Frage:
Mein Kollege hat mir per E-Mail ein Root-Passwort geschickt, das ich eigentlich nicht haben sollte. Soll ich es meinem Chef sagen, und wenn ja, wie kann ich es sagen, ohne kleinlich zu klingen?
user5621
2017-04-18 23:07:02 UTC
view on stackexchange narkive permalink

Ich bin ein Junior-Mitarbeiter in einem Unternehmen (ich bin nicht technisch in Bezug auf die Erfahrung, aber ich bin Junior im Vergleich zu der enormen Menge an Erfahrung, die alle anderen haben, und ich ' Ich war am kürzesten hier.

Einer meiner leitenden Mitarbeiter geht in den Ruhestand und wird etwas vergesslich. Er befolgt oft nicht die Regeln, versteht Sicherheit nicht wirklich und macht einfach sein eigenes Ding. Die Leute übersehen dies, weil er brillant und ein Veteran in der Branche ist und wir ihn alle respektieren.

Heute hat er mir das Root-Passwort per E-Mail an einen der Hauptserver geschickt. Ich weiß, dass ich dieses Passwort nicht haben soll, weil mein Chef in der Vergangenheit speziell Dinge für mich auf dem Server getan hat, anstatt es mir zu geben.

Mir ist bewusst, dass dies ein großes Sicherheitsproblem ist. Abgesehen von der Tatsache, dass ich das Passwort jetzt kenne, wurde es mir auch per E-Mail (!) Gesendet, was an sich schon eine große Sicherheitsverletzung darstellt.

Ich denke, ich sollte meinem Chef davon erzählen, damit er das Passwort ändern kann, aber ich habe Mühe, herauszufinden, wie ich es anstellen soll. Ich möchte nicht als Tattle-Tale rüberkommen. Ich mag meinen Kollegen und ich möchte keine Probleme verursachen, aber in meinen Augen ist dies ein sehr großes Problem, über das mein Chef Bescheid wissen sollte. Ich frage mich, ob dies wirklich eine so große Sache ist, wie ich es mir vorstelle. Mein Kollege schien zu glauben, dass es keine große Sache war.

Meine Frage lautet also: Soll ich diese Angelegenheit zu meinem Chef bringen und wenn ja, wie kann ich meinem Chef von dieser Sicherheitsverletzung erzählen, ohne zu klingen

Weitere Details:

Warum er mir das Passwort gegeben hat:

Meine Mitarbeiter wollte mir Dateien aus seinem Benutzerverzeichnis liefern. Ich schlug vor, dass er (1) sie an einen gemeinsamen Speicherort kopiert oder (2) die Berechtigungen für die Dateien ändert, damit ich sie lesen kann. Er entschied sich dafür, mir das Root-Passwort per E-Mail zu senden, damit ich su verwenden und die Dateien selbst kopieren konnte.

Normalerweise haben die Server Sudo-Zugriff - ich habe Sudo auf einem anderen Server, der weniger kritisch ist - mein Mitarbeiter hätte mir Sudo-Zugriff gewähren können, anstatt mir das Passwort zu geben.

Mir ist bekannt, dass sich das Root-Passwort anmeldet ist eine unsichere Sache. Ich weiß nicht, ob auf dem Server die Root-Kennwortanmeldung aktiviert ist, da ich nie versucht habe, sie zu verwenden. Ich benutze mein Benutzerschlüsselpaar.

Was er über die Eingabe des Passworts gesagt hat:

Ich habe ihn gefragt, ob es in Ordnung ist, dass ich es habe das Passwort, und er sagte "sicher" auf eine Art gewellte Hand. Er schien zu glauben, dass es keine große Sache war. Ich fühle mich auf keinen Fall sehr wohl, weil ich ihm nicht Bericht erstatte und er dafür bekannt ist, dass er die Sicherheit nicht ernst nimmt.

