আমাদের সার্ভারগুলির জন্য সুরক্ষা নিরীক্ষক দু'সপ্তাহের মধ্যে নিম্নলিখিতটির দাবি করেছেন:
- সমস্ত সার্ভারে সমস্ত ব্যবহারকারীর অ্যাকাউন্টের জন্য বর্তমান ব্যবহারকারীর নাম এবং প্লেইন-পাঠ্য পাসওয়ার্ডগুলির একটি তালিকা
- গত ছয় মাস ধরে সমস্ত পাসওয়ার্ড পরিবর্তনের একটি তালিকা, আবার সরল-পাঠ্যে
- গত ছয় মাসে "দূরবর্তী ডিভাইসগুলি থেকে সার্ভারে যুক্ত প্রতিটি ফাইলের একটি তালিকা"
- যে কোনও এসএসএইচ কীগুলির সরকারী এবং ব্যক্তিগত কী
- প্রতিবারই একজন ইমেল তাকে প্রেরণ করা হয়েছে যখন ব্যবহারকারী তাদের পাসওয়ার্ড পরিবর্তন করে, এতে সরল পাঠ্যের পাসওয়ার্ড থাকে
আমরা রেড হ্যাট লিনাক্স 5/6 এবং সেন্টস 5 বাক্সে এলডিএপি অনুমোদনের সাহায্যে চালাচ্ছি।
যতদূর আমি অবগত রয়েছি, সেই তালিকার সমস্ত কিছুই পাওয়া অসম্ভব বা অবিশ্বাস্যরকম কঠিন, তবে আমি যদি এই তথ্যটি না সরবরাহ করি তবে আমরা আমাদের অর্থ প্রদানের প্ল্যাটফর্মের অ্যাক্সেস হারাতে এবং একটি রূপান্তরের সময়কালে আয় হারাতে শুরু করি যখন আমরা কোনও স্থানে চলে যাই নতুন পরিষেবা আমি কীভাবে এই তথ্যটি সমাধান বা নকল করতে পারি তার জন্য কোনও পরামর্শ?
সমস্ত সহজ টেক্সট পাসওয়ার্ড পাওয়ার জন্য আমি যেভাবে ভাবতে পারি তা হ'ল প্রত্যেককে তাদের পাসওয়ার্ডটি পুনরায় সেট করতে এবং তারা কী সেট করে সেটি একটি নোট তৈরি করে। এটি পাসওয়ার্ড পরিবর্তনের গত ছয় মাসের সমস্যার সমাধান করে না, কারণ আমি পূর্ববর্তীভাবে এই ধরণের স্টাফ লগ করতে পারি না, সমস্ত দূরবর্তী ফাইল লগ করার ক্ষেত্রেও একই কাজ ঘটে।
সমস্ত সরকারী এবং বেসরকারী এসএসএইচ কীগুলি পাওয়া সম্ভব (বিরক্তিকর হলেও), যেহেতু আমাদের হাতে মাত্র কয়েকটি ব্যবহারকারী এবং কম্পিউটার রয়েছে। যদি না আমি এটি করার সহজ উপায়টি মিস করেছি?
