1. Требуются разработчики и тестеры для проекта codebyOS. Требования для участия в проекте: Знание принципов работы ОС на базе Linux; Знание Bash; Крайне желательное знание CPP, Python, Lua; Навыки системного администрирования. Подробнее ...

    Скрыть объявление

Доступ уволенного сотрудника

Тема в разделе "Lotus - Администрирование", создана пользователем oleg7, 26 ноя 2009.

  1. oleg7

    oleg7 Гость

    Репутация:
    0
    Если администратор увольняется и при этом он имеет id админа, то насколько я понимаю он может иметь доступ к базам удаленно. Правильно ли я понимаю, если да, то как этого можно избежать?
     
  2. Gray

    Gray Well-Known Member
    Lotus team

    Репутация:
    0
    Регистрация:
    10 май 2005
    Сообщения:
    94
    Симпатии:
    0
    Если у вас Домина висит голой ж. в инет, тогда - да. Правильнее всего - обеспечить отсутствие доступа к серверу.
    Если все-же Домино должен быть открыт в инет явно (веб-сервер). Тогда вначале поменяйте инет пароль в карточке админа. включите проверку пароля в id:
    Administration - Configuration - вкладка Securit ставим галочку Check passwords on Notes IDs: Yes

    Через некоторое время, как все успокоится, и вы проверите систему на предмет подписанных баз и агентов - передподпишите все, после чего просто переименуйте старый админский аккоунт для нового админа.
     
  3. Klido

    Klido Гость

    Репутация:
    0
    1. Сменить публичные ключи.
    2. Физически ограничить возможность "удаленно" иметь доступ уволившемуся.
     
  4. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Репутация:
    0
    Регистрация:
    6 ноя 2007
    Сообщения:
    3.171
    Симпатии:
    21
    oleg7
    в секуюрити сервера так же укажи что доступ к нему имеют лишь те, кто есть в АК
    естественно когда админа удалишь его запись из АК тоже админ процессами подчисти
    на всякий случай внеси его в группы NotAccess и пропиши её тоже в секюрити на запрет - Not access server:
    проследи чтобы сервер никому "не доверял в обход АК" - Passthru Use
     
  5. oleg7

    oleg7 Гость

    Репутация:
    0
    ToxaRat
    Но при увольнении удаляется лишь карточка самого Администратора, но есть еще admin.id, которую нехотят переименовывать, менять пароли и т.д.
     
  6. Klido

    Klido Гость

    Репутация:
    0
    ? что значит карточка? Вроде были админы Иванов и Петров и юзали один admin.id? Срочно меняйте модель администрирования. У каждого должна быть персональный доступ.
     
  7. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Репутация:
    0
    Регистрация:
    6 ноя 2007
    Сообщения:
    3.171
    Симпатии:
    21
    oleg7
    но по большому счету и эти все средства фигня
    так как правильный админ сольет себе всё АК и сможет вломиться на ваш сервер как под учеткой юзера так и под учеткой филиального сервера и будете вы плакать :rolleyes:
    поэтому выплатите ему ЗП, вручите подарок и поцелуйте - дабы он на вас зло не держал :ya_lamo:
     
  8. oleg7

    oleg7 Гость

    Репутация:
    0
    ToxaRat
    да у нас в компании никто зло и не держит и ЗП платят все, просто хотелось знать насколько вольно может пользовать админ базами после увольнения и можно ли это присекать.
     
  9. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Репутация:
    0
    Регистрация:
    6 ноя 2007
    Сообщения:
    3.171
    Симпатии:
    21
    oleg7
    я так смотрю по вашим многочисленным темам, что теперь новым админом будете именно вы? :rolleyes:
    не проще ли пройти полноценный курс администрирования?
    и если админ смышленный то он всегда сможет иметь доступ к вашему серверу
    пожалуй исключение составит лишь полная ресертификация всего или завести всё заново
     
  10. Klido

    Klido Гость

    Репутация:
    0
    эээ, это если физически доступ к нему будет - в смысле удаленно на порт... но надо быть извращенцем, чтоб периметр не закрывать...
     
  11. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Репутация:
    0
    Регистрация:
    6 ноя 2007
    Сообщения:
    3.171
    Симпатии:
    21
    да всё гораздо проще, погляди на динамику вопросов от oleg7 - как он может защитить перимерт если у них уходит единственный спец по лотусу
    тут всё четко прогназируемо
     
  12. Klido

    Klido Гость

    Репутация:
    0
    ну если у них эникейщиство развито - тогда да, а реально спец по лотусу к периметру отношения не имеет :rolleyes:
     
  13. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member
    Lotus team

    Репутация:
    0
    Регистрация:
    30 май 2006
    Сообщения:
    1.322
    Симпатии:
    4
    Удаление записи из АК не обязательно приводит к запрету доступа соотв. юзера к серверу. Если НЕ включена сверка публичных ключей, юзер может аутентифицироваться по ключу сертификатора.
    Включение сверки - тоже не панацея (т.к. осложняет доступ для кросс-сертифицированных юзеров). IMHO самый правильный путь - поместить уволенного в AccessDeny-группу
     
Загрузка...

Поделиться этой страницей