Die IT-Abteilung des Unternehmens

Existiert nicht. Es gab einen Linux-Administrator, aber er ist vor Monaten gegangen. Mein Chef kommt einer IT-Abteilung, die wir haben, am nächsten.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/57359/discussion-on-question-by-stanri-my-coworker-emailed-me-a-root-password-that-Ich bin).
@stanri Wenn Ihr einziges Ziel darin besteht, das Root-Passwort zu ändern, bitten Sie einfach denjenigen, der es mit Ihnen geteilt hat, es zu erledigen."Danke, dass du mir das für diese Aufgabe mitgeteilt hast. {Boss} hat sich in der Vergangenheit dafür entschieden, es mir nicht zu geben, also glaube ich nicht, dass er möchte, dass ich Zugriff habe. Kannst du bitte das Passwort aktualisieren?"
Meine Frage?Wenn Ihr Chef die einzige IT-Abteilung ist, welche Abteilung hat Ihnen das Passwort gegeben?Und deine Abteilung?Vielleicht pflegt er dich als seinen Ersatz.Das Passwort wurde weder für die Öffentlichkeit noch für Hacker freigegeben, es handelt sich also wirklich nicht um eine große Sicherheitsverletzung.Ich würde ihm sagen, dass ich die Dateien habe und er das Passwort ändern sollte.Nachdem ich mit ihm gesprochen hatte und kein zufriedenstellendes Ergebnis erzielt hatte, konsultierte ich den Chef.
@cybernard Wenn es über unverschlüsselte E-Mails ging, wurde es absolut * für die Öffentlichkeit freigegeben *.Die Öffentlichkeit hat zu diesem Zeitpunkt vielleicht aufgepasst oder nicht, aber es gibt keine Möglichkeit, dies festzustellen.Unabhängig davon, ob das OP das neue kennenlernt, muss dieses Passwort geändert werden.
@Ray Wenn es sich um ein kleines Unternehmen mit einer hochrangigen IT-Person handelt, die sich mit Regeln auskennt und jemandem aus Gründen der Einfachheit ein Root-Passwort gibt, ist der E-Mail-Server möglicherweise vor Ort und verfügt nicht über eine zuverlässige Archivierung von E-Mails.Jeder mit "root" kann also alle E-Mails lesen, die nicht gelöscht wurden. Es ist jedoch möglich, dass E-Mails nicht "für die Öffentlichkeit freigegeben" werden.Eine detailliertere Diskussion gehört jedoch wahrscheinlich zum Austausch von Sicherheitsstapeln.
@david Es ist möglich, dass die Netzwerkarchitektur so eingerichtet ist, dass die E-Mail die Unternehmensserver nie verlassen hat.Doch bis dies bewiesen ist, müssen wir davon ausgehen, dass dies der Fall war.(Und das OP hat es als "per E-Mail (!) An mich" formuliert, was darauf hindeutet, dass dies ein Problem ist.) Außerdem ist es das * root-Passwort *;Auch wenn wir nur paranoid sind, ist hier ein bisschen Paranoia gerechtfertigt.
Verfügt das Unternehmen über Richtlinien oder Verfahren zur versehentlichen Offenlegung eines privilegierten Kontos?Meine persönliche Präferenz für mein Team wäre im Sinne von @tkp.Es war einmal jemand, der die Anwälte unsere IT- und IT-Sicherheitsrichtlinien überarbeiten ließ.Wenn ich jetzt herausfinde, dass jemand eine nicht autorisierte Offenlegung nicht sofort als potenziellen Verstoß gemeldet hat, muss ich ihn aufschreiben und besprechen, warum wir ihn nicht mit den Komplementärinnen gehen lassen sollten.Aber wenn sie interne Alarme auslösen und wir diese Rigamarole machen, sind sie sicher.Befolgen Sie also zuerst Ihre Richtlinien.
Ich weiß nicht, warum Sie sich Sorgen machen, Ihren Chef zu fragen.Sie haben das Root-Passwort.Sie können alles selbst ändern.>;)
Ein Administrator hat meinen Kommentar gelöscht und mir gesagt, ich solle ihn stattdessen in eine Antwort einfügen.Ich habe es jedoch zunächst nur in einen Kommentar eingefügt, da ein Administrator die Frage geschützt hat und ich noch nicht genügend Vertreter in dieser SE-Gruppe habe, um sie zu beantworten, während sie geschützt sind.Könnte jemand bitte die Frage zumindest vorübergehend aufheben, damit ich sie erfüllen kann?Vielen Dank.
Eine Kommentar-Antwort: Ich würde versuchen, eine Situation / ein Gespräch zu schaffen, in der der Kollege die Tatsache erwähnt (oder eine andere, die es offensichtlich macht), dass er Ihnen in Anwesenheit des Chefs das Passwort gegeben hat.Gegenseitiges Vertrauen und einfache Sicherheitsrichtlinien können Teil der Unternehmenskultur sein, und es ist nicht Sache eines Nachwuchses, dies zu beurteilen. Daher sollte man wahrscheinlich versuchen, die Dinge so einzurichten, dass sie sich selbst lösen und klarstellen, ob dies der Fall ist oder nicht.Wenn dies schwer zu implementieren ist, sollte man den Chef fragen, wie er mit den Passwörtern im Unternehmen umgeht, und wenn der Chef nicht "mach es ruhig" sagt - sag es ihm.
Die kleine Firma, der ich gerade helfe, 2 der Buchhaltung, 1 CPA und 2/3 der Mitarbeiter "kennen" das Passwort für den Domain-Administrator.Sie sollten nicht, und ich erklärte ihnen, warum ... Wir werden dies auch rückgängig machen, aber das bedeutet, dass bestimmte Dinge richtig eingerichtet werden müssen, damit Domain Admin nur dann zum Einsatz kommt, wenn dies entscheidend / angemessen ist.In kleinen Organisationen mit nicht existierenden IT-Abteilungen geschieht dies immer wieder, weil die Dinge schnell erledigt werden sollen und die IT nicht wie in Big Corps erwürgt werden kann - Unternehmen wollen X erledigen, nicht vorhandene IT-Mitarbeiter beugen sich vor, um es zu erledigen.
Solche Unternehmen haben keine in Stein gemeißelten Richtlinien.Sie haben kaum Mitarbeiter, die zum Teufel Zeit haben, eine Richtlinie zu besprechen, sie aufzuschreiben, die Leute sie lesen zu lassen, sie zu unterschreiben und sie dann durchzusetzen. Wecken Sie alle auf.
Dreizehn antworten:
Wesley Long
2017-04-18 23:23:06 UTC
view on stackexchange narkive permalink

Erstens ist es ABSOLUT eine große Sache! Alles, was Ihre Datensicherheit gefährden kann, ist eine große Sache. Ihr Unternehmen ist nicht nur für die Haftung der verlorenen / kompromittierten Daten gefährdet, sondern auch für seinen Ruf.

Sie wären äußerst fahrlässig, wenn Sie dies nicht melden würden. Ein Muster von Verstößen ist von ernsthafter Bedeutung.

Versuchen Sie darüber hinaus nicht, festzustellen, warum Ihr Mitarbeiter dies tut. Geben Sie Ihrem Manager nur die Fakten und lassen Sie Ihren Manager damit umgehen, wie er es für richtig hält. Bleib nicht dran. Fragen Sie Ihren Manager nicht nach den "Ergebnissen" Ihrer Informationen. Melden Sie es und kehren Sie zu Ihrer Rolle zurück.

Ihr Manager entscheidet sich möglicherweise nur dafür, das Kennwort zu ändern und "abzuwarten", bis diese Person in den Ruhestand geht.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/57360/discussion-on-answer-by-wesley-long-my-coworker-emailed-me-a-root-password-Das).
Ich würde hinzufügen, dass, wenn das OP dieses Passwort hat und es niemandem sagt, sich das OP in eine prekäre Lage bringt.Wenn diesem Server etwas Schlimmes passiert und eine Überprüfung (möglicherweise durch einen Dritten) erfolgt, ist die Tatsache, dass das OP dies erhalten hat, nicht schwer aufzudecken.Der Verdacht wird nicht nur sofort auf das OP fallen, die Tatsache, dass dies nicht gemeldet wurde, wird selbst ein Problem sein.Sie wollen diese Art von Haftung nicht.
user45269
2017-04-19 01:49:59 UTC
view on stackexchange narkive permalink

KOMMUNIKAT

Sprechen Sie mit dieser Person und fragen Sie sie, WARUM sie Ihnen das Passwort per E-Mail geschickt hat. Nur ein Passwort aus heiterem Himmel per E-Mail zu versenden, scheint ziemlich seltsam.

Dann fragen Sie, ob es für Sie in Ordnung ist, es zu haben - erklären Sie, was Ihr Chef immer für Sie tut - und erklären Sie, dass Sie Sie nicht wollen oder ihn in Schwierigkeiten zu bringen und sicherstellen wollen, dass der Chef damit einverstanden ist.

Wenn Sie WARUM haben, stellen Sie die nächste Frage: "Mir wurde immer gesagt, dass ich aus Sicherheitsgründen keine Passwörter per E-Mail senden soll. Ist das hier sicher?" Warten Sie auf die Antwort. Vielleicht weiß er etwas, was Sie nicht wissen.

Stellen Sie dann die nächste Frage: "Warum verwenden wir überhaupt Root-Passwörter?"

Wenn dieser Typ so brillant ist, wie Sie sagen, hat er möglicherweise eine gültige Antwort auf alle.

Aber am Ende des Tages muss er das Problem beheben (falls es eines gibt), und dies gibt ihm die Möglichkeit, dies zu tun, ohne dass Sie wie ein Tattletale aussehen .

