mboost-dp1
Flickr - bongo vongo
XorpiZ (1) skrev:Jeg skal da være den første til at erkende, at vi er to mand, der bruger samme administratorbruger her. Hvorfor skulle det være et problem? Man bliver jo nødt til at stole på hinanden.
Øh, nej?
Som administrator bliver du nødt til ikke at stole de andre brugere - coadministratorer eller ej.
graynote (3) skrev:Øh, nej?
Som administrator bliver du nødt til ikke at stole de andre brugere - coadministratorer eller ej.
Der er ingen normale brugere, der kender administratorpasswordet - af gode grunde. Men mig og den anden, der laver administration bruger den samme administratorbruger, som er forskellig fra vores normale bruger.
Det er ganske simpelt. Er der lavet nogle ændringer, som jeg ikke kender til, så er det ham, der har lavet dem.
Rasmus064 (5) skrev:Er det en fælles admin bruger de snakker om eller er det ens private bruger?
Vi har alle en privat bruger hos os som vi ikke giver væk, men for at komme på de fleste server skal vi bruge en fælles bruger.
Gør vi det så rigtigt eller det forkert?
Ifølge CA er det åbenbart forkert. Jeg kan bare ikke se problemet i det, må jeg erkende..
Der bør ikke være noget der hedder "fælles admin"-bruger.
Men igen - det kommer an på størrelsen af virksomheden - da man godt hurtigt kan blive paranoid.
Men selv i små virksomheder - med bare et par stykker ansat. forestil dig at du som ejer af virksomheden kommer i clinch med en medarbejder, og er nødt til at fyre ham. Hvis nu vedkommende har administrator rettigheder og bruger jeres fælles "administrator" konto - så kan det ikke bevises om det er ham eller en anden der har pillet/ødelagt noget på systemet.
Derfor én konto pr. person - og giv rettigheder alt efter hvad de skal have lov at pille i.
Men igen - det kommer an på størrelsen af virksomheden - da man godt hurtigt kan blive paranoid.
Men selv i små virksomheder - med bare et par stykker ansat. forestil dig at du som ejer af virksomheden kommer i clinch med en medarbejder, og er nødt til at fyre ham. Hvis nu vedkommende har administrator rettigheder og bruger jeres fælles "administrator" konto - så kan det ikke bevises om det er ham eller en anden der har pillet/ødelagt noget på systemet.
Derfor én konto pr. person - og giv rettigheder alt efter hvad de skal have lov at pille i.
Vi har vores egen bruger, der desuden findes en administrator udgave af, hvor man bare tilføjer et bogstav til det normale brugernavn.
Denne administrator bruger er så kun åbnet for dem der har brug for det og den har individuelle rettigheder, til f.eks. servere.
Det er så også et stort sted jeg arbejder, med langt over 5000 computere.
Jeg vil mene det er den bedste løsning.
Denne administrator bruger er så kun åbnet for dem der har brug for det og den har individuelle rettigheder, til f.eks. servere.
Det er så også et stort sted jeg arbejder, med langt over 5000 computere.
Jeg vil mene det er den bedste løsning.
#7,8
Det er selvfølgelig altid et problem med folk, der vil ind og ødelægge ting. Men det problem vil jo være der uanset, om man har en fælles konto eller ej.
Desuden er det ikke alle folk, der har problemer med tillid. Min chef stoler på mig, og jeg stoler på ham. Hvis der ikke var gensidig tillid, ville jeg finde mig noget andet at lave.
Det er selvfølgelig altid et problem med folk, der vil ind og ødelægge ting. Men det problem vil jo være der uanset, om man har en fælles konto eller ej.
Desuden er det ikke alle folk, der har problemer med tillid. Min chef stoler på mig, og jeg stoler på ham. Hvis der ikke var gensidig tillid, ville jeg finde mig noget andet at lave.
XorpiZ (4) skrev:graynote (3) skrev:Øh, nej?
Som administrator bliver du nødt til ikke at stole de andre brugere - coadministratorer eller ej.
Der er ingen normale brugere, der kender administratorpasswordet - af gode grunde. Men mig og den anden, der laver administration bruger den samme administratorbruger, som er forskellig fra vores normale bruger.
Det er ganske simpelt. Er der lavet nogle ændringer, som jeg ikke kender til, så er det ham, der har lavet dem.
Lad os sige at din coadmin laver et eller andet lort. Selvfølgelig stoler du på ham og hans kendskab, og du tror ikke han ville lave noget lignende, men lad os sige at det sker.
