当管理员离职时...
我们从不喜欢看到同事离职。但在大多数情况下,我们为他们感到高兴,因为他们将迈向更大更好的发展。但有时他们并非自愿离职。那时事情可能会变得...嗯...一团糟。所以在您被委以重任收拾残局之前,为什么不花点时间做好准备呢。
我发现管理员有两种类型——一种是系统的牧羊人,守护系统,培育系统,并将系统以比他们接手时更好的状态归还给雇主;另一种是系统的所有者,嫉妒地守护系统,娇惯系统,并且只有在被迫离开时才不情愿地将系统归还给雇主。正是后一组人会给您带来最多的痛苦和折磨,也是您必须为之准备、预防和密切关注的对象。
虽然事后有很多方法进入系统(我们将简要介绍其中一些方法),但如果您可以避免使用这些工具,那就更好了——为了您、为了系统以及为了您的雇主。第一步是确保制定了政策和程序。这意味着在开始时让人力资源部门参与进来。请记住,人力资源部门的首要任务是保护公司,因此任何有助于他们完成这项任务的事情通常都被认为是好事,特别是如果它包括他们已经依赖的系统。
当新人入职时,您对系统管理员人员进行哪种背景调查?是简单的信用调查吗?应该更深入吗,例如NCIC(或您当地的同等机构)?承包商呢?就我个人而言,我一直认为我们应该有担保,考虑到我们许多人可以访问大量的公司信息。当离职时,离职政策是什么?是否有条款规定,如果在终止合同时没有交出所有相关数据(尤其是root密码),将暂停或扣留最后一笔工资。外包系统或承包商的合同中是否有惩罚条款?
密码恢复方面,非法访问的赔偿如何呢?如果您认为您的公司太小,或者您只是机器中的一个齿轮,不必担心这些问题,请再考虑一下,因为总法律顾问可能会来找您。请记住,在世界许多地方,破解密码或系统是非法的,即使您受雇这样做。有足够的案例法对您不利。因此,请确保提前做好保护措施。
还有许多其他事情可以纳入其中,以确保平稳过渡。当然,其中最重要的一点是确保一个由可信任的人组成的团队知道root密码,并且需要这个团队才能更改密码。这需要更多的硬件和脚本技能,但却是维护密码安全性的更好方法。当然,一旦您设置了root密码,您应该忘记它并制定适当的最小访问权限程序,但我们都知道,在一家有一两个人或两百人的公司中,最佳实践并不总是被遵循。
这就引出了系统的问题。如果您有多台服务器,请帮自己一个忙,使用目录服务。无论是NIS及其衍生产品还是LDAP,如果您现在设置它并完整记录其安装、实施、配置和使用,从长远来看,它将为您节省痛苦和折磨。然后使用它!
但是,尽管您尽了最大的努力和准备,但总有一天,老板和律师(或两位)会拿着令状、逮捕证或授权书(或以上所有)站在您的办公桌前,要求您帮忙清理。除非您真的喜欢翻垃圾,否则这将成为您一生中最糟糕的一天,即使这项任务只需要几分钟。我可以明确地说,除了浏览缓存文件之外,破解系统是我工作中最不愉快的部分。但有时您不得不这样做。这就是您需要工具的地方。
那么您需要什么样的工具呢?嗯,除了螺丝刀,以及各种螺丝批头(我保留了常用尺寸的一字头、十字头和梅花头),您可能还需要一把刀和一把钳子。根据您的部门和设备,您可能还需要电缆压接工具。您还需要一些软件。硬件用于提取。根据您制定的政策,可能需要在进行任何破解之前对主磁盘进行映像。并且根据您的硬件的大小和组成,这可能意味着从机箱中取出磁盘。现在,十年过去了,我们已经取得了长足的进步,几乎任何系统都可以连接到外部TB级或更大的独立USB磁盘,从而减少了从系统中移除核心磁盘的需求,但有些系统仍在服役,您无法直接连接磁盘。了解您在这方面的政策,不要让自己被催促。并记录,记录,记录每一步。当您被传唤到法庭作证时,这将对您有所帮助。(我建议,如果您没有西装,如果您发现自己被要求做这类事情,请确保您可以买一套西装...)。
然后,就是软件。我不会详细介绍破解系统的步骤。抱歉,有很多资源,也有很多方法可以打破僵局。每种情况都不同,但这里有一些一般性建议。首先,确保您拥有您最喜欢的发行版的LiveCD。Fedora、Ubuntu,甚至Knoppix都预装了许多您会发现需要的工具。如果可能,将您的LiveCD写入USB闪存盘并添加额外的软件包,以便在您需要它们时它们就在那里,并且您不必依赖外部互联网连接。根据您被要求访问的系统,最好假设您将无法访问外部世界。所以随身携带。其次,最好有一些Windows工具,例如chntpw等。有很多工具可供选择,它们都可以在Linux上运行,用于执行诸如挂载磁盘、访问和更改密码以及访问和更改注册表之类的任务。您应该知道如何使用它们。最后,我再怎么强调文档的重要性也不为过,记录,记录,记录,不要让自己被催促。
当我们的朋友和同事离开我们时,这令人难过。但这不一定是一场灾难。因为归根结底,我们仍然必须管理系统,如果我们做不到这一点,我们很可能就是下一个离开的人。
后续[20100615]:对于那些对此感兴趣的人,这里有一个我忘记的完美案例。 Terry Childs 基本上挟持了旧金山市,因为他控制了路由器和交换机的密码。他声称他这样做是为了服务于该市。他目前面临5年监禁,尽管如果考虑已服刑期,他可能会很快获释。