Dies ist der Ansatz, den ich anfangs verfolgen würde, weil er gute Absichten voraussetzt und der Person, die den Fehler gemacht hat, die Möglichkeit bietet, zur Lösung des Problems beizutragen, das der Fehler verursacht hat.Ich ziehe es vor, Probleme so weit wie möglich im Organigramm zu lösen und das Diagramm nur dann nach oben zu verschieben, wenn dies nicht funktioniert.Außerdem würde ich mich bemühen, das Root-Passwort zu ändern, insbesondere wenn ich es tatsächlich nicht wissen soll.Ich möchte meinen Kollegen und die Organisation schützen und unterstützen.
Wenn Sie zum Chef gehen müssen, ist es außerdem viel besser für Sie und Ihren Kollegen, gemeinsam zum Chef zu gehen.Auf diese Weise arbeiten Sie beide zusammen, um ein Problem zu lösen, und betreiben eindeutig keine Politik.
+1.Verbesserung der zwischenmenschlichen Beziehungen bei gleichzeitiger Lösung des Problems.@WayneConrad, zusammen mit dem Chef zu sprechen, ist der perfekte Abschlusspunkt.
Er wollte, dass ich auf einige Dateien in seinem Benutzerverzeichnis zugreife.Ich schlug vor, dass er sie an einem gemeinsamen Ort ablegt oder die Berechtigungen ändert, damit ich auf sie zugreifen kann.Stattdessen schickte er mir das Root-Passwort per E-Mail, damit ich su verwenden konnte.Ich weiß, dass Root-Logins eine schlechte Sicherheit sind, aber zählt das auch für su?
+1.Und darüber hinaus hängt es davon ab, was auf diesem "Hauptserver" lebt.Wenn es sich nur um Ihre Build-Maschine handelt und die Builds alle in VMs ausgeführt werden, ist es wahrscheinlich, dass Sie sich nicht allzu sehr darum kümmern, wer Root-Zugriff darauf hat, solange Sie darauf vertrauen, dass sie nicht überwältigend dumm sind.In diesem Fall hat er jemandem erzählt, den er kennt und dem er vertraut.Und wenn es sich nicht um eine externe E-Mail handelt, hat sie das Gebäude nie verlassen, sodass kein wirkliches Risiko besteht.Wie Sie sagen, gibt es viele Möglichkeiten, wie dies eine No-Big-Deal-Situation sein kann, und ein Nimrod-Neuling, der viel Aufhebens um Manager macht, wird nicht geschätzt.
@stanri - Die Verwendung von su, um eine Root-Shell zu erhalten, ist normalerweise ein Problem.Es liegt jedoch an Ihrer Organisation, ob es sich um ein Problem für Ihre Organisation handelt oder nicht.Ich würde mich mit dem Mann beraten, der es Ihnen gegeben hat - und herausfinden, * WARUM * er nicht glaubt, dass es eine große Sache für Sie ist, es zu wissen und es zu benutzen.Ich würde auch herausfinden, ob es üblich ist, dass die anderen leitenden Angestellten so arbeiten oder nicht.Sobald Sie das * WARUM * kennen, haben Sie bessere Informationen, um ein fundiertes Urteil darüber zu fällen, was als nächstes zu tun ist - insbesondere, wenn der Rest der leitenden Angestellten ebenfalls das Root-Passwort verwendet.
David K
2017-04-18 23:36:22 UTC
view on stackexchange narkive permalink

Lassen Sie Ihren Chef wissen, aber tun Sie es auf eine Weise, die nicht "klappert".

Es gibt einen Unterschied zwischen der Frage "Ist es in Ordnung, dass Bob X gemacht hat?" und "Ist es in Ordnung, wenn ich Y mache (gegebenes X)". Fragen Sie Ihren Chef nach der Erlaubnis für sich , das Root-Passwort zu verwenden. Sie sagten, dass Ihr Chef diese Dinge immer für Sie erledigt, daher lautet die Antwort wahrscheinlich Nein.

Hey Chef, ich habe mich gefragt, ob ich einchecken muss, wenn ich Änderungen vornehmen möchte root auf Server X in der Zukunft, oder kann ich einfach weitermachen und es tun? Bob hat mir das Root-Passwort per E-Mail geschickt, damit ich es selbst machen kann, wenn das einfacher ist.

Dies benachrichtigt Ihren Chef über die Sicherheitsbedrohung, ist aber auch kein Problem mit Ihrem Kollegen. Ihr Chef kann entscheiden, wie ernst er damit umgehen soll (obwohl ich hoffen würde, dass er zumindest das Passwort ändert). Wenn er sich schockiert verhält und Sie auf die Details drängt, können Sie sogar

einwerfen. Ja, ich fand es ziemlich seltsam, weshalb ich Sie danach fragen wollte. P. >

Ich habe meine Stimme zum Besseren (für Sie) geändert und meine Antwort gelöscht, da mir Ihre besser gefallen hat.
Sie gehen davon aus, dass der Chef sicherheitsbewusst genug ist, um in einem Gespräch über nicht verwandte Themen, bei denen ein schwerwiegender Fehler aufgetreten ist, von einer gelegentlichen Seite abzuheben.Dies ist möglicherweise nicht der Fall.Ich denke, dass "wir ein ernstes Sicherheitsproblem haben" nicht etwas ist, bei dem Sie schüchtern sein sollten.
@TRiG Wenn der Chef sich in der Vergangenheit geweigert hat, dem OP das Passwort zu geben, dann würde ich denken, dass sie kompetent genug sind, um "Hey, ich habe das Passwort jetzt" zu erfassen.
Ich bin mit dieser Antwort nicht einverstanden, weil der OP-Sound sich des großen Sicherheitsproblems überhaupt nicht bewusst ist und weil es darauf ankommt, dass der Chef das i punktiert.
Ich würde davon abraten, direkt zu sagen, dass * Bob * das Passwort gesendet hat.Sie können das so vieldeutig wie nötig belassen, es sei denn, der Chef fragt, wer es getan hat, denn wenn es ein ehrlicher Fehler ist, wäre es in Ordnung, solange es angesprochen wird.
Stimmen Sie @njzk2, zu, und Sie haben die Wahl, sich als kompetent (soweit Sie sind) oder als inkompetent auszugeben.Für Ihre eigene Karriere scheint es klüger zu sein, Wissen und Verantwortung zu zeigen, als Unwissenheit vorzutäuschen, um vielleicht Ihrem Kollegen zu helfen.
Muss Bob erwähnt werden, seit er geht?
Dies behebt nicht das Problem, dass das Passwort per E-Mail verschickt wurde.Das ist ein Fehler, der korrigiert werden muss, unabhängig davon, ob der Chef damit einverstanden ist, dass das OP das Passwort hat.
TessellatingHeckler
2017-04-19 23:29:53 UTC
view on stackexchange narkive permalink

Ein kleines Startup mit <10-Mitarbeitern, keinem IT-Personal, keinem Linux-Administrator und allen anderen ist schon viel länger dort? Die Chancen stehen gut, dass alle anderen dieses Passwort ebenfalls kennen und jeder weiß, dass jeder es weiß, und niemand denkt, dass es ernst genug ist, um etwas dagegen zu unternehmen.