Måske bliver det en lille fejl, der ender i et monumentalt fuckup. Din coadmin går tilbage til instinkterne og prøver at beskytte sig selv og sin familie så han ikke bliver fyret og mister dermed sin indkomst. I har lavet det på samme bruger. Hvordan skal folk finde ud af hvem det er der har gjort det?
Det er bare et eksempel hvor det ikke er godt.
XorpiZ (4) skrev:graynote (3) skrev:Øh, nej?
Som administrator bliver du nødt til ikke at stole de andre brugere - coadministratorer eller ej.
Der er ingen normale brugere, der kender administratorpasswordet - af gode grunde. Men mig og den anden, der laver administration bruger den samme administratorbruger, som er forskellig fra vores normale bruger.
Det er ganske simpelt. Er der lavet nogle ændringer, som jeg ikke kender til, så er det ham, der har lavet dem.
Mit synspunkt:
Hvis ikke fordelene ved at dele adminkonti overstiger ulemperne, så er det rent sikkerhedsmæssigt meget svært at forsvare.
I dit/jeres tilfælde, hvad forhindrer jer så i at bruge hvert jeres login? Hvis ikke der er noget til hinder, så udgør jeres fælleslogin en unødvendig risiko.
Jeg har ved selvsyn set, hvordan rettigheder har spredt sig utilsigtet i en virksomhed, som resultat af (ud)lånte konti - og det kan hurtigt få konsekvenser, der ikke er rare.
#14 exactly..
Ud over det så står der ikke hvilke slags firmaer de har spurgt, en admin på en mindre skole eller lign. er nok ikke ligeså bekymret om sikkerheden som i et firma hvor de designer flydele, eller wtf ever firmaer som har grund til at beskytte data, laver.
reklame stunt, ligeså tåbeligt som de sider der viser en kæmpe popup hvor der står YOU HAVE A VIRUS! CLICK HERE!
(to download spyware)
OT: jubbii man kan få warhammer til mac (mangler de spillere.. jeg troede warhammer var dødt :P)
Ud over det så står der ikke hvilke slags firmaer de har spurgt, en admin på en mindre skole eller lign. er nok ikke ligeså bekymret om sikkerheden som i et firma hvor de designer flydele, eller wtf ever firmaer som har grund til at beskytte data, laver.
reklame stunt, ligeså tåbeligt som de sider der viser en kæmpe popup hvor der står YOU HAVE A VIRUS! CLICK HERE!
(to download spyware)
OT: jubbii man kan få warhammer til mac (mangler de spillere.. jeg troede warhammer var dødt :P)
XorpiZ (13) skrev:#11, 12
Gode pointer. Jeg ville ønske, jeg havde nogle modargumenter, men det kan jeg ikke grave frem, selvom jeg gerne ville.
Jeg trækker mig fra diskussionen og må vel indse, at jeg tog fejl. Damn you!
Stor respekt for din attitude, og vel en af de få gange en bruger på newz.dk ikke går i barnlig mudderkastning-mode, for at slippe for at indrømme en dårlig argumentation.
Jeg tror kun det er 4-5 ud af de 26 kunder vi har i min afdeling, som har krævet at vi har personlige logins.. Resten der har vi fået en fælles admin konto.. Som vi er alt for mange der kender..
Jeg har råbt efter personlige logins, men det virker som om kunderne er ligeglade, for der sker ikke noget :|
Jeg har råbt efter personlige logins, men det virker som om kunderne er ligeglade, for der sker ikke noget :|
#fælles konti
Det er en elementær del af sikkerhed at adgang og actions ogges for audit.
Logning er ikke meget værd hvis ikke et brugernavn matcher en bestemt person.
Derfor er det generelt godt at have forskellige konti.
Hvis man skal sikkerheds certificeres er det normalt nødvendigt at have forskellige konti.
Og som #12 er inde på, så er der i de fleste tilfælde ikke nævneværdige ulemper ved at have forskellige konti.
Det er en elementær del af sikkerhed at adgang og actions ogges for audit.
Logning er ikke meget værd hvis ikke et brugernavn matcher en bestemt person.
Derfor er det generelt godt at have forskellige konti.
Hvis man skal sikkerheds certificeres er det normalt nødvendigt at have forskellige konti.
Og som #12 er inde på, så er der i de fleste tilfælde ikke nævneværdige ulemper ved at have forskellige konti.
Jeg er helt enig i #12 og #19.
Der er efter min mening mest sikkerhed i at have sit eget login, som man ikke deler med andre. Jeg ville ikke have det fedt med at skulle dele mit pass med en på mit arbejde, hvis jeg var systemadministrator, da det jo har et vis ansvar. Der er jo større chance for tvivl om hvem der har gjort hvad på min bruger, hvis jeg ikke er den eneste som har login info til min bruger.