আমি তাকে অনেকবার বুঝিয়েছি যে তিনি যে জিনিসগুলির জন্য জিজ্ঞাসা করছেন তা অসম্ভব। আমার উদ্বেগের জবাবে, তিনি নিম্নলিখিত ইমেলের সাথে প্রতিক্রিয়া জানিয়েছিলেন:
সুরক্ষা নিরীক্ষণের জন্য আমার 10 বছরেরও বেশি অভিজ্ঞতা আছে এবং রেডহাট সুরক্ষা পদ্ধতিগুলি সম্পর্কে সম্পূর্ণ বোঝা রয়েছে, তাই আমি আপনাকে পরামর্শ দিচ্ছি যে কী এবং কী সম্ভব নয় সে সম্পর্কে আপনার সত্যতা যাচাই করে নিন। আপনি বলছেন কোনও সংস্থার কাছে এই তথ্য সম্ভবত থাকতে পারে না তবে আমি শত শত অডিট করেছি যেখানে এই তথ্যটি সহজেই পাওয়া যায়। সমস্ত [জেনেরিক ক্রেডিট কার্ড প্রসেসিং সরবরাহকারী] ক্লায়েন্টদের আমাদের নতুন সুরক্ষা নীতিমালা মেনে চলার প্রয়োজন এবং এই নিরীক্ষণটি সেই নীতিগুলি সঠিকভাবে প্রয়োগ হয়েছে * তা নিশ্চিত করার উদ্দেশ্যে।
* "নতুন সুরক্ষা নীতিগুলি" আমাদের নিরীক্ষণের দুই সপ্তাহ আগে চালু হয়েছিল এবং নীতি পরিবর্তনের আগে ছয় মাসের historicalতিহাসিক লগিংয়ের প্রয়োজন ছিল না।
সংক্ষেপে, আমার প্রয়োজন;
- ছয় মাসের মূল্যবান পাসওয়ার্ডকে "জাল" করার উপায় এবং এটিকে বৈধ দেখাচ্ছে
- ছদ্ম মাসের ইনবাউন্ড ফাইল স্থানান্তর "নকল" করার একটি উপায়
- সমস্ত এসএসএইচ পাবলিক এবং প্রাইভেট কী ব্যবহার করা হচ্ছে তা সংগ্রহ করার একটি সহজ উপায়
যদি আমরা সুরক্ষা নিরীক্ষণ ব্যর্থ করি তবে আমরা আমাদের কার্ড প্রসেসিং প্ল্যাটফর্মের (আমাদের সিস্টেমের একটি গুরুত্বপূর্ণ অংশ) অ্যাক্সেস হারিয়ে ফেলি এবং অন্য কোথাও যেতে আরও দু'সপ্তাহ সময় লাগবে। আমি কতটা খারাপ?
আপডেট 1 (শনিবার 23 তম)
আপনার সমস্ত প্রতিক্রিয়ার জন্য ধন্যবাদ, এটি স্ট্যান্ডার্ড অনুশীলন নয় তা জানতে পেরে আমাকে প্রচুর স্বস্তি হয়।
আমি বর্তমানে পরিস্থিতি ব্যাখ্যা করে তাকে আমার ইমেল প্রতিক্রিয়াটির পরিকল্পনা করছি। আপনারা অনেকে উল্লেখ করেছেন যে, আমাদের পিসিআই মেনে চলতে হবে যা স্পষ্টভাবে জানিয়েছে যে আমাদের কাছে সরল-পাঠ্য পাসওয়ার্ড অ্যাক্সেস করার কোনও উপায় নেই। আমি ইমেলটি লেখা শেষ করার পরে পোস্ট করব। দুর্ভাগ্যক্রমে আমি মনে করি না তিনি কেবল আমাদের পরীক্ষা করছেন; এই জিনিসগুলি এখন কোম্পানির সরকারী সুরক্ষা নীতিতে রয়েছে। আমি অবশ্য চাকাগুলি সেগুলি থেকে সরে যেতে এবং আপাতত পেপালের দিকে রেখেছি।
আপডেট 2 (শনিবার 23 তম)
এটি ইমেলটি আমি খসড়া করেছি, স্টাফ যুক্ত করার / সরানোর / পরিবর্তন করার জন্য কোনও পরামর্শ?
হাই [নাম],
দুর্ভাগ্যক্রমে আমাদের জন্য অনুরোধ করা কিছু তথ্য, প্রধানত সরল-পাঠ্য পাসওয়ার্ড, পাসওয়ার্ডের ইতিহাস, এসএসএইচ কী এবং রিমোট ফাইল লগ সরবরাহের কোনও উপায় নেই। এই বিষয়গুলি কেবল প্রযুক্তিগতভাবেই অসম্ভব নয়, তবে এই তথ্য সরবরাহ করতে সক্ষম হওয়া পিসিআই স্ট্যান্ডার্ডের বিরুদ্ধে এবং ডেটা সুরক্ষা আইন লঙ্ঘন উভয়ই হতে পারে।
পিসিআই প্রয়োজনীয়তা উদ্ধৃত করতে,8.4 শক্তিশালী ক্রিপ্টোগ্রাফি ব্যবহার করে সমস্ত সিস্টেমে সংক্রমণ এবং স্টোরেজ চলাকালীন সমস্ত পাসওয়ার্ড অপঠনযোগ্য রেন্ডার করুন।
আমি আপনাকে আমাদের সিস্টেমে ব্যবহারকারীর নাম এবং হ্যাশ পাসওয়ার্ডের একটি তালিকা, এসএসএইচ পাবলিক কী এবং অনুমোদিত হোস্ট ফাইলের অনুলিপি সরবরাহ করতে পারি (এটি আমাদের সার্ভারের সাথে সংযুক্ত করতে পারে এমন অনন্য ব্যবহারকারীর সংখ্যা নির্ধারণের জন্য আপনাকে যথেষ্ট তথ্য দেবে, এবং এনক্রিপশন পদ্ধতিগুলি ব্যবহার করা হয়েছে), আমাদের পাসওয়ার্ড সুরক্ষা প্রয়োজনীয়তা এবং আমাদের এলডিএপি সার্ভার সম্পর্কে তথ্য কিন্তু এই তথ্যটি সাইট থেকে সরিয়ে নেওয়া হবে না। আমি দৃ strongly়ভাবে আপনাকে পরামর্শ দিচ্ছি যে আপনি আপনার নিরীক্ষণের প্রয়োজনীয়তাগুলি পর্যালোচনা করুন কেননা পিসিআই এবং ডেটা সুরক্ষা আইনের অনুপস্থিতিতে এই অডিটটি পাস করার বর্তমানে আমাদের পক্ষে উপায় নেই।
শুভেচ্ছা,
[আমি]
আমি সংস্থার সিটিও এবং আমাদের অ্যাকাউন্ট ম্যানেজারে সিসি করব, এবং আমি আশা করছি যে সিটিও নিশ্চিত করতে পারে যে এই তথ্য উপলব্ধ নেই। তিনি আমাদের কাছ থেকে কী চাচ্ছেন তা বোঝাতে আমি পিসিআই সুরক্ষা মানক কাউন্সিলের সাথেও যোগাযোগ করব।
আপডেট 3 (26 তম)
আমাদের বিনিময় হওয়া কয়েকটি ইমেল এখানে রয়েছে;
আরই: আমার প্রথম ইমেল;
যেমনটি ব্যাখ্যা করা হয়েছে, কোনও উপযুক্ত প্রশাসকের কাছে এই তথ্যটি যে কোনও সুষ্ঠুভাবে পরিচালিত সিস্টেমে সহজেই পাওয়া উচিত। এই তথ্য সরবরাহ করতে আপনার ব্যর্থতা আমাকে বিশ্বাস করতে পরিচালিত করে যে আপনি আপনার সিস্টেমে সুরক্ষা ত্রুটি সম্পর্কে সচেতন এবং সেগুলি প্রকাশ করার জন্য প্রস্তুত নন। আমাদের অনুরোধগুলি পিসিআই নির্দেশিকাগুলির সাথে মিল রেখে উভয়ই পূরণ করা যায়। শক্তিশালী ক্রিপ্টোগ্রাফির অর্থ কেবলমাত্র ব্যবহারকারীরা ইনপুট দেওয়ার সময় পাসওয়ার্ডগুলি অবশ্যই এনক্রিপ্ট করতে হবে তবে পরে ব্যবহারের জন্য সেগুলি পুনরুদ্ধারযোগ্য বিন্যাসে স্থানান্তরিত করা উচিত।
আমি এই অনুরোধগুলির জন্য কোনও ডেটা সুরক্ষার সমস্যা দেখতে পাচ্ছি না, ডেটা সুরক্ষা কেবল গ্রাহকদের ক্ষেত্রে নয় ব্যবসায়গুলিতে প্রযোজ্য তাই এই তথ্যটিতে কোনও সমস্যা নেই।
শুধু, কি, আমিও পারি না, এমনকি ...
