アカウント名:
パスワード:
共有サーバーのrootパスワード等は、どうしても複数ユーザーが参照できるようにしておく必要があるのでユーザー認証つきのwikiに書いてますね。wikiはLinuxサーバーで動かしているので、それ自体はEmotetへの感染はないはず。
>どうしても複数ユーザーが参照できるようにしておく必要があるので
それ禁止されました。複数ユーザが区別できるように、個人ごとに独立のアカウントを作成し、それぞれでadministrator権限を付加するようになりました。
root(WindowsならAdministrator)が存在する以上、そいつをどうするかって話だろ。普段の作業は各自のアカウントで管理者権限行使出来るようにしておいてrootを使わないのは当然。
それでもwikiはないな。xlsxにパスワードかけて保存してるのと変わらん。ローカルに入られなくともバックアップとか情報流出とかでやばいじゃん。それともファイルを暗号化するwikiなんてあるのか?
> 普段の作業は各自のアカウントで管理者権限行使出来るようにしておいてrootを使わないのは当然。
ですね。ssh公開鍵認証でログインできるようにしてあり、管理者権限についても有象無象な開発サーバーについては NOPASSWD で sudo できるようにしてあるので、root 以外はパスワード自体が不要です。5分間端末を触らないとスクリーンセーバーを起動して端末のパスワード入力を要求するのがルールになっているのでNOPASSWD でもそれほど危なくはないです。部門サーバーについてはパスワードを設定してあり、sudo 時に一応パスワードを要求するようにしてますが。
なおサーバー類は鍵付きのサーバールームに置き、root でのリモートログインは禁止してあるので、管理者の入れ替わりがあっても root パスワードを変更する必要はなく、サーバールームの入室権限だけ変更すれば問題ありません。
> ローカルに入られなくともバックアップとか情報流出とかでやばいじゃん。
バックアップからの情報流出については、パスワードよりも実データが漏れる方が危険でしょう。バックアップ自体を暗号化しておく手はありますが、結局そのパスワードを複数人で共有する必要があるわけでそのパスワードの管理をどうするかという話に戻ってきてしまいます。管理者の入れ替わりはどうしても避けられないので、共有パスワードのたぐいで頑張るよりもバックアップメディアを安全な場所で管理する方がマシだと判断してます。
> それともファイルを暗号化するwikiなんてあるのか?
ファイルシステム自体を暗号化する手は一応ありますね。でもサーバーの物理防護とソフトウェア防護に注力すれば十分だと考えています。
rootのリモートログイン禁止に加え、suを禁止(もしくはsuを実行できるユーザを厳しく制限)してる、って話ですよね?
管理者の入れ替わりはどうしても避けられないので、共有パスワードのたぐいで頑張るよりもバックアップメディアを安全な場所で管理する方がマシだと判断してます。
他には、n人の内、m人がパスワード認証しないと復元できない、みたいな仕組みはあり得る気がしますね。そんなバックアップソリューションあるのかな? ありそうな気はしますが。
> rootのリモートログイン禁止に加え、suを禁止(もしくはsuを実行できるユーザを厳しく制限)してる、って話ですよね?
はい。PAMの設定でsuできるユーザーをwheelグループに制限しています。sudoできるのもwheelグループ所属のユーザーのみです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
認証つきのwiki (スコア:0)
共有サーバーのrootパスワード等は、どうしても複数ユーザーが参照できるようにしておく必要があるので
ユーザー認証つきのwikiに書いてますね。
wikiはLinuxサーバーで動かしているので、それ自体はEmotetへの感染はないはず。
Re: (スコア:0)
>どうしても複数ユーザーが参照できるようにしておく必要があるので
それ禁止されました。
複数ユーザが区別できるように、個人ごとに独立のアカウントを作成し、それぞれでadministrator権限を付加するようになりました。
Re: (スコア:0)
root(WindowsならAdministrator)が存在する以上、そいつをどうするかって話だろ。
普段の作業は各自のアカウントで管理者権限行使出来るようにしておいてrootを使わないのは当然。
それでもwikiはないな。
xlsxにパスワードかけて保存してるのと変わらん。
ローカルに入られなくともバックアップとか情報流出とかでやばいじゃん。
それともファイルを暗号化するwikiなんてあるのか?
Re:認証つきのwiki (スコア:0)
> 普段の作業は各自のアカウントで管理者権限行使出来るようにしておいてrootを使わないのは当然。
ですね。
ssh公開鍵認証でログインできるようにしてあり、管理者権限についても有象無象な開発サーバーについては NOPASSWD で sudo できるようにしてあるので、root 以外はパスワード自体が不要です。
5分間端末を触らないとスクリーンセーバーを起動して端末のパスワード入力を要求するのがルールになっているので
NOPASSWD でもそれほど危なくはないです。
部門サーバーについてはパスワードを設定してあり、sudo 時に一応パスワードを要求するようにしてますが。
なおサーバー類は鍵付きのサーバールームに置き、root でのリモートログインは禁止してあるので、
管理者の入れ替わりがあっても root パスワードを変更する必要はなく、サーバールームの入室権限だけ
変更すれば問題ありません。
> ローカルに入られなくともバックアップとか情報流出とかでやばいじゃん。
バックアップからの情報流出については、パスワードよりも実データが漏れる方が危険でしょう。
バックアップ自体を暗号化しておく手はありますが、結局そのパスワードを複数人で共有する必要があるわけで
そのパスワードの管理をどうするかという話に戻ってきてしまいます。
管理者の入れ替わりはどうしても避けられないので、共有パスワードのたぐいで頑張るよりも
バックアップメディアを安全な場所で管理する方がマシだと判断してます。
> それともファイルを暗号化するwikiなんてあるのか?
ファイルシステム自体を暗号化する手は一応ありますね。
でもサーバーの物理防護とソフトウェア防護に注力すれば十分だと考えています。
Re:認証つきのwiki (スコア:1)
なおサーバー類は鍵付きのサーバールームに置き、root でのリモートログインは禁止してあるので、
管理者の入れ替わりがあっても root パスワードを変更する必要はなく、サーバールームの入室権限だけ
変更すれば問題ありません。
rootのリモートログイン禁止に加え、suを禁止(もしくはsuを実行できるユーザを厳しく制限)してる、って話ですよね?
管理者の入れ替わりはどうしても避けられないので、共有パスワードのたぐいで頑張るよりも
バックアップメディアを安全な場所で管理する方がマシだと判断してます。
他には、n人の内、m人がパスワード認証しないと復元できない、みたいな仕組みはあり得る気がしますね。
そんなバックアップソリューションあるのかな? ありそうな気はしますが。
Re: (スコア:0)
> rootのリモートログイン禁止に加え、suを禁止(もしくはsuを実行できるユーザを厳しく制限)してる、って話ですよね?
はい。
PAMの設定でsuできるユーザーをwheelグループに制限しています。
sudoできるのもwheelグループ所属のユーザーのみです。