Ich bin mir bewusst, dass dies ein großes Sicherheitsproblem ist . Abgesehen von der Tatsache, dass ich das Passwort jetzt kenne, wurde es auch per E-Mail (!) An mich gesendet, was an sich schon eine große Sicherheitsverletzung darstellt.

Verletzung von was speziell? Allgemeine branchenübliche Praktiken, Ihre Unternehmensrichtlinien, spezifische Branchenvorschriften, die Sie einhalten müssen, oder bestimmte Anweisungen Ihres Chefs?

Nur allzu oft kennen zufällige Personen Root-Passwörter, die Domain-Administratorkennwörter und die der anderen Passwörter und alle möglichen. Es scheint ein großes Sicherheitsproblem zu sein - aber die meisten Mitarbeiter sind nicht feindselig und die meisten Unternehmen verstecken keine nuklearen Geheimnisse und meistens geht das Leben weiter. Idealerweise sollten sie regelmäßig als Verfahren gewechselt werden. Wenn sie unvermeidlich auslaufen, gibt es ein begrenztes Zeitfenster, in dem sie schädlich verwendet werden können.

Sie sind als Mitarbeiter eines kleinen Unternehmens in einer vertrauenswürdigen Position. Seien Sie vertrauenswürdig, indem Sie die Dinge, die Sie versehentlich lernen, nicht missbrauchen. Aber auch alle anderen Mitarbeiter, und es wird wahrscheinlich einen großen Sicherheitsfehler erfordern, bevor das Unternehmen so etwas wie "weniger bequeme, sicherere Verfahren rundum" verinnerlicht und durchsetzt.

  • Wenn es sich um eine behördliche Verordnung handelt Compliance-Sache, mit Kunden in Gefahr, Geldstrafen möglich, sagen Sie auf jeden Fall Ihrem Chef. In diesem Fall ist es Ihre Aufgabe, ein kleines Problem zu sein, weil Sie für das Unternehmen arbeiten, nicht für Bob.
  • Wenn es darum geht, Ihren Hintern zu bedecken, falls Ihr Chef herausfindet, dass Sie es wissen und bestraft werden, sagen Sie es auf jeden Fall Ihrem Chef, aber lassen Sie Bob vielleicht aus. " Hey, ich habe um Zugriff auf einige Dateien auf diesem Server gebeten, aber jemand hat mir stattdessen das Root-Passwort gesendet. Ich möchte niemanden in Schwierigkeiten bringen, aber Sie sollten dieses Passwort wahrscheinlich zurücksetzen, wenn ich nicht gemeint bin um es zu wissen ".
  • Wenn es sich um eine Unternehmensrichtlinie handelt, sagen Sie es wahrscheinlich Ihrem Chef. Sie sagen: " Er befolgt oft nicht die Regeln, versteht Sicherheit nicht wirklich und macht nur sein eigenes Ding. Die Leute übersehen dies, weil er brillant und ein Veteran in der Branche ist und wir ihn alle respektieren. "- Nun, wenn jeder weiß, dass Bob in Bezug auf Sicherheit nachlässig ist, dann sind Sie weder ein kleiner Trottel noch werfen Sie ihn unter einen Bus. Sie sind ein Junior, der im Auftrag eines Veteranen kleinere Probleme aufgreift, sie aufräumt und hilft das Unternehmen Deal. Großartig, kein Problem.
  • Wenn es um bewährte Verfahren in der Industrie geht, herzlichen Glückwunsch, Sicherheit ist jetzt Ihre Aufgabe, wenn Sie es wollen, denn offensichtlich will es niemand anderes dort. Schreiben Sie einen kurzen Bericht für Ihren Chef, in dem Sie die Vorzüge von Sudoern, einen gemeinsamen Passwort-Tresor, Auditing, regelmäßige Passwortrotation, niemanden mit Root-Passwörtern usw. preisen. Bieten Sie Korrekturen an und wie Sie diese implementieren würden und wie lange es dauern wird. Boss wird dich mehr mögen. Vielleicht.

Und wenn es darauf ankommt und Sie zwischen Bob (der bald in den Ruhestand geht) und Ihrem Arbeitgeber, der Sie bezahlt, Partei ergreifen müssen und vielleicht noch ein Jahrzehnt dort arbeiten, Ihre Loyalität sollte Ihren Interessen (dh dem Unternehmen) entsprechen. Ärgerlicher Bob ärgert Bob ein bisschen, eine Sicherheitsverletzung, die dazu führt, dass das Unternehmen zusammenbricht, macht alle arbeitslos. Der Ruf, der hinterhältige Junior zu sein, der Passwörter erhält, auf die er keinen Zugriff haben sollte, könnte Ihren Ruf in die Gosse bringen.

[Dies ist ohnehin nicht dazu gedacht, seinen Ansatz zu billigen, sondern ihn in den Kontext eines realen kleinen Unternehmens ohne dedizierte Sicherheitshaltung und Ihrer Rolle als Mitarbeiter für Ihre eigenen Interessen zu stellen anstatt eines Managers oder Direktors].

Xavier J
2017-04-19 18:44:53 UTC
view on stackexchange narkive permalink

Da Sie angegeben haben, dass Ihr Unternehmen nicht einmal über eine IT-Abteilung verfügt, würde ich dies für den spezifischen Kontext sagen, den einige der anderen Antworten nicht zu berücksichtigen scheinen , Sie würden wahrscheinlich Ihre Zeit verschwenden.

Es gibt eine Annahme , auf die Sie Ihre Frage stützen: "Ich weiß, dass ich dieses Passwort nicht haben soll, weil in der In der Vergangenheit hat mein Chef speziell Dinge für mich auf dem Server getan, anstatt sie mir zu geben. " Woher weißt du das? Haben Sie tatsächlich nach dem Grund gefragt, warum Sie das Passwort nicht erhalten haben? Manchmal erledigen vielbeschäftigte Chefs eine Aufgabe selbst, anstatt sich die Zeit zu nehmen, um sicherzustellen, dass ihre Berichte die Dinge richtig machen - in kleinen Läden gibt es nicht immer viele andere Optionen. Und wenn der Chef einen Tag frei haben muss, benötigen andere Mitarbeiter möglicherweise Dinge wie den Zugriff auf ein Verwaltungskonto, um die Dinge zu erledigen.

Das heißt, reagieren Sie nicht so schnell. Lassen Sie die E-Mail dort, wo sie ist. Sie können im Vorbeigehen im Gespräch erwähnen, dass Sie das Passwort für die Box und Ihren Chef haben, wenn er sich wohl fühlt, wenn Sie sich hier und da anmelden und sich um die Dinge kümmern . Machen Sie den anderen nicht zum Schwerpunkt Ihres Gesprächs, denn das ist nicht Ihre Aufgabe. Sie können ein Ja, ein Nein bekommen, oder er kann es aufschieben. Seien Sie bereit, eine dieser Antworten zu akzeptieren.

