Dodavatel nás nepustí ke konfiguraci

Ivan

Dodavatel nás nepustí ke konfiguraci
« kdy: 10. 10. 2011, 10:55:28 »
dobrý den,

 od dodavatele sluzeb pro nasi spolecnost jsem dostal zajimavou odpoved. Na pozdavek pristupu na freeBSD servery, ktere resi VPN pristupy do firmy.

"Na VPN servery heslo do FreeBSD neposkytneme, je tam konfigurace, kterou léta vyvíjíme a považujeme ji za součást svého know-how. "

netusim jak to chodi ve svete freeBSD, jestli je to opravdu tak unikatni .

diky
Ivan
« Poslední změna: 10. 10. 2011, 11:49:28 od Petr Krčmář »


smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re: FreeBSD
« Odpověď #1 kdy: 10. 10. 2011, 11:04:37 »
Tohle neni vubec o FreeBSD ale o ty lama spolecnosti co vam spravuje sit. Asi bych zvazoval zmenu provozovatele pokud vam odmitaji poskytnout heslo k vasim vlastnim strojum :).

m

Re: FreeBSD
« Odpověď #2 kdy: 10. 10. 2011, 11:12:47 »
jak souvisí to, že vám někdo dá nebo nedá přístup na své stroje, s tím, jaký operační systém na nich běží?

smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re: FreeBSD
« Odpověď #3 kdy: 10. 10. 2011, 11:20:41 »
Rozhodně by bylo dobré si dobře prostudovat jak s nimi máte postavenou smlouvu.

Ivan

Re: FreeBSD
« Odpověď #4 kdy: 10. 10. 2011, 11:38:13 »
Ja tusil ze odpovedi budou podobne. Ja se taky divil kdyz jsem dostal tuto odpoved.
S dodavatelem se uz resi vice veci toto je jen perlicka.

Spis bych potreboval poradit dobrou otazku na dodavatele co tam ma za tak unikatni konfiguraci ? ze nas nechce pustit do nasich stroju. :)



smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #5 kdy: 10. 10. 2011, 12:02:11 »
Jak rikam, zalezi na tom jak je postavena smlouva, nicmene tezko i nekdo muze narokovat na danou konfiguraci know-how, vzhledem k tomu, ze na ruznejch setupech jsou potreba ruzny konfigurace takze to asi tezko zkopirujes a prodas nebo pouzijes jinde a VPN konfiguraci vymyslel nekdo uplne jinej nez ta vase povedena firma :). Uprimne je tohle jednani dosti neprofesionalni a mela by tyhle veci mit osetreny ve smlouve a ne nejakyma prohlasenima.

ondro

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #6 kdy: 10. 10. 2011, 12:37:41 »
to nieje o operacnom systeme ale o zmluve. Ta odpoved je trochu divna lebo by sa nemali odvolavat na know-how ale na zodpovednot za chod vpn Ak je ta firma zodpovedna za chod servera, tak sa musi nejako chranit a hocikomu nevidat pristup na server. Bezna prax je, ze pristup ma len dodavatelska firma, plus mena a hesla su uchovane v trezore firmy a ma k nim pristup len urcita osoba. Tym su chraneny, ze sa im tam nebude hrabat hocikto a tiez aj vy, ze ak sa nieco udeje, tak mate pristup k serverom.

KapitánRUM

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #7 kdy: 10. 10. 2011, 12:56:20 »
Mňo, tohle není až tak zvláštní situace.
Například u nás, pokud máme za servery odpovědnost, žádnou třetí osobu to spravovat také nenecháme. Nikdo není zvědavej, aby se v tom někdo další rejpal.

Chcete zálohu stroje?
Prosím.

Chcete audit nastavení?
Jistě.

Chcete provést nějakou změnu?
Napište nám jakou a my to vyřešíme.