Der er efter min mening mest sikkerhed i at have sit eget login, som man ikke deler med andre. Jeg ville ikke have det fedt med at skulle dele mit pass med en på mit arbejde, hvis jeg var systemadministrator, da det jo har et vis ansvar. Der er jo større chance for tvivl om hvem der har gjort hvad på min bruger, hvis jeg ikke er den eneste som har login info til min bruger.
Fælles login er noget hø, fx.
Mindre virksomhed som ikke skal navngives har en admin konto hvor kodeordet er kendt af 3-4 personer.
Der er problemer med en maskine, men person X er ikke lige på kontoret, han giver kodeordet til en sekretær der lige går ned og genstarter serveren og alt er fint.
Inden for 4 år så har dette password spredt sig rundt til alle og der er blevet sat 5 forskellige ekstra servere op. Nu er det så sådan at hvis der er noget der ikke lige virker så hopper studenter medarbejderen der har (IT på A niveau på HHX) da lige ned og genstarter den server han nu mener er den der er skyld i det hele og når det hele så brager sammen ringer de til konsulenter som så skal bruge tid på at få det op at køre.
Det bryder ganske vidst kun sammen en 2-3 gange om året, men det sker...
En grund admin konto der bruges til at oprette individuelle logins med!
Mindre virksomhed som ikke skal navngives har en admin konto hvor kodeordet er kendt af 3-4 personer.
Der er problemer med en maskine, men person X er ikke lige på kontoret, han giver kodeordet til en sekretær der lige går ned og genstarter serveren og alt er fint.
Inden for 4 år så har dette password spredt sig rundt til alle og der er blevet sat 5 forskellige ekstra servere op. Nu er det så sådan at hvis der er noget der ikke lige virker så hopper studenter medarbejderen der har (IT på A niveau på HHX) da lige ned og genstarter den server han nu mener er den der er skyld i det hele og når det hele så brager sammen ringer de til konsulenter som så skal bruge tid på at få det op at køre.
Det bryder ganske vidst kun sammen en 2-3 gange om året, men det sker...
En grund admin konto der bruges til at oprette individuelle logins med!
Jeg vil da lige siger at vi aldrig har haft problemer med en fælles admin konto. Jeg mener heller ikke at sikkerhedden bliver svækket ved at have en. Dette er også kun omkring intern fjender som ikke er nær så vigtigt som fjender udefra. Personligt ville jeg mene at have flere "små" admin kontorer kan være en større sikkerheds risiko end bare at have en.
#23
Hvorfor? Hvis du har flere kan det altid spores til hvem der har lavet hvilket, og man vil kunne sætte hver konto yderligere op med bestemte rettigheder alt efter hvad brugeren har brug for. Man undgår derved at der er en som kan lave major fuckups, fordi personen kom til at trykke på noget forkert.
Hvorfor? Hvis du har flere kan det altid spores til hvem der har lavet hvilket, og man vil kunne sætte hver konto yderligere op med bestemte rettigheder alt efter hvad brugeren har brug for. Man undgår derved at der er en som kan lave major fuckups, fordi personen kom til at trykke på noget forkert.
Utroligt at man skal læse helt ned til #19, før der er en der har forstået problematikken. Det viser noget om hvor stort problemet er når Newz-læsere ikke kan se problemet.
Problemet er jo ikke kun om man stoler på den person man giver kodeordet.
Man skal jo gerne være istand til at læse en log-fil, og se om den stemmer. Hvis der er noget i log-filen som man ikke har gjort, kan man jo tro det er den anden der kender kodeordet, der har gjort det. Som i "Ahhh, det var nok bare ham den anden der var inde og slette de filer der midt om natten", når de i virkeligheden kunne være en hacker.
Hvis man deler kodeord skal man jo så sidde og læse log-filer sammen. Og når man tænker på hvor mange der i forvejen ikke læser log-filer, så er det nok ret utænkeligt (og dyrt) at administratorerne skal sidde og gøre det sammen.
Problemet er jo ikke kun om man stoler på den person man giver kodeordet.
Man skal jo gerne være istand til at læse en log-fil, og se om den stemmer. Hvis der er noget i log-filen som man ikke har gjort, kan man jo tro det er den anden der kender kodeordet, der har gjort det. Som i "Ahhh, det var nok bare ham den anden der var inde og slette de filer der midt om natten", når de i virkeligheden kunne være en hacker.
Hvis man deler kodeord skal man jo så sidde og læse log-filer sammen. Og når man tænker på hvor mange der i forvejen ikke læser log-filer, så er det nok ret utænkeligt (og dyrt) at administratorerne skal sidde og gøre det sammen.
