Ich bin ein Junior-Mitarbeiter in einem Unternehmen (ich bin nicht technisch in Bezug auf die Erfahrung, aber ich bin Junior im Vergleich zu der enormen Menge an Erfahrung, die alle anderen haben, und ich ' Ich war am kürzesten hier.
Einer meiner leitenden Mitarbeiter geht in den Ruhestand und wird etwas vergesslich. Er befolgt oft nicht die Regeln, versteht Sicherheit nicht wirklich und macht einfach sein eigenes Ding. Die Leute übersehen dies, weil er brillant und ein Veteran in der Branche ist und wir ihn alle respektieren.
Heute hat er mir das Root-Passwort per E-Mail an einen der Hauptserver geschickt. Ich weiß, dass ich dieses Passwort nicht haben soll, weil mein Chef in der Vergangenheit speziell Dinge für mich auf dem Server getan hat, anstatt es mir zu geben.
Mir ist bewusst, dass dies ein großes Sicherheitsproblem ist. Abgesehen von der Tatsache, dass ich das Passwort jetzt kenne, wurde es mir auch per E-Mail (!) Gesendet, was an sich schon eine große Sicherheitsverletzung darstellt.
Ich denke, ich sollte meinem Chef davon erzählen, damit er das Passwort ändern kann, aber ich habe Mühe, herauszufinden, wie ich es anstellen soll. Ich möchte nicht als Tattle-Tale rüberkommen. Ich mag meinen Kollegen und ich möchte keine Probleme verursachen, aber in meinen Augen ist dies ein sehr großes Problem, über das mein Chef Bescheid wissen sollte. Ich frage mich, ob dies wirklich eine so große Sache ist, wie ich es mir vorstelle. Mein Kollege schien zu glauben, dass es keine große Sache war.
Meine Frage lautet also: Soll ich diese Angelegenheit zu meinem Chef bringen und wenn ja, wie kann ich meinem Chef von dieser Sicherheitsverletzung erzählen, ohne zu klingen
Weitere Details:
Warum er mir das Passwort gegeben hat:
Meine Mitarbeiter wollte mir Dateien aus seinem Benutzerverzeichnis liefern. Ich schlug vor, dass er (1) sie an einen gemeinsamen Speicherort kopiert oder (2) die Berechtigungen für die Dateien ändert, damit ich sie lesen kann. Er entschied sich dafür, mir das Root-Passwort per E-Mail zu senden, damit ich su verwenden und die Dateien selbst kopieren konnte.
Normalerweise haben die Server Sudo-Zugriff - ich habe Sudo auf einem anderen Server, der weniger kritisch ist - mein Mitarbeiter hätte mir Sudo-Zugriff gewähren können, anstatt mir das Passwort zu geben.
Mir ist bekannt, dass sich das Root-Passwort anmeldet ist eine unsichere Sache. Ich weiß nicht, ob auf dem Server die Root-Kennwortanmeldung aktiviert ist, da ich nie versucht habe, sie zu verwenden. Ich benutze mein Benutzerschlüsselpaar.
Was er über die Eingabe des Passworts gesagt hat:
Ich habe ihn gefragt, ob es in Ordnung ist, dass ich es habe das Passwort, und er sagte "sicher" auf eine Art gewellte Hand. Er schien zu glauben, dass es keine große Sache war. Ich fühle mich auf keinen Fall sehr wohl, weil ich ihm nicht Bericht erstatte und er dafür bekannt ist, dass er die Sicherheit nicht ernst nimmt.
Die IT-Abteilung des Unternehmens
Existiert nicht. Es gab einen Linux-Administrator, aber er ist vor Monaten gegangen. Mein Chef kommt einer IT-Abteilung, die wir haben, am nächsten.