Dodavatel nás nepustí ke konfiguraci

m

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #15 kdy: 10. 10. 2011, 17:17:49 »
Tak je uplne normalni ze spolecnost chce hesla ke svym zarizenim. Zase se dostavame k tomu, ze je velice jednoduche monitorovat pristupy a zjistit, kdo ze se to vlastne prihlasil pripadne neco upravil ale o to tady nejde. Zas znovu a opakovane, smlouva, smlouva, smlouva.....

....

C) monitorování přístupu a změn je H-O-V-A-D-I-N-A (z právního hlediska), když dojde na lámání chleba, každý slušný právník ti takový argument smete ze stolu, takže pak nikdo neodpovídá za nic

...

já jsem to pochopil tak, že by provozovatel monitoroval přístupy do toho jejich systému (pro kontrolu, že ředitel nezneužívá to, že má heslo v trezoru) a to ten systém přece dělá sám od sebe.


smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #16 kdy: 10. 10. 2011, 17:29:08 »
Je to hovadina asi stejne jako tvrdit o nastaveni VPN ze je tvoje know-how. Kdyz uz jsme u tech prirovnani, tak tvoje analogie s volantem u spolujezdce je uplne mimo. Je to jako kdyby ti tvuj servisak co se ti stara o auto po vymene oleje nebo nejaky oprave v motoru odmitnul vydat klicky s tim, ze je to prece jeho know how, a ze bys to treba mohl okopirovat a priste si udelat sam. A to pri vsi ucte k automechanikum ti na to staci ucnak. S VPNkou uz to asi bude chtit lepsi znalosti.

KapitánRUM

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #17 kdy: 10. 10. 2011, 17:31:05 »
Tak mozna vase firma je natolik benevolentni ze je ochotna riskovat zastaveni pracovniho procesu po odchodu stavajici firmy co to ma na starosti a behem preinstalace veskereho zeleza. Tady nikdo nerika nic o hrabani se v systemu, ale o poskytnuti hesla jako takoveho pro strejcka prihodu. A znova, vsechno to musi bejt kryty smlouvou, smlouvou a smlouvou....

Pokud je to služba, pak na heslo není nárok.
Jinak by heslo měl mít v trezoru v zalepené obálce ředitel, jak je to obvyklé.

m

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #18 kdy: 10. 10. 2011, 18:07:44 »
.. pak je to celkem dobrý business - mít hardware zdarma :)

KapitánRUM

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #19 kdy: 10. 10. 2011, 18:35:01 »
HW dneska vlastně nic moc nestojí.
Úspěšná firma si může dovolit nechat HW "zadarmo".

Příklad:
Náklad na pořízení nějaké GW (PCko) ~5000,-
Měsíční fakturační rámec: 2000,- plus minimální doba trvání smlouvy 24 měsíců
HW se zaplatí nejpozději za 6 měsíců, které dejme tomu nejsou vysloveně ziskové.

To jen my fakturujeme podrobně a pracujeme levně.
Což je v každém případě zásadní chyba a recept na neúspěch.
Nízký zisk = méně peněz na tvorbu image = nižší důvěra zákazníků = méně zákazníků -> nižší zisk + málo peněz na rozvoj. Dneska je potřeba zákazníka ojebat tolik, kolik jen dovolí, aniž by se vztekal, jinak nemáte pořádnou šanci na úspěch.


Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #20 kdy: 10. 10. 2011, 18:39:42 »
Záleží, jestli vám dodali produkt a šlo o jednorázovou záležitost (koupili jste krabici a teď je vaše), nebo jestli máte nějakou smlouvu o podpoře, SLA a oni ručí za dostupnost a funkčnost.

Pokud za to mají ručit, tak je celkem pochopitelné, že nechtějí, aby se v tom někdo z vás hrabal. Jenže jsou tu dvě ale:

1) Argumentovat nějakým know-how je padlé na hlavu. Za to bych jim minimálně pohrozil odchodem konkurenci a taky udělal odstávku a schválně si vytáhl z disku ten jejich „zázrak“ – dost možná by se pak ukázalo, že se nejedná o know-how, ale o nějakou nehoráznou prasárnu, za kterou se stydí a proto nechtějí, abyste ji viděli.

2) Na ty stroje byste měli mít přístup alespoň jako běžný uživatel a měli byste mít právo číst co nejvíc souborů – logy, konfiguráky, snad jen s výjimkou citlivých údajů, jako jsou soukromé klíče (ale těžko předpokládat, že by si chtěl někdo hackovat svůj vlastní server, resp. se za něj vydávat, takže přístup pro čtení byste klidně mohli mít i k nim). Jde o to, abyste mohli dohlížet na práci dodavatele, nebo lépe navrhovat změny (vždycky je lepší říct: „potřebujeme nastavit hodnotu XY v souboru /etc/… protože potřebujeme to a to“ – než na to koukat jako na černou skříňku a nevědět, co pořádně chcete a dlouze se dohadovat s dodavatelem).

Rootovský přístup pro zákazníka i dodavatele (který za to ručí) jde leda při nadstandardních a přátelských vztazích, kdy se lidi vždycky nějak dohodnou, nedělají si naschvály a nesnaží se hodit svoje chyby na toho druhého – u běžných komerčních dodavatelů tenhle přístup moc nefunguje.

