[CQR]

Доступы на сервер сторонним людям

При сотрудничестве с программистами, верстальщиками, даже копирайтерами на удалёнке мы подвергаемся огромному риску, даже не понимая или осознавая этого.

У меня лично были случаи когда верстальщик по своей глупости удалил с фтп всю папку с сайтом 0_o. Это мелочи, так как всё это можно восстановить и продолжать работу, но довольно таки часто мы не задумываемся о том, что в данный момент происходит с сайтом изнутри, кто с ним ведёт работу параллельно, куда уходят данные ваших пользователей или же личная переписка на вебсайте несущая конфиденциальную информацию, которую явно никто знать не должен.

Пуская человека к себе на сервер, будь то даже копирайтер, который имеет права журналиста и не может как-либо повлиять на ваш сайт или сервер кроме того как написать плохую статью, стоит помнить что на самом деле 90% движков в которых есть разные уровне прав есть баги которые поднимают права с журналиста до администратора, а после идёт заливка шела из админки под видом шаблона или чего-либо, багов хватает что впринеце уже очень и очень опасно.

Дав доступ на сервер верстальщику или программисту мы рискуем получить на сервер шел или модификацию какого-то файла для дальнейшего его использования в корыстных целях. Если в данный момент вы думаете, что можно просто тупо перепроверить отсортировав по дате изменения файлы и папки по ftp или ssh, тогда я спешу вас огорчить - есть софт который меняет ВСЕ папки и все файлы одновременно, что усложняет задачу. Стоит понимать,что очень часто пуская на сервер человека он даже неумышленно может залить вам шел. Почему не умышленно? Например ставя нулевой движок или же какой-то шаблон с шелом. Это обычное дело - но страдать будете от этого непременно ВЫ.

Советы:

1) Старайтесь НЕ пускать сторонних людей на сервер, если есть возможность работать локально и заливать потом - это намного лучше и безопаснее.

2) Старайтесь не давать фтп доступы с максимальными правами, урезайте права до одной папки в которой будет вестись работу.

3) После того как работа была оконченна - попросите список файлов с которыми велась работу, после чего проверьте так ли это и при возможности отсортируйте файлы по дате изменения и возможно увидите сторонний файл или же изменённый файл который впринцепе не должен был меняться.

4) Просите телефонные данные человека с которым имеете дело, читайте его отзывы, смотрите насколько он вежлив и отзывчив и делает ли он работу за деньги или же ему нужно просто как-то навредить ресурсу, так как бывают случаи когда деньги не нужны - а нужна информация для слива конкурентам.

5) Всегда меняйте пароли после того как работа была сдана, не давайте одинаковые доступы разным людям.

6) Делайте бэкап сайта и базы если такая возможность есть. Вы никогда не можете на 100% знать что сделает человек с Вашим сайтом, умышленно или же неумышленно

7) Старайтесь иметь узкий круг доверительных разработчиков который не будет каждый день меняться - лучше переплатить, чем искать под каждый новый модуль нового разработчика рискуя потерять намного больше чем просто пару десятков/сотен/тысяч рублей.

8) Следите за действиями ваших сотрудников, логируйте действия на сервере если есть возможность. Это явно упростит работу по поиску виновных в заливе вредоносного софта.

9) Старайтесь не давать возможости сливать базу и файлы кому-либо к себе на сервер устанавливая специальные права на работу с файлами.

10 ) Думайте головой всегда перед тем как дать доступы кому-то нибыло, брату, свату или же программисту Валентину из Мараторской области с двумя отзывами на форуме хакер.ру.

[wolf28]

вот поэтому я и придерживаюсь правила - делай всегда все сам!

[fe-nix]

wolf28, не всегда это возможно. В любом случае, придется рано или поздно делегировать часть обязанностей другому пользователю.

Кстати, а бывает еще и так: дал доступ лично знакомому копирайтеру, а он, не долго думая заходит на сайт с университетского компьютера и нажимает кнопку "Сохранить пароль". Очень сильно тогда нагадили.

[13й]

Засада ещё может быть в том, что пользователь, которому дали доступ к серваку, может иметь троян на компе, и, как следствие, неумышленно может стать виновником увода лога/пасса к серваку, которым может воспользоваться злоумышленник.
А так - очень подробный перечень обязательных правил для владельца/админа сервака.

[Dr. Kronos]

Контролируйте все файлы на серваке при помощи cron+Mercurial или аналогов. И не нужно мучиться с какими-то "запросами списков изменнных файлов" и т.п. Если кто-то что-то изменит на сервере - сразу получите уведомление.
.
Ну и конечно же бекапы, бекапы и еще раз бекапы =)

[Room]

А зачем вы сами даете скажем копирайтур доступ к сайту?
Правильно что съкономить и самому не делать работу по заливке статей, а переложить ее на его плечи.
Равносильно тому чтобы босс давал своему сотруднику выручку - на мол пересчитай.

[Arbiter]

Удивлен тем фактом, что кто-то готов предоставлять вот так просто фриленсеру, а тем более копирайтеру, доступ к реальному серверу. ИМХО нарушение всех норм безопасности - есть десятки способов эффективно построить работу без этого.