Efter at have læst tråden her er jeg i hvert fald ikke i tvivl mere om at undersøgelsen viser sandheden. Skræmmende at folk med en stilling som system admin kan vide så lidt/være så ligeglad med sikkerhed som nogle udtrykker her =0
Jeg ville ikke engang dele admin konto på mit lokale net. Jeg kan ikke finde én eneste grund til hvorfor det skulle gøre noget godt. Om jeg skal huske et andet eller det samme login som en anden administrator er da hverken lettere eller sværre for mig eftersom vi stadig kun ville skulle kunne huske ét login. Meningsløst.
...og så undre det nogen hvorfor Hr og fru jensen får virus og andet snavs. Hvem er det lige der skal være et forbillede for dem? Ikke system administratoren på deres arbejde i hvert fald!
Jeg ville ikke engang dele admin konto på mit lokale net. Jeg kan ikke finde én eneste grund til hvorfor det skulle gøre noget godt. Om jeg skal huske et andet eller det samme login som en anden administrator er da hverken lettere eller sværre for mig eftersom vi stadig kun ville skulle kunne huske ét login. Meningsløst.
...og så undre det nogen hvorfor Hr og fru jensen får virus og andet snavs. Hvem er det lige der skal være et forbillede for dem? Ikke system administratoren på deres arbejde i hvert fald!
Dustie (27) skrev:...og så undre det nogen hvorfor Hr og fru jensen får virus og andet snavs. Hvem er det lige der skal være et forbillede for dem? Ikke system administratoren på deres arbejde i hvert fald!
Det var da næsten en flamebait værdigt det der. Du mener simpelthen ikke, at den almene dansker kan lære noget af en systemadmin?
Det er ganske enkelt idioti.
#fælles konti
Hvis man f.eks. kigger på den orange bog fra 1983, så finder man:
level D - ingen security
level C1 - brugeres adgang til objekter er restricted
level C2 - brugeres adgang til objekter er restricted og adgangen er logget
level B1, B2, B3 og A1 - ikke så relevant her
Det er ikke ligefrem nye koncepter vi taler om.
Hvis man f.eks. kigger på den orange bog fra 1983, så finder man:
level D - ingen security
level C1 - brugeres adgang til objekter er restricted
level C2 - brugeres adgang til objekter er restricted og adgangen er logget
level B1, B2, B3 og A1 - ikke så relevant her
Det er ikke ligefrem nye koncepter vi taler om.
arne_v (29) skrev:#28
Det kan de sikkert nok.
Men pointen er relevant nok. En ting er at at antal sysadm faktisk bruger delte konti det, men det er bekymrende at så mange ikke engang mener at det er et problem.
Problemet er, at mange ikke har modtaget undervisning i det vil jeg tro. Jeg har aldrig hørt om, at det skulle være et problem med en fælles adminkonto.
fidomuh (32) skrev:#31
Jeg har heller aldrig faaet undervisning i det, men kan da stadig godt se, at det er en utroligt ringe form for sikkerhed :)
Tjah, det er ikke noget, jeg går og tænker over i hverdagen. Men som jeg skrev tidligere, så er det godt, man kan lære lidt af jer andre herinde. :)
#30
Nyere er ISO 27002.
Selve standarden koster penge. Men der er en summary her:
http://www.iso27001security.com/html/27002.html
Relevante afnit er:
Nyere er ISO 27002.
Selve standarden koster penge. Men der er en summary her:
http://www.iso27001security.com/html/27002.html
Relevante afnit er:
11.5 Operating system access control
Operating system access control facilities and utilities (such as user authentication with unique user IDs and managed passwords, recording use of privileges and system security alarms) should be used. Access to powerful system utilities should be controlled and inactivity timeouts should be applied.
#34
Hehe, men nu naar du er sysadmin, saa er det nok en god ide at begynde paa det :)
Of course, man laerer alle steder fra ! :)
Paatrods af newz.dks lidt brogede, og lidt farvede, brugerskare, saa er der utroligt meget information at hente, baade paa godt og ondt, da :)
Tjah, det er ikke noget, jeg går og tænker over i hverdagen.
Hehe, men nu naar du er sysadmin, saa er det nok en god ide at begynde paa det :)
Men som jeg skrev tidligere, så er det godt, man kan lære lidt af jer andre herinde. :)
Of course, man laerer alle steder fra ! :)
Paatrods af newz.dks lidt brogede, og lidt farvede, brugerskare, saa er der utroligt meget information at hente, baade paa godt og ondt, da :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund