Zobacz wyniki ankiety: Jaki jest poziom bezpieczenstwa (wg danych kryteriow) serwera ktorym administrujesz?

Głosujących
3. Nie możesz głosować w tej sondzie
  • D

    0 0%
  • C1

    0 0%
  • C2

    1 33.33%
  • B1

    1 33.33%
  • B2

    0 0%
  • B3

    1 33.33%
  • A1

    0 0%
Pokaż wyniki 1 do 3 z 3

Temat: Jak bezpieczny jest Twoj serwer - ankieta?

  1. #1
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie Jak bezpieczny jest Twoj serwer - ankieta?

    Witam!

    NA POCZATKU ZAZNACZAM - TO ANKIETA TYLKO DLA ADMINISTRATOROW SERWEROW. DESKTOPY, PLANY/MARZENIA I OPINIE USEROW MNIE NIE INTERESUJA!

    Dla desktopow mozna stworzyc kolejna ankiete jesli beda zainteresowani. Zbieram informacje o serwerach - anonimowo oczywiscie i dosc subiektywnie. Interesuje mnie realna sytuacja a nie poziom bezpieczenstwa do jakiego chcemy dojsc. Prosze aby glosowali tylko administratorzy serwerow a nie uzytkownicy.


    Pytanie

    Jaki jest poziom bezpieczenstwa (wg podanych kryteriow) serwera ktorym administrujesz? Jesli masz wiecej niz jeden serwer, podaj ocene dla najlepszeg z nich (tzn. najbezpieczniejszego).

    Wyjasnienie odpowiedzi
    • Klasa D - systemy tej klasy nie przechodza zadnych testow wiec nie mozna im ufac. Nie powinny przechowywac zadnych istotnych informacji (doslownie poufnych)
    • Klasa C1 - Systemy wymagajace autoryzacji bazujacej na modelu uzytkownika
    • Klasa C2 - Systemy zapewniajace logowanie i auditing na poziomie uzytkownika (per user) i gwarantuja, ze operacje dostepu do plikow mozna zawsze powiazac z uzytkownikiem
    • Klasa B1 - Systemy ktore wymagaja oznaczania wszystkich plikow na poziomach od "Scisle tajne" do "brak klasyfikacji"
    • Klasa B2 - Systemy rozdzielajace normalna obowiazki administratora systemu i zarzadzania bezpieczenstwem tak, ze zarzadzanie bezpieczenstwem wykonywane jest przez osobnego "security officer'a". Wymaga to szyfrowanych kanalow danych i weryfikowalnego testowania procedur bezpieczenstwa
    • Klasa B3 - System zapewniajacy (i wymagajacy) osobna konsole do zatwierdzania dostepu do poszczegolnych plikow i zasobow. Konsola musi byc zabezpieczona a wszystkie opracje na niej logowane
    • Klasa A1 - System klasy B3, ktory przeszedl formalne testy i weryfikacje (w srodowisku produkcyjnym)


    Klasyfikacja oparta o tzw. "Orange Book" :-) Jestem po prostu ciekaw do jakiego poziomu udalo sie Wam doprowadzic swoje systemy. Ja po sporej ilosci problemow z implementacja B1 doszedlem praktycznie do B2, nie posiadajac jednak formalnie udokumentowanej (i zweryfikowanej) procedury testowej - wiec oficjalnie doszedlem do B1. Wiekszosc desktopow na ktorych pracuje to jednak C1 w najlepszym wypadku. Tak wiec moja odpowiedz brzmi B1 z powodow jak wyzej.

    Prosze podawajcie prawdziwe dane - nie zawyzajcie ocen (w moim wypadku az sie prosi o B2 ale nie doszedlem do B2 bo nie spelniam wszystkich warunkow).
    Ostatnio edytowane przez TQM : 07-25-2007 - 14:02
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  2. #2
    Avatar dexter
    dexter jest offline Element wywrotowy
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    Na podstawie opisów jakie podałeś to moje maszynki mają C2.
    Dostęp per user z logowaniem co jaki user zmajstrował

    Jedna rzecz mnie tylko zastanawia odnośnie oceny jaką zaznaczyłem. Chodzi o ssh - po zalogowaniu się user nie jest monitorowany pod kątem odpalanych komend, ale z drugiej strony dostęp do ssh ma tylko admin. Pozostałe usługi (smb ftp cvs) są monitorowane dokładnie tak jak w opisie.

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Przyznam ze jest to dosc skomplikowana sprawa. Nie chodzi tylko o logowanie tego co sie dzieje - kto sie loguje, kto sie laczy i skad oraz za kogo sie podaje. Ja w tym miejscu mam prosty 'exec logging' - uruchomienie kazdego procesu w systemie trafia do loga, tak wiec wiem kto, kiedy, co i jak uruchomil.

    Wszystko fajnie... tylko ilosc zbieranych danych jest powalajaca! Cale szczescie musze to miec tylko na 1 systemie
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. Jak wgrać mape...kod jest wszystko jest a nie działa
    By olixon in forum Systemy radiokomunikacyjne
    Odpowiedzi: 3
    Autor: 07-11-2007, 06:52
  2. jPortal już bezpieczny?
    By axel_pl in forum Hacking
    Odpowiedzi: 0
    Autor: 05-13-2007, 16:33
  3. serwer FTP
    By eryk in forum Hacking
    Odpowiedzi: 7
    Autor: 04-20-2007, 19:11
  4. własny serwer
    By przemek12345 in forum Off Topic
    Odpowiedzi: 3
    Autor: 02-02-2007, 21:07
  5. Brutus - bezpieczny?
    By Guest in forum Hacking
    Odpowiedzi: 6
    Autor: 01-22-2007, 15:51

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj