovány.
B) Ty důležité, které jsou podstatné pro chod stroje.
C) Ty nedůležité, které lze ignorovat.
My jsme malilinkatá IT firma a je to pro nás běžná věc, ale znám řadu velkých IT firem, které na to kašlou. Počet titulů nesouvisí s tím, jestli to jsou kašpárci nebo ne. Naopak, někdy titul znamená: ,,Pozor, to je šílený geek. Věci ho baví přesně 5 minut, nic nedotahuje a pak zůstane všechno tak na 1/2 cesty." Ale Kvalita lidí bohužel jen málo souvisí s obchodním úspěchem.
Jistě, některé stroje (často VPS) je snazší 1*za1/2 roku přeinstalovat a vycházet z čisté konfigurace. (A díky tomu často vyplave na povrch řada problémů.)
-
Diky za odpoved.
Chapu - ale nejsem zrovna clovek co ma potrebu neco vylepsovat :D na blind.
Nejde o to mit moznost se v tom "rejpat" menit konfigurace ci instalovat web server :D.
Proste chci mit pristupy na vsechny zarizeni, ktere jsou v majetku spolecnosti. Urcite je to i o pristupu, protoze od naseho dodavatele jsem konfiguraci nedostal ani po pul roce :).
Pokud za to zodpovídají, není důvod abys tam měl přístup.
_______________________________________________________
Když řídíš auto rodičů, taky nenamontuješ volant i na místo spolujezdce, aby ho tvoje mamča
měla taky právo řídit.
_______________________________________________________
Je to jinak, prostě řekni, že chceš audit nastavení a zálohu.
Obnov si to na jiném stroji, porovnej to, prohlédni si to (DŮVĚŘUJ ALE PROVĚŘUJ) a pokud se ti jejich práce nebude líbit, tak je vyměň. Pokud máš pocit, že to zvládneš lépe než oni, tak za to převezmi odpovědnost a spravuj to ty.
Ale ano...smlouva...smlouva...smlouva...
-
Tak je uplne normalni ze spolecnost chce hesla ke svym zarizenim. Zase se dostavame k tomu, ze je velice jednoduche monitorovat pristupy a zjistit, kdo ze se to vlastne prihlasil pripadne neco upravil ale o to tady nejde. Zas znovu a opakovane, smlouva, smlouva, smlouva.....
No to tedy úplně normální není.
A) pokud za to někdo třetí zodpovídá, tak je běžné, aby hesla měl v trezoru jen ředitel
B) možná si to pronajímají jen jako službu, pak nemají právo ani na tu konfiguraci, ale jen na výstup bezpečnostního auditu, tedy pokud jim smlouvu nedělal kašpar co o počítačích ví jen to, že se dají zapnout a nebo pokud nepodepsali nevýhodnou smlouvu
C) monitorování přístupu a změn je H-O-V-A-D-I-N-A (z právního hlediska), když dojde na lámání chleba, každý slušný právník ti takový argument smete ze stolu, takže pak nikdo neodpovídá za nic
D) pokud existuje najatá firma na správu něčeho, není důvod (u Linuxů/BSD), aby kdokoliv třetí měl přístup k heslům. Přístup je pouze k zálohám, ze kterých se dá konfigurace vytáhnout a řvát na dodavatele, aby provedl změny, které jsou nutné.
-
Tak mozna vase firma je natolik benevolentni ze je ochotna riskovat zastaveni pracovniho procesu po odchodu stavajici firmy co to ma na starosti a behem preinstalace veskereho zeleza. Tady nikdo nerika nic o hrabani se v systemu, ale o poskytnuti hesla jako takoveho pro strejcka prihodu. A znova, vsechno to musi bejt kryty smlouvou, smlouvou a smlouvou....
-
Tak je uplne normalni ze spolecnost chce hesla ke svym zarizenim. Zase se dostavame k tomu, ze je velice jednoduche monitorovat pristupy a zjistit, kdo ze se to vlastne prihlasil pripadne neco upravil ale o to tady nejde. Zas znovu a opakovane, smlouva, smlouva, smlouva.....
....