"স্ট্রং ক্রিপ্টোগ্রাফির অর্থ শুধুমাত্র ব্যবহারকারী পাসওয়ার্ড দেওয়ার সময় পাসওয়ার্ডগুলি এনক্রিপ্ট করতে হবে তবে পরে ব্যবহারের জন্য সেগুলি পুনরুদ্ধারযোগ্য বিন্যাসে স্থানান্তরিত করা উচিত" "
আমি এটি ফ্রেম করতে যাচ্ছি এবং আমার দেয়ালে লাগাতে চাই।
আমি কূটনৈতিক হয়ে পড়ে থাকতে বিরক্ত হয়েছি এবং আমার যে প্রতিক্রিয়া পেয়েছি তা দেখানোর জন্য তাকে এই থ্রেডের দিকে পরিচালিত করেছি:
এই তথ্য সরবরাহ করা সরাসরি পিসিআই নির্দেশিকাগুলির বেশ কয়েকটি প্রয়োজনীয়তার বিপরীতে। আমি যে বিভাগটি উদ্ধৃত করেছি তা এমনকি বলেছে
storage
(আমরা ডিস্কে ডেটা কোথায় সঞ্চয় করি তার বোঝা)। আমি সার্ভারফল্ট.কম (সিস-অ্যাডমিন পেশাদারদের জন্য একটি অন-লাইন সম্প্রদায়) এ একটি আলোচনা শুরু করেছিলাম যা একটি বিশাল প্রতিক্রিয়া তৈরি করেছে, সমস্ত এই তথ্য সরবরাহ করে না। নিজেকে পড়তে নির্দ্বিধায়https://serverfault.com/questions/293217/
আমরা আমাদের সিস্টেমে একটি নতুন প্ল্যাটফর্মে চলে এসেছি এবং পরের একদিনের মধ্যে আপনার সাথে আমাদের অ্যাকাউন্ট বাতিল করে দেব তবে আমি চাই আপনি বুঝতে পারছেন যে এই অনুরোধগুলি কতটা হাস্যকর, এবং কোনও সংস্থা পিসিআই নির্দেশিকাগুলি সঠিকভাবে প্রয়োগ করবে না, এই তথ্য সরবরাহ করতে সক্ষম হতে। আমি দৃ strongly়ভাবে আপনাকে পরামর্শ দিচ্ছি যে আপনার সুরক্ষা প্রয়োজনীয়তাগুলি যাতে আপনার গ্রাহকদের মধ্যে কারওরই এটি অনুসারে সক্ষম না হয়।
(আমি আসলে ভুলে গিয়েছিলাম আমি তাকে শিরোনামে একটি বোকা বলেছি, তবে যেমনটি উল্লেখ করা হয়েছে যে আমরা ইতিমধ্যে তাদের প্ল্যাটফর্ম থেকে দূরে সরে যাব যাতে কোনও প্রকৃত ক্ষতি হয় না।)
এবং তার প্রতিক্রিয়ায়, তিনি বলেছেন যে আপনি সম্ভবত কারও কথা জানেন না আপনি কী সম্পর্কে কথা বলছেন:
আমি সেই প্রতিক্রিয়াগুলি এবং আপনার মূল পোস্টের মাধ্যমে বিশদটি পড়েছি, প্রতিক্রিয়াকারীদের সকলকে তাদের সত্য সঠিক হওয়া দরকার। আমি এই শিল্পটিতে সেই সাইটের যে কারও চেয়ে বেশি সময় ধরে ছিলাম, ব্যবহারকারীর অ্যাকাউন্টের পাসওয়ার্ডগুলির একটি তালিকা পাওয়া অবিশ্বাস্যভাবে মৌলিক, আপনার সিস্টেমকে কীভাবে সুরক্ষিত করতে হয় তা শেখার সময় আপনার প্রথম কাজ হওয়া উচিত এবং কোনও সুরক্ষিত অপারেশনের জন্য অপরিহার্য সার্ভার। আপনি যদি সত্যই এই সাধারণ কিছু করার দক্ষতার অভাব বোধ করেন তবে আমি ধরে নিচ্ছি যে আপনার সার্ভারগুলিতে পিসিআই ইনস্টল নেই এটি এই তথ্যটি পুনরুদ্ধার করতে সক্ষম হওয়ায় এটি সফ্টওয়্যারটির একটি প্রাথমিক প্রয়োজনীয়তা। সুরক্ষার মতো কোনও কিছুর সাথে কাজ করার সময় আপনার যদি এই কীভাবে কাজ করে তার কোনও প্রাথমিক জ্ঞান না থাকে তবে আপনাকে এই প্রশ্নগুলি সর্বজনীন ফোরামে জিজ্ঞাসা করা উচিত নয়।
আমি এও বলতে চাই যে আমাকে প্রকাশ করার যে কোনও প্রচেষ্টা, বা [কোম্পানির নাম] দোষী বলে বিবেচিত হবে এবং উপযুক্ত আইনী ব্যবস্থা গ্রহণ করা হবে
