Ciao. Senza entrare nel merito degli obblighi, che rientrano nella tipologia di contratto che ha il sistemista, sicuramente può cercare di far capire la pericolosità della situazione. Io personalmente avrei creato account individuali che potessero anche diventare amministratori completi dopo il login. In questo modo si può tracciare chi è realmente la persona che opera da admin e si rispetta il principio di sicurezza che non si opera mai da root/admin su un server.
Archimede D'Agostino Il lunedì 16 marzo 2015, Rodolfo Vardelli <[email protected]> ha scritto: > Buongiorno, > mio primo messaggio su lex su una situazione particolare. > > Sistemista amministratore di sistemi in una piccola azienda (meno di 15 > dip) > > L'amministratore gli chiede esplicitamente di consegnare le password > di gestione dei sistemi. > > Su quei sistemi esiste solamene l'account root/administrator. > > Il sistemista consegna le password di sistema (quindi quelle di root > administrator) via email > alle persone indicate dall'amministratore. > Nel msg indica di non avere altri account su quelle macchine e "cede" > la gestione dei sistemi. > > Come dovrebbe comportarsi questa persona? > Di chi è la responsabilità se su quelle macchine succede qualcosa? > Puo' rifiutarsi di intervenire su quelle macchine se non gli vengono > fornite credenziali nuove/diverse dalle preesistenti? > E' obbligato a fare da "insegnante" alle persone alle quali ha passato > le credenziali? > > Un avvocato è stato sentito, e secondo l'avvocato questa persona deve > eseguire qualsiasi ordine gli venga impartito compreso quello di > intervenire conaccount condivisi. E' il comportamento corretto da > tenere? > > Ringrazio chiunque voglia esprimere il proprio pensiero. > > Rodolfo > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