Ivan

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #21 kdy: 10. 10. 2011, 18:47:43 »
Diky za odpovedi a podnety

dospeli jsme do situace kdy si dodavatel zabezpeci sve "know-how" a nam da pristupy. Ale vase podnety ted pouziju k nove smlouve.

diky

KapitánRUM

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #22 kdy: 10. 10. 2011, 19:05:39 »
Chtějte:
- aby ředitel měl heslo v zalepené obálce
- zálohy, abyste mohl sám stroj obnovit v případě potřeby (firma odejde/všichni se zabijou v autě a stroj zrovna klekne - tak to obnovíte ze zálohy)
- dokumentaci hlavního nastavení
- dokumentovaný postup toho, jak budete nasazovat nové a vlastní věci
(tj. kdo od nich rozhoduje o tom, jestli je podle jejich názoru na stroj vhodné nainstalovat třeba takový mc)

NECHTĚJTE:
- právo roota, pokud chcete, aby za to ručili

Jeden zákazník taky chtěl heslo roota a bylo mu vyhověno, ale za jakýkoliv problém na stroji si teď už zodpovídá jen sám.

pepazdepa

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #23 kdy: 10. 10. 2011, 22:58:10 »
u nas ma zakaznik pristup ke konfiguraci pres sudo, ale pouze ke cteni. roota samozrejme nema, pac si pronajima sluzbu. ale nekde ma pres sudo prava otocit sambu a cups, pac jim sambu nespravujeme, a obcas je to to legrace - misto restart daji 'stop' a pak zapomenou dat 'start' a divi se "ono to nejede" :-)

karlos

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #24 kdy: 11. 10. 2011, 12:31:05 »
Pritom to jde uplne jednoduse i bez tech prav ten restart. Mam nejaky prostor na weby na serveru znameho. nevim jak to udelal, ale je to tak ze kdyz si pridam konfigurak s novym webem tak si do svyho home nakopcim soubor ktery pojmenuju restart-apache a ono se to do 5 minut udela a poznam to tak ze je ten soubor smazany.

Dusko

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #25 kdy: 11. 10. 2011, 14:26:03 »
Tak to je samozdrejme nesmysl, zakaznikovi nedat pristup, s takovou firmou bych rozvazal spolupraci, pokud zakaznik chce pristup, ja bych mu jej dal, ovsem z dodatkem, ze v ten moment nerucim za vznikle problemy po neodbornem zasahu do konfigurace serveru.

malson

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #26 kdy: 12. 10. 2011, 09:34:37 »
Zcela běžná věc, ani PČR nekoukne na konfigurace aktivních prvků pod správou ČP. OD toho je HelpDesk a nějaké strukturované dotazy.

PM

dobrý den,

 od dodavatele sluzeb pro nasi spolecnost jsem dostal zajimavou odpoved. Na pozdavek pristupu na freeBSD servery, ktere resi VPN pristupy do firmy.

"Na VPN servery heslo do FreeBSD neposkytneme, je tam konfigurace, kterou léta vyvíjíme a považujeme ji za součást svého know-how. "

netusim jak to chodi ve svete freeBSD, jestli je to opravdu tak unikatni .

diky
Ivan

Pavel 'TIGER' Růžička

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #27 kdy: 15. 10. 2011, 17:09:47 »
Bylo tu přirovnání s autem, ne zrovna výstižné, tak to upravím. Když si koupíš nové auto, tak po dobu záruky musíš navštěvovat pouze autorizovaný servis. Když to dáš jinám, záruka padá .... Pokud ručíš za službu, nemůžeš k ní dát heslo .... to by jsi potom byl zaměstancem jednoho zákazníka. Pravda, někde v trezoru, v obálce by být mělo.

smajl

Re: Dodavatel nás nepustí ke konfiguraci
« Odpověď #28 kdy: 16. 10. 2011, 10:24:25 »
V praci mame na starosti spravu serverov pre viacerych vyznamnych zakaznikov. V skratke:
- admin pristup mame povoleny iba cez 'sudo <prikaz>' (povoleny zoznam prikazov),
- zakazany 'sudo su -' (prepnutie na root),
- logy pravidelne archivovane,
- root hesla +- pravidelne (automaticky) menene a dostupne iba cez jednu aplikaciu, ktora je  auditovana denne security tymom, o pristup treba poziadat s odovodnenim "preco".

Zakaznik sice vlastni/ma prenajate servery a my sme zodpovedni za dostupnost a spravu (vratane SLA), ale pristup k nim ma iba ako obycajny uzivatel + specializovane ucty s nutnymi pravami.
Kedykolvek moze poziadat o upravu/audit nastaveni. To sa aj pravidelne stava, bezny priklad z praxe: "preco ma subor xyz opravnenia 755 ked ma mat iba 644? preco sa logy ukladaju do /logs a nie do /oracle/<SID>/oralogs?" Bud sa to opravi alebo zdovodni.

Xjmeno363llkmlk

Napadá mne ještě jedno srovnání s autem...
« Odpověď #29 kdy: 16. 10. 2011, 16:56:16 »
Napadá mne ještě jedno srovnání s autem. Když si koupíte auto, máte snad od BMW garantovaný přístup do řídící jednotky? A vždyť je to přeci taky počítač s CPU, pamětí... dokonce provádí něco jako routing někde na CAN multiplexu...

koupili jste si hotové řešení, takže nas.rat - pokud mám za něco ručit, tak se v tom prostě nemůže nějaký tonda vrtat