+1 con Tarod revisar los contratos... y actuar en consecuencia a ellos.
"Revisad los contratos, y si la suite forma parte de vuestro know-how y no
entra en el mantenimiento"
El 26 de febrero de 2016, 12:24, Manuel Jimenez <mjimenez@xxxxxxxxxxxx>
escribió:
Es que todo depende del contrato que se haya firmado, la gran mayoría de
los appliances cuándo acaba el contrato de mantenimiento el cliente
mantiene el producto funcionando con todo lo que pagó en su día, eso si,
sin soporte, y cada uno que asuma las consecuencias.
Te digo porque estoy en la situación de appliances sin soporte, pero
completamente funcionales. Y también he tenido el caso de heredar
appliances sin soporte y sin acceso root y entrar con un livecd para
cambiar passwords y poder administrar. Porque en su día, pagué el hardware
y X años de soporte, pero el producto es mío.
Pero debe reflejar en el contrato que si yo compro un appliance con
soporte, cuando acaba el soporte tengo un pisapapeles. Y habría que ver la
legislación al respecto, que creo, que si vendes algo a un cliente, es
propiedad del cliente.
El 26 de febrero de 2016, 12:17, Sergio Navarro Fernández <
snavarrotd@xxxxxxxxx> escribió:
Sí sí, no dudo de su utilidad, es por otros asuntos y he tenido que
soltar un rant gratuito o explotaba xD
2016-02-26 12:15 GMT+01:00 Eduardo Marroquin <atilax@xxxxxxxxxx>:
Yo tengo un par de Puppet's montados para bastantes máquinas ( Windows
xp/7/8/10/2003/2008/2012) y Linux y estoy encantado. Pero quien dice Puppet
dice Chef o Ansible.
;P
Un saludo
El 26 de febrero de 2016, 12:11, Sergio Navarro Fernández <
snavarrotd@xxxxxxxxx> escribió:
Yo no instalaría Puppet ni con las manos de otro sysadmin, pero bueno,
éso es otra cosa ya xD
En cualquier caso, sí, para la próxima lo tienes en cuenta y yap.
2016-02-26 12:08 GMT+01:00 Eduardo Marroquin <atilax@xxxxxxxxxx>:
No sé si he entendido bien el caso pero ahí va.
Yo iría pensando en Puppet. Tener controladas las máquinas con Puppet,
y en el momento que vayan a dejar de tener mantenimiento... ZASSSSS les
desinstalas,borras,cambias passwords o lo que quieras. Además te daría la
potencia de controlar y cambiar configuraciones de las máquinas que sí son
clientes.
Un saludo
El 26 de febrero de 2016, 12:04, Albert Casas <frozenset@xxxxxxxxx>
escribió:
Gracias por las respuestas. Esta claro que todo esto se tendría que
haber hecho antes de entregar nada y dejar más claro lo que se contrata,
pero se hizo hace años y ahora es cuando explota. Todo esto es más que
nada
para tener en cuenta que podría hacer de ahora en adelante para que no se
den más situaciones parecidas a esta, a parte de revisar como están
vendiendo todo esto y con que condiciones.
Saludos!
El 26 de febrero de 2016, 11:56, Hugo Segovia <hugoac2004@xxxxxxxxx>
escribió:
Si el amigo no aplicó todas esas precauciones ANTES de entregar el
servidor al cliente, a ver cómo las aplica ahora. Especialmente con
las
intenciones que tiene éste.
A ver cómo se le explica al cliente que hay que "destripar el
servidor,
capar todos los enchufes, aplicar cifrado al disco entero, limitar
todos
los accesos remotos, etc". Se podría probar invocando la "amenaza" de
los "juankers", el PRISM y cosas por el estilo... Si lo consigue, me
alegraré por él.
El vie, 26-02-2016 a las 11:43 +0100, Rafael Montero escribió:
Si tienen acceso físico y tú estás en Ring 3 puedes cifrar laroot
partición y que se busquen la vida.
También puedes crear un LKM y que te restablezca el password de
por el tuyo siempre y cuando no cambien el kernel. ;)pillar
El viernes, 26 de febrero de 2016, Sergio Navarro Fernández
<snavarrotd@xxxxxxxxx> escribió:
Además de ponerle pass a la BIOS y que en primer orden de
arranque sea el HDD, y el resto vacíos.
2016-02-26 11:38 GMT+01:00 M. Alex Hermosilla
<sasha.hs@xxxxxxxxx>:
Y que las conexiones sean solo por key y no por
contraseña, eso si usan ssh
2016-02-26 11:34 GMT+01:00 Sergio Navarro Fernández
<snavarrotd@xxxxxxxxx>:
Puedes deshabilitar el modo single-user, y
también los USB y lectores de CD/DVD, y
con LUKS y cifrar todo el disco, peroal
vamos... :/
2016-02-26 11:25 GMT+01:00 Hugo Cardozo
<hugoac2004@xxxxxxxxx>:
Si el cliente tiene acceso físico
servidor en cuestión... Nada quehasta
hacer. Podría hacer muchas cosas,
desde entrar al modo single-user
arrancar un LiveUSB y tocar todo loaño,
que quiera
El 26 de febrero de 2016 7:16:08 AM
GMT-03:00, Albert Casas
<frozenset@xxxxxxxxx> escribió:
Buenas,
Desde hace más o menos un
trabajo llevando unaespecie
de suite de monitorizaciónlibres
basada en herramientas
(Nagios, NagVis, etc) ycosa u
scripts propios en Python
sobre Debian y por una
otra al final me hequedado yo
solo a cargo de lacriatura.
Dicha "suite" se incluyeen el
mantenimiento de las redesde
los clientes y se vende ela
servicio de personalizarla
su red, desplegarlo,efectuar
los cambios que quierande
mientras dure el contrato
mantenimiento, soporte, yfunciones
desarrollo de nuevas
que sean útiles a sunegocio.
un
El caso es que últimamente
par de clientes, al acabarsu
contrato de mantenimiento,han
exigido "amablemente" queles
facilitemos los passwordsde
root de dicha suite o quenos
lo revientan ellos a laperfecto,
fuerza.
Mi duda es pues, y aún
sabiendo que no existe el
sistema de seguridad
¿Existe alguna manera paraev
itar que un ente con dedospassword
prensiles presenciado donde
esta el servidor pueda
resetear u obtener el
de root? ¿Hay algunamanera de
evitar que se acceda aDebian
en modo single-user?planteando
Últimamente y para nuevas
versiones, me estoy
integrar todo esto en unacontenedor
maquina virtual o
en Proxmox VE, en caso detambién
tratarse de un sistema
virtualizado, ¿Podrían
obtener/resetar elpassword de
root de la maquina virtual?
Gracias y propicios días.
--
Manuel Jiménez
http://mjimenez.net