আপনি যদি এগুলিকে মিস করেন তবে মূল ইডিয়টিক পয়েন্টগুলি:
- তিনি এখানে অন্য কারও চেয়ে বেশি সুরক্ষিত নিরীক্ষক ছিলেন (তিনি হয় অনুমান করছেন, বা আপনাকে ছুরিকাঘাত করছেন)
- ইউনিক্স সিস্টেমে পাসওয়ার্ডের তালিকা পেতে সক্ষম হওয়া 'বেসিক'
- পিসিআই এখন সফটওয়্যার
- সুরক্ষা সম্পর্কে নিশ্চিত না হলে লোকেরা ফোরাম ব্যবহার করা উচিত নয়
- অনলাইনে তথ্য সম্পর্কিত তথ্য (যার কাছে আমার ইমেল প্রুফ আছে) দায়বদ্ধ
চমৎকার।
পিসিআই এসএসসি তার প্রতিক্রিয়া জানিয়েছে এবং তাকে এবং সংস্থাকে তদন্ত করছে। আমাদের সফ্টওয়্যারটি এখন পেপালের দিকে চলে গেছে যাতে আমরা জানি যে এটি নিরাপদ। আমি প্রথমে আমার কাছে ফিরে আসার জন্য পিসিআইয়ের জন্য অপেক্ষা করতে যাচ্ছি তবে আমি কিছুটা উদ্বেগ পাচ্ছি যে তারা অভ্যন্তরীণভাবে এই সুরক্ষা অনুশীলনগুলি ব্যবহার করছিল। যদি তা হয়, তবে আমার মনে হয় যে এটি আমাদের জন্য একটি বড় উদ্বেগ কারণ আমাদের সমস্ত কার্ড প্রসেসিং তাদের মধ্যে দিয়েছিল। যদি তারা অভ্যন্তরীণভাবে এটি করে থাকে তবে আমি মনে করি কেবলমাত্র দায়িত্বশীল জিনিস হ'ল আমাদের গ্রাহকদের অবহিত করা।
আমি আশা করছি যখন পিসিআই বুঝতে পারে যে এটি কতটা খারাপ তা তারা পুরো সংস্থা এবং সিস্টেম তদন্ত করবে কিন্তু আমি নিশ্চিত নই।
সুতরাং এখন আমরা তাদের প্ল্যাটফর্ম থেকে সরে এসেছি, এবং ধরে নিচ্ছি যে পিসিআই আমার কাছে ফিরে আসার কমপক্ষে কয়েক দিন আগে হবে, কীভাবে তাকে কিছুটা ট্রল করবেন তার কোনও উদ্ভাবনী পরামর্শ? =)
একবার আমি আমার আইনী লোকের কাছ থেকে ছাড়পত্র পেয়েছি (আমি এ সম্পর্কে যে সন্দেহ করি তা আসলেই অবজ্ঞাপূর্ণ তবে আমি দ্বিগুণ চেক করতে চেয়েছিলাম) আমি কোম্পানির নাম, তার নাম এবং ইমেল প্রকাশ করব এবং আপনি যদি চান তবে আপনি তার সাথে যোগাযোগ করে ব্যাখ্যা করতে পারবেন আপনি কেন সমস্ত এলডিএপি ব্যবহারকারী পাসওয়ার্ডের একটি তালিকা পেতে পারেন তার মতো লিনাক্স সুরক্ষার মূল বিষয়গুলি কেন বুঝতে পারছেন না।
সামান্য আপডেট:
আমার "আইনী লোক" পরামর্শ দিয়েছে যে সংস্থাটি প্রকাশ করা সম্ভবত প্রয়োজনের চেয়ে আরও বেশি সমস্যা তৈরি করবে। যদিও আমি বলতে পারি, এটি কোনও প্রধান সরবরাহকারী নয়, তাদের এই পরিষেবাটি ব্যবহার করে 100 জন ক্লায়েন্ট রয়েছে have সাইটটি যখন ছোট ছিল এবং একটু ভিপিএসে চলছিল তখন আমরা প্রাথমিকভাবে এগুলি ব্যবহার শুরু করেছি এবং আমরা পিসিআই পাওয়ার সমস্ত প্রচেষ্টা চালিয়ে যেতে চাইনি (আমরা পেপাল স্ট্যান্ডার্ডের মতো তাদের সীমান্তে পুনর্নির্দেশ করতাম)। কিন্তু যখন আমরা সরাসরি প্রসেসিং কার্ডগুলিতে চলে যাই (পিসিআই প্রাপ্তি এবং সাধারণ জ্ঞান সহ), ডিভস একই সংস্থাকে কেবল একটি আলাদা এপিআই ব্যবহার চালিয়ে যাওয়ার সিদ্ধান্ত নিয়েছে। সংস্থাটি যুক্তরাজ্যের বার্মিংহামে অবস্থিত তাই আমি এখানে সন্দেহ করি যে এখানে যে কেউ আক্রান্ত হবে highly