C) monitorování přístupu a změn je H-O-V-A-D-I-N-A (z právního hlediska), když dojde na lámání chleba, každý slušný právník ti takový argument smete ze stolu, takže pak nikdo neodpovídá za nic
...
já jsem to pochopil tak, že by provozovatel monitoroval přístupy do toho jejich systému (pro kontrolu, že ředitel nezneužívá to, že má heslo v trezoru) a to ten systém přece dělá sám od sebe.
-
Je to hovadina asi stejne jako tvrdit o nastaveni VPN ze je tvoje know-how. Kdyz uz jsme u tech prirovnani, tak tvoje analogie s volantem u spolujezdce je uplne mimo. Je to jako kdyby ti tvuj servisak co se ti stara o auto po vymene oleje nebo nejaky oprave v motoru odmitnul vydat klicky s tim, ze je to prece jeho know how, a ze bys to treba mohl okopirovat a priste si udelat sam. A to pri vsi ucte k automechanikum ti na to staci ucnak. S VPNkou uz to asi bude chtit lepsi znalosti.
-
Tak mozna vase firma je natolik benevolentni ze je ochotna riskovat zastaveni pracovniho procesu po odchodu stavajici firmy co to ma na starosti a behem preinstalace veskereho zeleza. Tady nikdo nerika nic o hrabani se v systemu, ale o poskytnuti hesla jako takoveho pro strejcka prihodu. A znova, vsechno to musi bejt kryty smlouvou, smlouvou a smlouvou....
Pokud je to služba, pak na heslo není nárok.
Jinak by heslo měl mít v trezoru v zalepené obálce ředitel, jak je to obvyklé.
-
.. pak je to celkem dobrý business - mít hardware zdarma :)
-
HW dneska vlastně nic moc nestojí.
Úspěšná firma si může dovolit nechat HW "zadarmo".
Příklad:
Náklad na pořízení nějaké GW (PCko) ~5000,-
Měsíční fakturační rámec: 2000,- plus minimální doba trvání smlouvy 24 měsíců
HW se zaplatí nejpozději za 6 měsíců, které dejme tomu nejsou vysloveně ziskové.
To jen my fakturujeme podrobně a pracujeme levně.
Což je v každém případě zásadní chyba a recept na neúspěch.
Nízký zisk = méně peněz na tvorbu image = nižší důvěra zákazníků = méně zákazníků -> nižší zisk + málo peněz na rozvoj. Dneska je potřeba zákazníka ojebat tolik, kolik jen dovolí, aniž by se vztekal, jinak nemáte pořádnou šanci na úspěch.
-
Záleží, jestli vám dodali produkt a šlo o jednorázovou záležitost (koupili jste krabici a teď je vaše), nebo jestli máte nějakou smlouvu o podpoře, SLA a oni ručí za dostupnost a funkčnost.
Pokud za to mají ručit, tak je celkem pochopitelné, že nechtějí, aby se v tom někdo z vás hrabal. Jenže jsou tu dvě ale:
1) Argumentovat nějakým know-how je padlé na hlavu. Za to bych jim minimálně pohrozil odchodem konkurenci a taky udělal odstávku a schválně si vytáhl z disku ten jejich „zázrak“ – dost možná by se pak ukázalo, že se nejedná o know-how, ale o nějakou nehoráznou prasárnu, za kterou se stydí a proto nechtějí, abyste ji viděli.
2) Na ty stroje byste měli mít přístup alespoň jako běžný uživatel a měli byste mít právo číst co nejvíc souborů – logy, konfiguráky, snad jen s výjimkou citlivých údajů, jako jsou soukromé klíče (ale těžko předpokládat, že by si chtěl někdo hackovat svůj vlastní server, resp. se za něj vydávat, takže přístup pro čtení byste klidně mohli mít i k nim). Jde o to, abyste mohli dohlížet na práci dodavatele, nebo lépe navrhovat změny (vždycky je lepší říct: „potřebujeme nastavit hodnotu XY v souboru /etc/… protože potřebujeme to a to“ – než na to koukat jako na černou skříňku a nevědět, co pořádně chcete a dlouze se dohadovat s dodavatelem).
Rootovský přístup pro zákazníka i dodavatele (který za to ručí) jde leda při nadstandardních a přátelských vztazích, kdy se lidi vždycky nějak dohodnou, nedělají si naschvály a nesnaží se hodit svoje chyby na toho druhého – u běžných komerčních dodavatelů tenhle přístup moc nefunguje.
-
Diky za odpovedi a podnety
dospeli jsme do situace kdy si dodavatel zabezpeci sve "know-how" a nam da pristupy. Ale vase podnety ted pouziju k nove smlouve.
diky
-
Chtějte:
- aby ředitel měl heslo v zalepené obálce
- zálohy, abyste mohl sám stroj obnovit v případě potřeby (firma odejde/všichni se zabijou v autě a stroj zrovna klekne - tak to obnovíte ze zálohy)
- dokumentaci hlavního nastavení
- dokumentovaný postup toho, jak budete nasazovat nové a vlastní věci
(tj. kdo od nich rozhoduje o tom, jestli je podle jejich názoru na stroj vhodné nainstalovat třeba takový mc)
NECHTĚJTE:
- právo roota, pokud chcete, aby za to ručili
Jeden zákazník taky chtěl heslo roota a bylo mu vyhověno, ale za jakýkoliv problém na stroji si teď už zodpovídá jen sám.
-
u nas ma zakaznik pristup ke konfiguraci pres sudo, ale pouze ke cteni. roota samozrejme nema, pac si pronajima sluzbu. ale nekde ma pres sudo prava otocit sambu a cups, pac jim sambu nespravujeme, a obcas je to to legrace - misto restart daji 'stop' a pak zapomenou dat 'start' a divi se "ono to nejede" :-)
-
Pritom to jde uplne jednoduse i bez tech prav ten restart. Mam nejaky prostor na weby na serveru znameho. nevim jak to udelal, ale je to tak ze kdyz si pridam konfigurak s novym webem tak si do svyho home nakopcim soubor ktery pojmenuju restart-apache a ono se to do 5 minut udela a poznam to tak ze je ten soubor smazany.
-
Tak to je samozdrejme nesmysl, zakaznikovi nedat pristup, s takovou firmou bych rozvazal spolupraci, pokud zakaznik chce pristup, ja bych mu jej dal, ovsem z dodatkem, ze v ten moment nerucim za vznikle problemy po neodbornem zasahu do konfigurace serveru.
-
Zcela běžná věc, ani PČR nekoukne na konfigurace aktivních prvků pod správou ČP. OD toho je HelpDesk a nějaké strukturované dotazy.
PM
dobrý den,
od dodavatele sluzeb pro nasi spolecnost jsem dostal zajimavou odpoved. Na pozdavek pristupu na freeBSD servery, ktere resi VPN pristupy do firmy.
"Na VPN servery heslo do FreeBSD neposkytneme, je tam konfigurace, kterou léta vyvíjíme a považujeme ji za součást svého know-how. "
netusim jak to chodi ve svete freeBSD, jestli je to opravdu tak unikatni .
diky
Ivan
-
Bylo tu přirovnání s autem, ne zrovna výstižné, tak to upravím. Když si koupíš nové auto, tak po dobu záruky musíš navštěvovat pouze autorizovaný servis. Když to dáš jinám, záruka padá .... Pokud ručíš za službu, nemůžeš k ní dát heslo .... to by jsi potom byl zaměstancem jednoho zákazníka. Pravda, někde v trezoru, v obálce by být mělo.
-
V praci mame na starosti spravu serverov pre viacerych vyznamnych zakaznikov. V skratke:
- admin pristup mame povoleny iba cez 'sudo <prikaz>' (povoleny zoznam prikazov),
- zakazany 'sudo su -' (prepnutie na root),
- logy pravidelne archivovane,
- root hesla +- pravidelne (automaticky) menene a dostupne iba cez jednu aplikaciu, ktora je auditovana denne security tymom, o pristup treba poziadat s odovodnenim "preco".
Zakaznik sice vlastni/ma prenajate servery a my sme zodpovedni za dostupnost a spravu (vratane SLA), ale pristup k nim ma iba ako obycajny uzivatel + specializovane ucty s nutnymi pravami.