Chcete se v tom rejpat?
Produkční server není místo, kde si můžou hračičkové hrát a DOKUD ZA JEHO CHOD NESEME ZODPOVĚDNOST, tak si hrajte někde jinde.

Tady jde o tu zodpovědnost, nějaký "taškář" si řekne, že tady vylepší tohle, támhle tamto, celé to rozjebe, člověk se nestačí divit, že na serveru je najednou nainstalovaný X-server a spustil si tam web s index.php?zobraz=uvitani.php

Jak říkám, zálohy dáváme, konfigurace se dá vytisknout nebo vytáhnout ze zálohy a upravovat jí, ale heslo ,,aby se v tom dalo rejpat" nikomu (pokud za server neseme odpovědnost) nedáváme.

m

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #8 kdy: 10. 10. 2011, 13:05:22 »
...
Chcete audit nastavení?
Jistě.
...

ten audit nastavení mě zaujal, to je prosím co?

Ivan

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #9 kdy: 10. 10. 2011, 13:07:51 »
Mňo, tohle není až tak zvláštní situace.
Například u nás, pokud máme za servery odpovědnost, žádnou třetí osobu to spravovat také nenecháme. Nikdo není zvědavej, aby se v tom někdo další rejpal.

Chcete zálohu stroje?
Prosím.

Chcete audit nastavení?
Jistě.

Chcete provést nějakou změnu?
Napište nám jakou a my to vyřešíme.

Chcete se v tom rejpat?
Produkční server není místo, kde si můžou hračičkové hrát a DOKUD ZA JEHO CHOD NESEME ZODPOVĚDNOST, tak si hrajte někde jinde.

Tady jde o tu zodpovědnost, nějaký "taškář" si řekne, že tady vylepší tohle, támhle tamto, celé to rozjebe, člověk se nestačí divit, že na serveru je najednou nainstalovaný X-server a spustil si tam web s index.php?zobraz=uvitani.php

Jak říkám, zálohy dáváme, konfigurace se dá vytisknout nebo vytáhnout ze zálohy a upravovat jí, ale heslo ,,aby se v tom dalo rejpat" nikomu (pokud za server neseme odpovědnost) nedáváme.

Diky za odpoved.

Chapu - ale nejsem zrovna clovek co ma potrebu neco vylepsovat :D na blind.

Nejde o to mit moznost se v tom "rejpat" menit konfigurace ci instalovat web server :D.

Proste chci mit pristupy na vsechny zarizeni, ktere jsou v majetku spolecnosti.  Urcite je to i o pristupu, protoze od naseho dodavatele jsem konfiguraci nedostal ani po pul roce :).



smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #10 kdy: 10. 10. 2011, 13:21:38 »
Tak je uplne normalni ze spolecnost chce hesla ke svym zarizenim. Zase se dostavame k tomu, ze je velice jednoduche monitorovat pristupy a zjistit, kdo ze se to vlastne prihlasil pripadne neco upravil ale o to tady nejde. Zas znovu a opakovane, smlouva, smlouva, smlouva.....

KapitánRUM

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #11 kdy: 10. 10. 2011, 15:54:28 »
ten audit nastavení mě zaujal, to je prosím co?

Každé nastavení, které je rozdílné oproti defaultní konfiguraci, musí být někde poznamenáno.
Proč je memory limit pro PHP skripty zvýšený na ....
Proč jsou přístupová práva do toho a toho adresáře jiná ....
Proč proč tu je tenhle program ....
Proč neběží SSH na výchozím portu ....
Proč je v CRON tahle úloha ....
Kdy se provádí zálohy ....
Kdo testoval zálohy ....
Kde jsou uschované zálohy ....
Kdo má přístup k zálohám ....
Kdo vymyslel záložní scénář ....
Kdo vyzkoušel záložní scénář ....
.....

No a pak se rozdělí věci na 3 skupiny.
A) Ty naprosto zásadní, které musí být vždy po stanovenou dobu dokumentovány.
B) Ty důležité, které jsou podstatné pro chod stroje.
C) Ty nedůležité, které lze ignorovat.