Halten Sie sich von dem fern, was diese andere Person in Ihrem Job tut, es sei denn, dies steht in Ihrer Jobbeschreibung oder führt zu einem Konflikt mit Ihnen, wenn Sie Ihre Arbeit erledigen.

Ich bin froh, dass du das gepostet hast.Ich denke, dass viele der anderen Antworten den Kontext des OP-Arbeitsplatzes verfehlen und Annahmen treffen, die auf ihren eigenen Wünschen, Überzeugungen und Arbeitsplatzanforderungen beruhen.
+1 für den Hinweis auf den Elefanten im Raum.Ich sehe keine andere Antwort, die die Annahme des OP in Frage stellt, dass er keinen Zugang haben sollte.Ja, das Passwort * in E-Mail * zu haben, ist eine Sicherheitsverletzung, aber ** aus Sicht von OP ist es nur dann eine Sicherheitsverletzung, wenn er glaubt, dass ihm selbst nicht vertraut werden kann. **
TOOGAM
2017-04-19 09:39:44 UTC
view on stackexchange narkive permalink

Gehen Sie nicht davon aus, dass es ein Problem gibt.

Vielleicht erhalten Sie eine Beförderung. (Auch wenn es sich nicht um eine finanzielle Erhöhung oder einen neuen Titel handelt, haben Sie jetzt Zugriff erhalten.) Wenn die Person, die das Unternehmen verlässt, viele erhöhte Verantwortlichkeiten hatte, besteht möglicherweise die Erwartung / Hoffnung, dass die Mitarbeiter verstärkt neue Rollen übernehmen .

Wenn Sie zum Supervisor gehen, gehen Sie nicht darauf ein, dass Sie Zugriff erhalten. Informieren Sie Ihren Vorgesetzten, dass Sie jetzt Zugriff haben. Wenn es ein Problem ist, können Korrekturen vorgenommen werden. Wenn nicht, dann genießen Sie die Tatsache, dass Ihnen dies jetzt anvertraut wurde.

Wenn Sie dies so betrachten, als würden Sie Ihrem Chef von einer Sachlage erzählen, nur damit der Chef nicht unangenehmer überrascht wird , dann muss das nicht wie ein Geschwätz aussehen. Dies bringt einfach jemanden auf den neuesten Stand der Sicherheitseinstellungen. Kein Problem.

Möglicherweise wusste dieser Oldtimer, dass Sie keinen Zugriff hatten. Deshalb wurde das Passwort geteilt. (Wenn er der Meinung wäre, dass Sie Zugriff haben sollten und das Passwort bereits hatten, hätte er es nicht geteilt.) Dies könnte eine beabsichtigte und genehmigte Handlung gewesen sein.

Was den Teil betrifft Je nachdem, wie sicher die E-Mail ist und wie wichtig dieses bestimmte Passwort wirklich ist, kann dies eine große Sache sein oder gar nicht. Wenn Sie höhere Standards haben, erfüllen Sie diese (indem Sie solche E-Mails nicht selbst senden), aber ich empfehle nicht, Ihrem Freund (der Ihnen ein Passwort anvertraut hat) Vorwürfe zu machen, bis Sie die Haltung der Organisation zu dem, was ist oder nicht, bestätigen. t akzeptabler Umgang mit diesen Daten.

Anthony
2017-04-19 05:09:39 UTC
view on stackexchange narkive permalink

Zunächst stimme ich als praktizierender InfoSec-Experte (IT-Prüfer) den verbleibenden Antworten voll und ganz zu.

Sie müssen Ihrem Chef und der IT-Sicherheitsfunktion mitteilen, ob Sie eine

Wie kann ich meinem Chef von dieser Sicherheitsverletzung erzählen, ohne wie eine kleine Geschichte zu klingen?

Sie haben nicht gesagt, welche Inhalte auf dem Server gespeichert sind , ob es vertrauliche Informationen enthält oder ob es sich um einen "Live" -Produktionsserver handelt. Sie wissen auch nicht, ob Ihr Mitarbeiter das ROOT-Passwort per E-Mail an andere nicht autorisierte Mitarbeiter in Ihrem Unternehmen oder an externe Dritte gesendet hat. Im Gegensatz zu Ihnen können andere genau wie Ihr Kollege sein und den Vorfall abwischen.

Beachten Sie jedoch folgende Tatsache: Wer weiß, welche böswillige Absicht ein bestimmter Insider-Mitarbeiter, Konkurrent oder Cyberkrimineller haben kann?

Was kann passieren? Sobald das Root-Passwort aus Sicht der Sicherheits-CIA kompromittiert wurde:

  1. Eine böswillige Person kann nun die vollständige Kontrolle über den Server erlangen und andere überschreiben Von Ihren IT-Mitarbeitern festgelegte Sicherheitseinstellungen.
  2. Er kann vertrauliche Daten löschen / stehlen, die sich möglicherweise auf dem Server befinden ( Verletzung der Integrität ).
  3. Er kann den Server offline schalten und den Zugriff auf legitime Benutzer verweigern ( Verletzung der Verfügbarkeit )
  4. Er kann die Kommunikation abfangen ( Verletzung der Vertraulichkeit )
    5. ol>

    Wenn Sie in einem regulierten Bereich wie dem Gesundheitswesen arbeiten, gelten bestimmte Vorschriften wie HIPPA. Strafen für Vorfälle können schwerwiegend sein. Selbst wenn Ihre Branche nicht reguliert ist, können die Folgen in Form eines verlorenen aktuellen Geschäfts sowie eines potenziellen zukünftigen Geschäfts schwerwiegend sein, wenn der Vorfall mit dem Kennwort Kundendaten offenlegt.

    Um meinen Punkt zusammenzufassen:

    Die Auswirkungen dieses Vorfalls auf die Sicherheit sind weitaus schwerwiegender als die Wahrnehmung, dass Sie ein "Tattle Tell" sind. Wie würden Sie sich fühlen, wenn ein Datenverstoß aufgetreten wäre und Sie Ihrem Manager nicht mitgeteilt hätten, wer die Auswirkungen hätte verringern können ?

