Door Anoniem: Door karma4: Heb je ergens gevonden of een link bij een externe dienstverlener hoe de informatiebeveiliging als geheel ingericht moet worden bijvoorbeeld bij een bank? Of beweerde je nu net dat de installatiecursus van Splunk daarvoor volstaat.
Proest!!! Je maakt met dit soort opmerkingen niet bepaald de indruk ooit in een complexe professionele omgeving gewerkt te hebben, zoals een bank. Natuurlijk beschrijft de installatiehandleiding van welk pakket dan ook niet hoe de informatiebeveiliging van een hele bank moet worden ingericht. Dat zijn complexe organisaties met complexe IT waar het gierend in het honderd loopt als ze zelf de kennis en kunde niet in huis hebben om maatwerk voor hun eigen situatie te maken. Daar haalt men de kennis over hoe ze informatiebeveiliging voor de hele organisatie moeten doen echt niet uit de installatiedocumenten van een softwareleverancier. Het idee is lachwekkend.
Waarom dacht je dat ik die vraag stelde. Het is inderdaad belachelijk dat een enkele externe leverancier waarvan er velen zijn zou gaan voorschrijven hoe de informatiebeveiliging bij een organisatie ingericht moet worden.
Dat is waar je in de praktijk wel tegen aan loopt.
De vraag welke high privileged acties door welk account wanneer onder welke condities uitgevoerd mag worden is er een die je met sudo kan oplossen. Veel te lastig verhaal voor Linux evangelisten als je daar mee aan komt. Voor je het weet krijg je het antwooord om maar naar een Windows server aanpak over te stappen omdat zij het onder linux niet aan kunnen.
De link naar dat SMT blog, daarin zie je dat zelfde terugkomen. Het is een goede dienstverlener en een net blog.
"
Maar de IT-afdeling had een eigen platform, net als de financiële afdeling. Het waren allemaal eilandjes. Wij hebben ons ingezet om alles samen te brengen "Door Anoniem:
Dat klinkt een stuk milder dan wanneer je kritiek hebt op het niet gebruiken van service accounts op Linux, dan kan je ronduit giftig overkomen en is er meteen iets fout met de mentaliteit van iedereen die er iets mee te maken heeft, zo lijkt het dan wel. Vanwaar dat verschil?
Als je voor zo'n vraag als sudo beheer, meerdere gescheiden privileged accounts ontvangen wordt bij de Linux mensen da ze zoiets niet doen, hun OS veilig is en dat de applicatie het zelf maar moet uitzoeken dan wordt het lastig normaal te communiceren. Nog kwalijker is dat dat soort vragen voor samenwerking afgedaan door worden Linux evangelisten om naar een os flaming over te stappen. Vind je het dan vreemd om reacties terug te geven.
Het vriendelijk blijven vragen werkt niet, dus maar wat anders.
Bij Linux is het automatisme dus een service-account, en als je het automatisme niet gebruikt is een service-account het advies. Bij Windows is er om te beginnen helemaal niet zo'n automatisme, afgaande op die pagina, en raden ze het aanmaken van een service-account pas aan onder bepaalde condities.
Op dat deel hebben we enkel nog maar over de installatie (in rest) we moeten nog naar data in transitie.
Er is geen verschil tussen beide OS-sen.
Dat verschil is er duidelijk wel.
Nou minder dan je zo stellig beweert, Ik moest even kijken wat dat WMI nu inhoud. Dat is al het geval als het onderdeel is van een domain (AD meerdere servers). Dan is er nog het onderscheid "ïn-rest" en "in-transitie"
Het "in-rest" deel is wat in llinux naar /opt gaat en onder Windows naar "programfiles"
De"in-transitie"is wat in Linux voor een deel zichtbaar is met "ps -ef" en wat je met Windows onder Services (local system) terugziet. Natuurlijk veel technische details welke verschillen.
Wat gelijk blijft zijn de vragen:
- Wie mag wanneer deze aangekochte software bijwerken en hoe gaat dat met de validaties naar de organisatie
- Als deze aangekochte software draait hoe stel je vast wie waar bij mag en hoe zit dat met shared accounts personal accounts en service accounts met de betrokken achterliggende informatie.
[/quote] Er zijn hele reeksen services aan te wijzen die in Linux-distro's, net als Splunk hier, een service-account aangemaakt krijgen als onderdeel van de installatie. User www-data voor apache, user lp voor cups, user avahi voor avahi, user clamav voor de clamav update daemon, ga zo maar door.
Is er iets mis met voorbeelden die standaard in Linux-distro's zitten?[/quote]Zie hierboven, wat ontbreekt is de complete afstemming naar informatiebeveiliging.
Een standaard installatie setup-enter-enter is dat je het werkend ziet. Daarna begint het pas om het echt veilig te krijgen met de informatie van de organisatie. Neem Splunk, die moet daarna overal bij logs zijn data halen met zeer beperkte rechten (andere service accounts). Als je daarvoor root of database dba rechten gaat gebruiken dan is dat niet best. Het werkt wel met zoveel rechten, er werkt veel te veel wel.