Kedykolvek moze poziadat o upravu/audit nastaveni. To sa aj pravidelne stava, bezny priklad z praxe: "preco ma subor xyz opravnenia 755 ked ma mat iba 644? preco sa logy ukladaju do /logs a nie do /oracle/<SID>/oralogs?" Bud sa to opravi alebo zdovodni.
-
Napadá mne ještě jedno srovnání s autem. Když si koupíte auto, máte snad od BMW garantovaný přístup do řídící jednotky? A vždyť je to přeci taky počítač s CPU, pamětí... dokonce provádí něco jako routing někde na CAN multiplexu...
koupili jste si hotové řešení, takže nas.rat - pokud mám za něco ručit, tak se v tom prostě nemůže nějaký tonda vrtat
-
Nevim proc se nekteri rozciluji, ze jim nechce nekdo dat pristup ke stroji. V nasi firme to delame stejne. Zakaznik si objedna reseni, my jej dodame a pochopitelne nikomu zadna hesla nedavame. Server spravujeme my a nevidime duvod, aby do serveru kdokoliv lozil. Pokud si nejaky, jak pise tady kolega, tonda usmysli, ze chce hesla, ze se chce jen kouknout apod. tak mileho tondu posleme do pr.ele. A kdyz se mu to nelibi, tak se snim smlouva ukonci. Je prece spousta spolecnosti, ktere rady poskytuji rootovska hesla a zadarmo vysvetluji konfiguraci serveru :-). Lidi spadnete na zem! Pokud se vam to nelibi vypovezte smlouvu, nainstalujte si server sami a mate k nemu 100% pristup!!!
-
Nevim proc se nekteri rozciluji, ze jim nechce nekdo dat pristup ke stroji. V nasi firme to delame stejne. Zakaznik si objedna reseni, my jej dodame a pochopitelne nikomu zadna hesla nedavame. Server spravujeme my a nevidime duvod, aby do serveru kdokoliv lozil. Pokud si nejaky, jak pise tady kolega, tonda usmysli, ze chce hesla, ze se chce jen kouknout apod. tak mileho tondu posleme do pr.ele. A kdyz se mu to nelibi, tak se snim smlouva ukonci. Je prece spousta spolecnosti, ktere rady poskytuji rootovska hesla a zadarmo vysvetluji konfiguraci serveru :-). Lidi spadnete na zem! Pokud se vam to nelibi vypovezte smlouvu, nainstalujte si server sami a mate k nemu 100% pristup!!!
:) libi se mi vas pristup takovy smerem k zakaznikovi :D, ale asi jste stejne jako muj dodavatel nepochopil smysl proc hesla pozadujeme :).
-
Nejlepší je na veřejném webu mluvit o klientech jako o tondech a posílat je do ..... Jistě bych se klientem takové skvělé firmy chtěl stát.
-
Nevies o aku firmu ide, takze ziadna ujma nevznika.
Ale suhlasim. Zakaznik si predsa plati za to aby server bezal a nie za to aby do neho liezol. Je nemozne rucit za spolahlivost a stabilitu a pritom davat rootovske heslo na poziadanie. To sa vylucuje. :)
-
Nevies o aku firmu ide, takze ziadna ujma nevznika.
Kdybych poptával obdobnou službu, pečlivě bych si teď zjišťoval, zda nemá potenciální dodavatel takovýto pohled na klienty, abych zrovna na tyto nenarazil. Protože to není jen o jednom člověku, takový přístup nakazí celou firmu.
-
Nejlepší je na veřejném webu mluvit o klientech jako o tondech a posílat je do ..... Jistě bych se klientem takové skvělé firmy chtěl stát.
Přesně, je přeci nesmysl nechat si udělat operaci oční rohovky od nafoukaného specialisty, když je po ruce soused-kamarád, co se na to "taky-cítí" ;D
-
Slo by to tema uzavřít ?
diskutujici resi veci nesouvisejici a uz vubec ne vztahujici se k otazce a ja uz odpovedi dostal.
diky