Если администратор увольняется и при этом он имеет id админа, то насколько я понимаю он может иметь доступ к базам удаленно. Правильно ли я понимаю, если да, то как этого можно избежать?
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Если у вас Домина висит голой ж. в инет, тогда - да. Правильнее всего - обеспечить отсутствие доступа к серверу.
Если все-же Домино должен быть открыт в инет явно (веб-сервер). Тогда вначале поменяйте инет пароль в карточке админа. включите проверку пароля в id:
Administration - Configuration - вкладка Securit ставим галочку Check passwords on Notes IDs: Yes
Через некоторое время, как все успокоится, и вы проверите систему на предмет подписанных баз и агентов - передподпишите все, после чего просто переименуйте старый админский аккоунт для нового админа.
Если все-же Домино должен быть открыт в инет явно (веб-сервер). Тогда вначале поменяйте инет пароль в карточке админа. включите проверку пароля в id:
Administration - Configuration - вкладка Securit ставим галочку Check passwords on Notes IDs: Yes
Через некоторое время, как все успокоится, и вы проверите систему на предмет подписанных баз и агентов - передподпишите все, после чего просто переименуйте старый админский аккоунт для нового админа.
1. Сменить публичные ключи.
2. Физически ограничить возможность "удаленно" иметь доступ уволившемуся.
2. Физически ограничить возможность "удаленно" иметь доступ уволившемуся.
oleg7
в секуюрити сервера так же укажи что доступ к нему имеют лишь те, кто есть в АК
естественно когда админа удалишь его запись из АК тоже админ процессами подчисти
на всякий случай внеси его в группы NotAccess и пропиши её тоже в секюрити на запрет - Not access server:
проследи чтобы сервер никому "не доверял в обход АК" - Passthru Use
в секуюрити сервера так же укажи что доступ к нему имеют лишь те, кто есть в АК
естественно когда админа удалишь его запись из АК тоже админ процессами подчисти
на всякий случай внеси его в группы NotAccess и пропиши её тоже в секюрити на запрет - Not access server:
проследи чтобы сервер никому "не доверял в обход АК" - Passthru Use
ToxaRat
Но при увольнении удаляется лишь карточка самого Администратора, но есть еще admin.id, которую нехотят переименовывать, менять пароли и т.д.
Но при увольнении удаляется лишь карточка самого Администратора, но есть еще admin.id, которую нехотят переименовывать, менять пароли и т.д.
? что значит карточка? Вроде были админы Иванов и Петров и юзали один admin.id? Срочно меняйте модель администрирования. У каждого должна быть персональный доступ.
oleg7
но по большому счету и эти все средства фигня
так как правильный админ сольет себе всё АК и сможет вломиться на ваш сервер как под учеткой юзера так и под учеткой филиального сервера и будете вы плакать
поэтому выплатите ему ЗП, вручите подарок и поцелуйте - дабы он на вас зло не держал :ya_lamo:
но по большому счету и эти все средства фигня
так как правильный админ сольет себе всё АК и сможет вломиться на ваш сервер как под учеткой юзера так и под учеткой филиального сервера и будете вы плакать
поэтому выплатите ему ЗП, вручите подарок и поцелуйте - дабы он на вас зло не держал :ya_lamo:
ToxaRat
да у нас в компании никто зло и не держит и ЗП платят все, просто хотелось знать насколько вольно может пользовать админ базами после увольнения и можно ли это присекать.
да у нас в компании никто зло и не держит и ЗП платят все, просто хотелось знать насколько вольно может пользовать админ базами после увольнения и можно ли это присекать.
oleg7
я так смотрю по вашим многочисленным темам, что теперь новым админом будете именно вы?
не проще ли пройти полноценный курс администрирования?
и если админ смышленный то он всегда сможет иметь доступ к вашему серверу
пожалуй исключение составит лишь полная ресертификация всего или завести всё заново
я так смотрю по вашим многочисленным темам, что теперь новым админом будете именно вы?
не проще ли пройти полноценный курс администрирования?
и если админ смышленный то он всегда сможет иметь доступ к вашему серверу
пожалуй исключение составит лишь полная ресертификация всего или завести всё заново
эээ, это если физически доступ к нему будет - в смысле удаленно на порт... но надо быть извращенцем, чтоб периметр не закрывать...
ну если у них эникейщиство развито - тогда да, а реально спец по лотусу к периметру отношения не имеет
Constantin A Chervonenko
Green Team
Удаление записи из АК не обязательно приводит к запрету доступа соотв. юзера к серверу. Если НЕ включена сверка публичных ключей, юзер может аутентифицироваться по ключу сертификатора.
Включение сверки - тоже не панацея (т.к. осложняет доступ для кросс-сертифицированных юзеров). IMHO самый правильный путь - поместить уволенного в AccessDeny-группу
Обучение наступательной кибербезопасности в игровой форме. Начать игру!