Wenn ein Mitarbeiter jedoch physischen Zugriff auf die Server hat und böswillige Absichten hat, ist ein Root-Passwort lediglich eine Unannehmlichkeit.In einem kleinen Unternehmen ist dies häufig der Fall, und den Mitarbeitern wird im Allgemeinen sowieso vertraut.Der "böswillige Angestellte" ist normalerweise eine Sache eines großen Unternehmens.In der Regel hostet der Server auch VMs, die die Arbeit tatsächlich erledigen, und sie haben möglicherweise ihre eigene Sicherheit.Ich sage nicht, dass es kein ernstes Sicherheitsproblem sein könnte, nur dass es nicht * automatisch * eines ist.Leider hat uns das OP nicht genügend Informationen gegeben, um eine bessere Vermutung anstellen zu können.
Mein Unternehmen hat 35 Vollzeitbeschäftigte und etwa 60 Vertragsangestellte.In den letzten 5 Jahren gab es 4 böswillige Mitarbeitervorfälle, darunter einen auf sehr hoher Ebene.Ich wurde tatsächlich angeworben, um seinen Schaden zu reparieren.Sie sind nie zu klein, um das Risiko zu ignorieren.
AnoE
2017-04-20 15:36:52 UTC
view on stackexchange narkive permalink

Obwohl es sich um ein Sicherheitsproblem handelt (erstens, um Ihnen das Root-Passwort zu geben; zweitens, um es per E-Mail zu senden, was an sich nicht sicher ist), muss es kein Problem geben Sie müssen mit Ihrem Chef lösen.

Eine diplomatische und dennoch ethische Lösung für unerwünschte Passwörter lautet: Lernen Sie das Passwort nicht. Dies bedeutet, dass Sie die E-Mails, die Sie erhalten haben, löschen, den Papierkorb Ihres Mail-Systems bereinigen und nicht in Ihren persönlichen Passwort-Safe kopieren. Wenn das Passwort leicht zu merken ist, so dass es schwer aus Ihrem Gehirn zu löschen ist, sollten Sie es niemals verwenden, obwohl Sie es kennen.

Der nächste, ebenso wichtige Schritt besteht darin, den Absender jetzt zuzulassen. Dies kann auf völlig neutrale, "egozentrische" Weise erfolgen: "Ich fühle mich unwohl, wenn ich dieses Root-Passwort habe; ich habe es gelöscht und werde es nicht verwenden. Ich weiß, wen ich kontaktieren muss, wenn ich Zugriff benötige, und werde mit ihnen an diesem Computer arbeiten , wenn nötig. " Wenn sie überhaupt sensibel für Sicherheitsthemen sind, werden sie den Punkt bekommen. Wenn nicht, dann spielt es sowieso keine Rolle. Führen Sie diese Kommunikation auf demselben Medium durch, auf dem Sie das Passwort erhalten haben (antworten Sie einfach auf die E-Mail, die Sie von ihnen erhalten haben, und ersetzen Sie das tatsächliche Passwort offensichtlich durch "***"), um für alle Fälle eine Papierspur zu erhalten.

Ihnen die Schuld zu geben oder es sogar Ihrem Chef zu bringen, scheint ein sicherer Weg zu sein, um danach kein so großartiges soziales Umfeld zu haben, und wird wahrscheinlich gar nichts tun, um die Sicherheit Ihres Chefs zu fördern Ort.

Es gibt einen Grund, warum größere Unternehmen eine separate Einheit (CISO oder ähnliches) haben, um diese Probleme außerhalb der allgemeinen Managementhierarchie zu behandeln.

Malvolio
2017-04-22 20:18:59 UTC
view on stackexchange narkive permalink

Persönliche Anekdotenzeit (weil es immer persönliche Anekdotenzeit ist):

Ich habe ein Unternehmen unter ungünstigen Umständen verlassen. Ich war CTO, also hatte ich natürlich Zugriff auf jedes System. Ein paar Wochen später bemerkte ich, dass mein Benutzername und mein Passwort immer noch in der Produktionsdatenbank funktionierten.

Dies war typisch für das schlampige Verhalten, das dazu führte, dass ich überhaupt ging. Verärgerte Ex-Mitarbeiter sind immer die ersten Verdächtigen, wenn es zu einem Hacking-Angriff kommt, und wenn einer passiert ist, wollte ich nicht, dass jemand sagen kann: "Nun, Malvolio kennt das Passwort immer noch."

Also schickte ich eine unpersönlich formulierte E-Mail an den CEO und forderte ihn auf, sie zu ändern.

Zwei Wochen später überprüfte ich erneut, und sie war nicht geändert worden. Ich habe dem CEO eine noch unpersönlichere E-Mail gesendet, in der ich den Benutzernamen und das Passwort in den Hacker-Nachrichten veröffentlichen würde, wenn mein Passwort innerhalb von 48 Stunden noch funktioniert hätte.

Meine Quellen berichteten, dass der CEO sofort zurückkam rief ein Treffen aller verbleibenden Ingenieure an und befahl, jedes Passwort und jeden Benutzernamen im System zu ändern.

Er war nicht sehr klug.

Aber das wäre kein Gute Lösung in der Situation des OP, obwohl er sich in einer fast prekären Lage befindet wie ich.

Da er nicht kleinlich erscheinen möchte, ist dies der perfekte Zeitpunkt, um sich auf die passive Stimme zu verlassen:

  • das Passwort "wurde verschickt für ihn könnte "
  • die E-Mail" gelesen werden "
  • vielleicht sollte daher das Passwort" geändert werden "
  • und sogar eine neue Richtlinie" könnte verkündet werden "

Es ist keine großartige Prosa, aber es ist gute Politik.

Jay
2017-04-19 09:40:44 UTC
view on stackexchange narkive permalink

Mein erster Gedanke wäre, zu der Person zu gehen, die Ihnen das Passwort gesendet hat, und ihm zu sagen, dass er das wirklich nicht tun sollte. Ich würde keine Notwendigkeit sehen, ihn in Schwierigkeiten mit dem Chef zu bringen. Ihr Kollege hat versucht, Ihnen zu helfen. Es scheint ziemlich schleimig, ihn dem Chef zu melden, weil er bei dem Versuch, Ihnen zu helfen, gegen Regeln verstoßen hat. Wenn ich gedankenlos gegen eine Unternehmensrichtlinie verstoßen habe, als ich versucht habe, einem anderen Mitarbeiter zu helfen, und er mich umgehend abgegeben hat, können Sie sicher sein, dass ich zum letzten Mal etwas für ihn getan habe. Seine nächste Anfrage Ich würde ihm sagen, dass er eine Anfrage über seinen Manager einreichen muss, um über die richtigen Kanäle verarbeitet zu werden.

Sie haben nicht gesagt, welche Art von Informationen sich auf diesem Server befinden. Wenn es etwas ist, das, wenn es kompromittiert wird, Menschen töten oder zumindest das Unternehmen viel Geld kosten könnte, wären energischere Maßnahmen erforderlich, als wenn nur das Archiv der letzten 50 Jahre des Unternehmensnewsletters darauf steht. Ist es ebenfalls ein Server, auf den über das Internet zugegriffen werden kann, oder ist er nur in einem internen Netzwerk verfügbar? Usw.

