Tema delicado este... ¿que incluye el contrato? ¿la construcción y
configuración? ¿el mantenimiento? ¿pueden seguir usando los scripts y la
suite sin pagar las cuotas de mantenimiento o por el contrario, el
resultado de ellos es lo que se queda en su máquina?
Por simplificar el ejemplo, si tienes un conjunto de scripts que configuran
la red, lo que hacen es crear un iptables, crear unos network-scripts,
crear unos túneles ipsec etc. Una vez acabado el mantenimiento, se quedaría
todo como en pro, pero ya no dispondrán de tu suite para explotar pro (si
quieren hacer un cambio, pues a editar la parte correspondiente del
estándar, editar ipsec.d, network-scripts a mano, iptables en init.d o
dónde lo tenga tu distro, etc.).
Revisad los contratos, y si la suite forma parte de vuestro know-how y no
entra en el mantenimiento, desinstalar la suite y dejar el sistema
"congelado" como esté en ese momento. Si tienen que crear usuarios, tienen
useradd
Si necesitan que el usario tenga FTP, a mano.
Si necesitan email, a mano. Si necesita VPN, a mano. Que sepan que tenían
contratado con ese mantenimiento.
J
2016-02-26 11:16 GMT+01:00 Albert Casas <frozenset@xxxxxxxxx>:
Buenas,
Desde hace más o menos un año, trabajo llevando una especie de suite de
monitorización basada en herramientas libres (Nagios, NagVis, etc) y
scripts propios en Python sobre Debian y por una cosa u otra al final me he
quedado yo solo a cargo de la criatura. Dicha "suite" se incluye en el
mantenimiento de las redes de los clientes y se vende el servicio de
personalizarla a su red, desplegarlo, efectuar los cambios que quieran
mientras dure el contrato de mantenimiento, soporte, y desarrollo de nuevas
funciones que sean útiles a su negocio.
El caso es que últimamente un par de clientes, al acabar su contrato de
mantenimiento, han exigido "amablemente" que les facilitemos los passwords
de root de dicha suite o que nos lo revientan ellos a la fuerza.
Mi duda es pues, y aún sabiendo que no existe el sistema de seguridad
perfecto, ¿Existe alguna manera para evitar que un ente con dedos prensiles
presenciado donde esta el servidor pueda resetear u obtener el password de
root? ¿Hay alguna manera de evitar que se acceda a Debian en modo
single-user?
Últimamente y para nuevas versiones, me estoy planteando integrar todo
esto en una maquina virtual o contenedor en Proxmox VE, en caso de tratarse
de un sistema virtualizado, ¿Podrían también obtener/resetar el password de
root de la maquina virtual?
Gracias y propicios días.