My jsme malilinkatá IT firma a je to pro nás běžná věc, ale znám řadu velkých IT firem, které na to kašlou. Počet titulů nesouvisí s tím, jestli to jsou kašpárci nebo ne. Naopak, někdy titul znamená: ,,Pozor, to je šílený geek. Věci ho baví přesně 5 minut, nic nedotahuje a pak zůstane všechno tak na 1/2 cesty." Ale Kvalita lidí bohužel jen málo souvisí s obchodním úspěchem.

Jistě, některé stroje (často VPS) je snazší 1*za1/2 roku přeinstalovat a vycházet z čisté konfigurace. (A díky tomu často vyplave na povrch řada problémů.)

KapitánRUM

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #12 kdy: 10. 10. 2011, 16:02:00 »
Diky za odpoved.
Chapu - ale nejsem zrovna clovek co ma potrebu neco vylepsovat :D na blind.
Nejde o to mit moznost se v tom "rejpat" menit konfigurace ci instalovat web server :D.
Proste chci mit pristupy na vsechny zarizeni, ktere jsou v majetku spolecnosti.  Urcite je to i o pristupu, protoze od naseho dodavatele jsem konfiguraci nedostal ani po pul roce :).

Pokud za to zodpovídají, není důvod abys tam měl přístup.
_______________________________________________________
Když řídíš auto rodičů, taky nenamontuješ volant i na místo spolujezdce, aby ho tvoje mamča
měla taky právo řídit.

_______________________________________________________

Je to jinak, prostě řekni, že chceš audit nastavení a zálohu.
Obnov si to na jiném stroji, porovnej to, prohlédni si to (DŮVĚŘUJ ALE PROVĚŘUJ) a pokud se ti jejich práce nebude líbit, tak je vyměň. Pokud máš pocit, že to zvládneš lépe než oni, tak za to převezmi odpovědnost a spravuj to ty.

Ale ano...smlouva...smlouva...smlouva...

KapitánRUM

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #13 kdy: 10. 10. 2011, 16:11:37 »
Tak je uplne normalni ze spolecnost chce hesla ke svym zarizenim. Zase se dostavame k tomu, ze je velice jednoduche monitorovat pristupy a zjistit, kdo ze se to vlastne prihlasil pripadne neco upravil ale o to tady nejde. Zas znovu a opakovane, smlouva, smlouva, smlouva.....

No to tedy úplně normální není.
A) pokud za to někdo třetí zodpovídá, tak je běžné, aby hesla měl v trezoru jen ředitel

B) možná si to pronajímají jen jako službu, pak nemají právo ani na tu konfiguraci, ale jen na výstup bezpečnostního auditu, tedy pokud jim smlouvu nedělal kašpar co o počítačích ví jen to, že se dají zapnout a nebo pokud nepodepsali nevýhodnou smlouvu

C) monitorování přístupu a změn je H-O-V-A-D-I-N-A (z právního hlediska), když dojde na lámání chleba, každý slušný právník ti takový argument smete ze stolu, takže pak nikdo neodpovídá za nic

D) pokud existuje najatá firma na správu něčeho, není důvod (u Linuxů/BSD), aby kdokoliv třetí měl přístup k heslům. Přístup je pouze k zálohám, ze kterých se dá konfigurace vytáhnout a řvát na dodavatele, aby provedl změny, které jsou nutné. 

smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #14 kdy: 10. 10. 2011, 16:58:47 »
Tak mozna vase firma je natolik benevolentni ze je ochotna riskovat zastaveni pracovniho procesu po odchodu stavajici firmy co to ma na starosti a behem preinstalace veskereho zeleza. Tady nikdo nerika nic o hrabani se v systemu, ale o poskytnuti hesla jako takoveho pro strejcka prihodu. A znova, vsechno to musi bejt kryty smlouvou, smlouvou a smlouvou....