Dies ist die kleinste Antwort."Wenn ich gegen die Regeln verstoßen habe, sollte es keine Rolle spielen, wenn ich mich an sie halte, dann werde ich mich rächen, indem ich ... SIE AN DIE REGELN HALTE! SICHER KANN NIEMAND DAS AUSHALTEN!"Das ... ist genau das, was Sie tun sollten.Halten Sie Ihren Kollegen an die "richtigen" Kanäle.Durch die Verteilung der Last auf die richtigen Kanäle bleibt eine Struktur oben und fällt nicht herunter.
@TessellatingHeckler, das sehr stark davon abhängt, wie die "Kanäle" angeordnet sind.Die meisten großen Unternehmen haben Labyrinthe, keine Kanäle.Die einzige Möglichkeit, etwas zu tun, besteht in einer oder mehreren kleinen oder großen Umgehungen von "richtigen Kanälen".(Ich habe jedoch in einer einzigen internationalen Organisation gearbeitet, deren Kanäle so gut durchdacht und intelligent und effizient genutzt wurden, dass ihre Umgehung immer ein kurzer Weg zu Problemen war. Aber das ist die Ausnahme in der modernen Welt, nicht die Regel.)
@Wildcard Ich bin anderer Meinung.Wenn die Kanäle schrecklich sind, sollten sie überlaufen.Wenn jede Anfrage zurückkommt "* Genehmigung von der Finanzierung für Einkäufe über 99 USD erforderlich und sie haben einen zweiwöchigen Rückstand *, ist dies * das Feedback, das das Management benötigt, um die Straffung der Kanäle zu rechtfertigen. Auf der anderen Seite" * Kauf abgeschlossen [bisEinen Gefallen mit M --- in Finance ziehen] * "führt zu stotternden Entschuldigungen bei Kunden, wenn ihre" 2-Tage "-Bestellung 2 Wochen dauert, weil" niemand "wusste, dass es Bestechungsgelder und Gefälligkeiten gab, die zum versprochenen Zeitpunkt erforderlich waren, und die HälfteDas Unternehmen, das keinen Gefallen hat, steckt fest
Ich erinnere mich an einen Mitarbeiter, der einst von einem britischen Unternehmen als Berater eingestellt wurde, um bei einem Arbeitskampf zu helfen.Als ihre Gewerkschaft gegen das Management kämpfen wollte, aber nicht bis zum Streik gehen wollte, war eine Taktik, die sie anwendeten, das, was sie "herrschen" nannten.Sie würden alle Unternehmensrichtlinien an den Brief befolgen.Sie ließen die Leute in den Regelbüchern und Richtlinien des Unternehmens nach den dunkelsten und veraltetesten Regeln suchen, und dann folgten sie ihnen rigoros, bis das Management ihren Forderungen nachgab.
@Jay,, das im Militär als "weiße Meuterei" bekannt ist.
@TessellatingHeckler Anscheinend haben Sie noch nie für ein großes Unternehmen oder die Regierung gearbeitet.In großen Organisationen, wenn das obere Management eine Regel oder Richtlinie erstellt und diese Richtlinie sich als völlig unpraktisch und nicht praktikabel erweist und die Arbeiten völlig zusammenfasst, beschweren sich die Mitarbeiter, dass es unmöglich ist, nützliche Arbeit im Rahmen dieser Richtlinie zu leisten, die typische Reaktion vonDas Management soll nicht zugeben, dass sie einen Fehler gemacht und die Richtlinie geändert haben, sondern den Mitarbeitern erklären, warum die Richtlinie eine brillante Idee ist.
Steve Jessop
2017-04-19 15:09:28 UTC
view on stackexchange narkive permalink

Ich denke, ich sollte meinem Chef davon erzählen, damit er das Passwort ändern kann, aber ich habe Mühe, herauszufinden, wie ich es anstellen soll. Ich möchte nicht als Tattle-Tale rüberkommen.

Ich glaube nicht, dass Ihnen gesagt werden muss, dass Ihr Chef es wissen muss: Das Ziel ist lediglich, Sie zu informieren Chef auf eine Weise, die Ihr Kollege nicht als Anruf bei der Polizei wahrnimmt.

Als Erstes müssen Sie erkennen, dass dies möglicherweise nicht möglich ist - wenn er absolut entschlossen ist, beleidigt zu sein, gibt es keine Weg, um Ihren Chef zu sagen und nicht Ihren Kollegen zu beleidigen. Aber das ist sein Pech, (absichtlich oder versehentlich) einen Anreiz für andere zu schaffen, seine Fehler zu verbergen.

Gehen Sie als Nächstes zu Ihrem Kollegen zurück und sagen Sie es ihm (don ' t ihn nicht fragen), dass du leider nicht das Passwort haben darfst, das er dir gerade gegeben hat. Sie wissen das, weil Ihr Chef dieses Passwort kontrolliert und es Ihnen in der Vergangenheit verweigert hat. Also, weil Sie es jetzt wissen: Entweder benötigen Sie die Erlaubnis Ihres Chefs, um das Passwort zu haben, oder das Passwort muss geändert werden. Dies wäre unabhängig davon der Fall, wie es Ihnen gegeben wurde.

Da es Ihnen per E-Mail gegeben wurde, muss höchstwahrscheinlich das Passwort ohnehin geändert werden, auch wenn Sie erhalten die Erlaubnis, es zu wissen. Wenn das betreffende Passwort einen sehr geringen Wert hat und Ihr E-Mail-System einigermaßen sicher ist, kann Ihr Chef dieses Risiko möglicherweise akzeptieren, dies muss jedoch auf eine bestimmte Berechnung zurückzuführen sein. Ein etwas ausgeklügeltes Beispiel: Wenn die Remote-Kennwortanmeldung deaktiviert ist, ist der Computer virtuell (daher kann er sich nicht von einem lokalen Terminal aus anmelden), und Sie waren die einzige Person mit Zugriff auf den Computer, die das Root-Kennwort noch nicht kennt Es besteht möglicherweise kein unmittelbares Risiko, das Root-Passwort in 10-Fuß-Buchstaben an der Seite des Gebäudes zu malen. Aber es ist immer noch keine gute allgemeine Praxis, also könnte Ihr Chef sich dafür entscheiden, das nicht zu tun!

Dies zeigt Ihrem Kollegen das Problem, wie Sie es sehen. Konzentrieren Sie sich entscheidend auf das Problem "Ich weiß, was ich nicht wissen sollte", nicht "Sie haben das getan, was Sie nicht hätten tun sollen", und sprechen Sie nicht über Schuld. Sie könnten dann zwei Lösungen anbieten:

  • Ihr Kollege wendet sich an Ihren Chef, um dies zu klären.
  • Sie erledigen das für ihn und wenden sich selbst an Ihren Chef.

