ご注意 翻訳者 : これは、特定の銀行カード処理システムを使用する権利のセキュリティ監査に合格した1つの電子取引プラットフォームのシステム管理者の記事(またはserverfault.comに関する質問)です。
サーバーのセキュリティ監査員は、2週間にわたって次のことを要求しました。
- すべてのユーザーとパスワードをクリアテキストで一覧表示する
- 過去6か月間のすべてのユーザーのパスワード変更の履歴(再び、明確に)
- 過去6か月間に外部からアップロードされたサーバー上のすべてのファイルのリスト
- すべてのSSHキーのパブリック部分とプライベート部分
- ユーザーがパスワードを変更するたびにメールを送信するメカニズム(新しいパスワードはプレーンテキストで記述する必要があります)
すべてのパスワードをクリアテキストで取得する唯一の方法は、パスワードをリセットして特定のパスワードに設定することです。 しかし、これは過去6か月間のパスワードとファイル情報の問題を解決しません。
SSHキーのペアを取得することは可能ですが、手順は長くて面倒です-多くのユーザー、多くのコンピューター。 これを何らかの形で自動化することは可能ですか?
私は何度も監査人に彼の要求を満たすことが不可能であることを説明してきました。 彼はこの手紙で答えた:
私は10年以上コンピュータセキュリティ監査の分野で働いており、RedHat OSのセキュリティシステムを完全に理解しています。そのため、このシステムで可能なこととそうでないことに関する知識を更新することをお勧めします。 あなたの会社は必要な情報を提供できないと言います。 しかし、私はすでに何百ものそのような監査を実施しており、それぞれでそのような情報が提供されました。 処理会社のすべてのクライアントは、新しいセキュリティポリシーを遵守する必要があり、この監査はこのコンプライアンスを検証するように設計されています。
これらの「新しいセキュリティポリシー」は2週間前に導入され、過去6か月間にパスワードとアップロードされたファイルに関する情報が必要です。
要するに、私は必要です:
- 信頼できるように見えるように、過去6か月間のパスワード履歴を偽造する方法
- ファイルのダウンロード履歴を偽造する方法
- 多数のコンピューターからSSHキーを収集する簡単な方法
アップデート1
答えてくれたすべての人に感謝します。私は完全なバカではなく、必要な情報はそのような監査の標準ではないという信念を取り戻しました。
私は監査人に状況を説明する別の手紙を書く予定です:あなたの多くは、PCIルール( ノート翻訳者: Visa、Mastercardなどを含むペイメントカードセキュリティ委員会)に従って、パスワードをオープンに保存または送信してはならないことを示しましたフォーム。 しかし、実際には、常識を期待して、PayPalに切り替えるスキーを奨励し始めています。
更新2
下書きの手紙:
こんにちは、[名前]、
残念ながら、要求された情報を提供する方法はありません。 パスワードについては、平文、パスワード変更の履歴、SSHキー、およびファイルアップロードログについて説明しています。 これは技術的に不可能であるだけでなく、そのようなデータの明確な形式での保存および送信を明示的に禁止するPCI規格にも反します(セクション8.4-「すべてのパスワードは、強力な暗号化を使用して暗号化形式でのみ送信および保存する必要があります」)。
ユーザーのユーザー名とハッシュされたパスワードのリスト、公開SSHキー、および承認されたホストのリストを提供できます。 (これにより、一意のユーザー数と使用された暗号化アルゴリズムに関する情報が得られます)、パスワードセキュリティ要件とLDAPサーバー設定に関する情報。 セキュリティポリシーを確認する方法はないため、セキュリティポリシーを確認することを強くお勧めします。セキュリティ監査と、PCI要件とともに個人データの保護に関する法律の両方を遵守する方法はありません。
よろしく
私。
私は、監査人だけでなく、彼の経営陣にも手を差し伸べ、セキュリティ状況を担当するPCIセキュリティ担当者に通知するよう努めます。
アップデート3
私の手紙に対する彼の反応は次のとおりです。
すでに書いたように、必要な情報は、通常構成されたシステムから有能な管理者に簡単にアクセスできる必要があります。 そのような情報を取得することは不可能であるという認識から、サーバーのセキュリティ標準を無視し、実際の脅威に対応する準備ができていないように思われます。 当社の要件はPCI標準に完全に準拠しており、一緒に完全に実装できます。 「強力な暗号化」とは、ユーザーが入力するパスワードを暗号化するだけであることを意味しますが、将来必要になる可能性があるため、オープン形式で転送および保存する必要があります。
必要な動作にセキュリティ上の脅威はありません。暗号化パスワード保護は管理者ではなくシステムのユーザーにのみ適用されます。つまり、監査のためにこの情報を提供できるはずです。
もう一度繰り返します。
「強力な暗号化」とは、ユーザーが入力するパスワードを暗号化するだけであることを意味しますが、将来必要になる可能性があるため、オープン形式で転送および保存する必要があります。
この表現を印刷して、壁のフレームに掛ける予定です。
私はこれ以上過度な外交に悩まないことに決め、彼にこのトピックへのリンクを与えました。
PCIの法律と要件に直接矛盾する必要がある情報を提供する-規則セクションを引用しました。 さらに、ServerFault.com(専門のシステム管理者のオンラインコミュニティ)でディスカッションを開始しましたが、大きな反響がありました。これは、一般に、この情報を提供できないという事実に要約されます。 ご自由に何かを読むことができます。
私たちのセキュリティ監査人はばかです、どうすれば必要な情報を彼に提供できますか?
課金システムの新しいプラットフォームへの移行が完了し、明日から貴社との契約を解除します。 しかし、常識の勝利のためだけに、あなたの要件がどれほどばかげてばかげているかをお知らせしたいと思います。 PCI要件に違反することなく、この情報を提供できる会社はありません。 現在のセキュリティポリシーではすべての顧客を失うだけなので、セキュリティポリシーをもう一度検討することを強くお勧めします。
(正直なところ、私は彼を記事のタイトルで馬鹿と呼んだという事実をどういうわけか見逃しましたが、すでに深く横にありました-私たちはすでに引っ越しました)
しかし、彼はまだ私に答えた。 読者は、自分が話していることを理解していない愚か者であることを知りたいと思うでしょう。
私はあなたの投稿とその答えを読みました。 まあ-すべての回答者は間違っています。 私はこのサイトで誰よりも長くこの業界で働いています-ユーザーとそのパスワードのリストを取得することは基本的なスキルです、これはシステム管理者が学ぶべき最初のことの1つであり、信頼できるサーバーのセキュリティの不可欠な部分です。 このような基本的なことに対して本当に十分な心を持っていない場合、そのような機会がこのソフトウェアの必要な要件であるため、システムにPCIをインストールしていないと思います。 そして一般的に言えば、サーバーのセキュリティなどを扱う場合、その機能の基本原則を理解せずに公開フォーラムで質問するべきではありません。
私の実名または会社名を開示しようとすると、あなたに対して必要なすべての法的措置を採用する必要があることもお知らせします。
あなたがそれらを見逃した場合、私は重要な白痴を強調します:
- 彼はここで最も長い間監査人として働いています(彼はここでみんなを考えたり、スパイしたりします)
- UNIX上でプレーンテキストでパスワードをリストすることは「基本機能」です
- PCIは現在ソフトウェアです
- 人々は、自分が何を求めているのかを知らない限り、フォーラムで質問するべきではありません。
- 手紙で確認された事実を投稿することは中傷です
PCI組織は適切に対応し、現在、この監査人、彼の会社、および彼らの規則を綿密に調査しています。 システムがPayPalに正常に移行しました。 私はこの監査人の監査結果に関するPCIからの情報を待っています-しかし、ここで私を悩ませます。 その会社にそのような外部要件があった場合、内部要件も同じ精神に基づいていました。 これは、すべての顧客のすべての支払いは、暗号化と保護なしでクリアな場所に保存できることを意味します。 PCIの調査がiを覆し、適切なアクションが取られることを願っています。
監査役の名前と会社名を公開する可能性を弁護士に説明します。すべての人が個人的に彼らとやり取りし、パスワードのリストをクリアテキストで取得するなどの基本的なLinux機能を理解できない理由を説明します。
少し更新
弁護士は駆け寄らないようにアドバイスしました。 まあ、具体的な名前を付けずに、これは大規模な処理センターではなく、約100の顧客があり、英国のバーミンガムにあると言います。