Nun könnte der Kollege an dieser Stelle eine dritte Option anbieten: "Tu nichts und betrüge mich nicht". In diesem Fall können Sie es nicht vermeiden, ihn zu beleidigen, und müssen tun, was Ihr Gewissen vorschreibt, ungeachtet der damit verbundenen Unannehmlichkeiten. Aber wenn er die erste Option wählt, lassen Sie ihn seine eigene Schadensbegrenzung mit Ihrem Chef machen und fragen Sie Ihren Chef einige Zeit später, was das Ergebnis war, soweit es Sie betrifft. Dies dient zwei Zwecken: Sie möchten wissen, wie viel Zugriff Sie auf die Maschine haben, und es hält Ihren Kollegen ehrlich, wenn er aus irgendeinem Grund lieber sagen möchte, dass er sich an Ihren Chef wendet und dies dann tatsächlich nicht tut.

Wenn er die zweite Option wählt (weil er der Meinung ist, dass es keinen Schaden für ihn gibt, wenn Sie zu Ihrem Chef gehen), können Sie zu Ihrem Chef gehen und sich keine Sorgen über die Konsequenzen machen. Wenn Sie Recht haben, dass er kein Interesse an Sicherheit hat, nachlässig ist und seine Position vollständig sichert, dann wird er höchstwahrscheinlich die zweite Option wählen. Wenn er sich versichern möchte, nimmt er möglicherweise das erste.

Möglicherweise möchten Sie auch mit Ihrem Chef die Frage aufgreifen, warum jemand das Root-Passwort überhaupt verwendet. bevorzugt die ordnungsgemäße Verwaltung der Liste der Sudoer. Aber das ist eine separate Aufgabe. Dies ist eine der Ursachen für dieses Problem, aber das Anerkennen räumt das Chaos nicht auf.

Ivan Anishchuk
2017-04-19 16:50:40 UTC
view on stackexchange narkive permalink

Nein, es ist wahrscheinlich in Ordnung. Erwähnen Sie es Ihrem Chef, um zu überprüfen, ob er das Passwort zurücksetzen möchte, nachdem Sie damit fertig sind. Wenn dies nicht der Fall ist, fragen Sie, ob Sie zusätzliche Protokolle befolgen müssen, nachdem Ihre Zugriffsebene erhöht wurde. Die Sache ist, wenn Ihr Mitarbeiter in der Lage war, jemandem das Passwort zu geben, bedeutet dies laxe Sicherheit, unabhängig davon, ob er tatsächlich jemandem wie Ihnen gegeben hat oder nicht.

In einem Sicherheitshinweis sollten Sie Ihre Server neu konfigurieren, damit Der Root-Zugriff wird ohne gemeinsame Nutzung von Kennwörtern verwaltet (ein spezielles Konto mit Sudo-Berechtigungen ist ein gängiges Muster).

Poes Gesetz scheint auf diese Antwort zuzutreffen.
Nun, ich bin mir bewusst, dass mein Rat gegen die meisten Best Practices verstößt.Es ist jedoch so, wie es in vielen kleinen Unternehmen gemacht wird, und OP klingt so, als wäre es ein kleines Unternehmen, keine separate IT-Abteilung oder so, also denke ich, dass es praktisch genug ist (außerdem, solange jeder die Situation kennt und kein Schaden entstehtgetan..).Und ich denke, es ist besser, solche Situationen mit Mechanismen zu verhindern, nicht mit Richtlinien.
@IvanAnishchuk Die Server * sind * für die Verwendung von sudo konfiguriert.Mein Kollege ist kein Administrator, er kannte zufällig das Passwort und gab es mir, anstatt mir Sudo-Zugriff zu gewähren (was er hätte tun können, aber ich weiß nicht, ob er weiß wie).
Mein Punkt war, dass es möglich ist, überhaupt kein Root-Passwort zu haben.Es ist nicht immer optimal, aber manchmal sicherer.
Dennis
2017-04-19 21:17:37 UTC
view on stackexchange narkive permalink

Sie können mit dem Problem der Rassel auf eine Weise umgehen, wie es Manager manchmal tun. Identifizieren Sie "alle", ohne die Person hervorzuheben. Sofern nicht zur Information gedrückt.

Sie : Boss, ich muss "Dateien" vom "Server" kopieren, um meine Aufgabe abzuschließen. Ich finde es, dass ich es selbst tun kann, da ich jetzt im Besitz des Root-Passworts für den Server bin. Wird es für mich in Ordnung sein, meine Dateien zu kopieren?

Boss : Was? OH MEIN GOTT! Passwort?! Sicherheit! Wie?!! Wer hat es getan?!

Sie : Jemand vom Personal hat mir das Passwort gesendet, als ich darum gebeten habe, mir bei meiner Aufgabe zu helfen.

Boss : Wer hat es getan? Es war Bob, nicht wahr? Er macht immer so etwas.

Sie : Ich ziehe es vor, niemanden unter den Bus zu werfen, aber vielleicht darauf hinzuweisen, dass wir im Büro eine Kultur der laxen Sicherheit haben, und ich Ich denke, wir können es verbessern. Das Passwort wurde mir per E-Mail gesendet.

Chef : Sagen Sie es mir trotzdem, sonst verlieren alle.

Sie : Das war es Bob. Bob hat es geschafft. Das Senden eines Klartext-Root-Passworts per E-Mail ist eine große Sache und ein großes Sicherheitsproblem, das das gesamte Unternehmen gefährdet und haftbar macht.

Ich mag es, dass diese Antwort versucht, die Mitarbeiter zu klären und zu schützen, aber wenn mein Chef mich fragt, welcher von ihnen mir ein Passwort geschickt hat, werde ich nur wahrheitsgemäß antworten.Wenn ich nicht weiß, ob ich eine solche Verpflichtung habe, wird er es wahrscheinlich trotzdem herausfinden können (insbesondere wenn es per E-Mail war) und dann würde jeder verlieren.
Ignoriert das Problem mit dem Klartextkennwort in E-Mails.-1
@WIldcard - "Passwort wurde mir per E-Mail gesendet" <- erwähnt es dem Chef, von dem erwartet wird, dass er es besser weiß
Wow, im Ernst?die wenig hilfreiche Antwort auf diese Frage durch Stimmen? Beeindruckend
Dies ist viel zu passiv-aggressiv für ein wichtiges Thema.Was ist, wenn Ihr Chef abgelenkt ist und nicht einmal bemerkt, dass Sie das Root-Passwort haben?Etwas so Wichtiges wie dieses verdient es, explizit genannt zu werden, anstatt zu hoffen, dass jemand Ihre subtilen Hinweise aufgreift.
Wie Chris kommentierte, ist es immer eine schlechte Form, nur auf ein Problem hinzuweisen, anstatt es direkt anzusprechen.Es führt zu Vermutungen, Klatsch und unnötigen Emotionen.
"Sag es mir trotzdem oder jeder wird verlieren" - bist du sicher, dass "Boss" nicht wirklich eine Figur in einer schlecht übersetzten Zelda-Schnittszene ist?


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...