Хостерам. Аудит безопасности.

Владелец форума Grey aka Сергей Петренко - мой земляк, он тоже из Одессы. Только глупый человек будет разжигать национальную рознь. Ничего личного.

А зря, так как он всё равно не поймёт что на форуме можно не только пиарится, но иногда обмениватся опытом или просто высказать своё мнение. То есть использовать форум по прямому назначеню.

По моему мнению нанимать администратора из за каждого инцидента просто глупо и не дальневидно. Каждый вебмастер должен уметь что то сделать сам и решать эти проблемы ему может помогать технический раздел на СЕ. Но увы, тут можно получить только "умный" совет - нанимай админа или заказывай аудит у воздушных администраторов.

Не имею ничего против ТС, может он и из тех хороших админов.

Совершенно верно. Администратора надо брать для первоначальной настройки сервера. А потом уже можно и самому обновлять софт.

Но экономить на специалисте, мотивируя тем, что "панель сама все сделает" - это глупо.

Следуя вашей логике нужно самому чинить машину (вдруг бомбу подсунут?), самому менять сантехнику (вдруг кипятком ошпарят?), самому готовить еду (а лучше прямо выращивать, вдруг отравят?), самому собрать себе сотовый телефон, компьютер, телевизор...

А уж врачи..

Безопасность, как и любую другую услугу купить можно. И не нужно, пожалуйста, путать бизнес (оказание услуги по защите сервера) и личные отношения (любовь, которую не купишь, разве что на два часа).

Постарайтесь понять, что у хостёра на сервере хранится данные клиента и не всегда эти клиенты варезники. Иногда хранится действительно важные данные которых лучше посторонним не видеть. И если хостёру клиент доверился, значит хостёр обязан оправдать доверие.

Второй аспект этого вопроса тот, что часто после работы стороннего админа лезет разные неожиданные проблемы, для решения которых надо или опять нанимать того же или платить другому двойную ставку или разбиратся самому.

Дать root пароль от сервера с чужими данными администратору, которого знаю только по репутации СЕ... извините, это не лезет вникакие рамки. Я лично даю root доступ только тем, которыми доверяю как себе, или стою за спиной или паралельно второй монитор подключен. Поинтерсуйтесь сколько проблем наделали работодателями обиженные админы, полно историй... По сути, администратор наверно самая важная персона компании, и не думаю что стоит рисковать и нанимать любого встречного.

Другое дело это те, которые сами имеют сервер для своих проектов и не соображают в администрировании. Но и в таком случае представте, что у вас на сервере хранится информация которую не хотели бы засветить никому, интересно, тогда тоже заказывали администрирование у первого встречного ? ;)

Ну и что? В голове у банкира лежит цифровой код от денежных вкладов клиентов, тем не менее, он не боится доверять эту, свою голову, психоаналитику.

Тут чисто вопрос доверия. Доверяешь - даешь, нет - сидишь сам. А уже критерии доверия у всех разные.

Нет, это все самому делать не надо. Но пускать людей со стороны в ИТ-бизнес строго противопоказано любому адекватному хостингу. Более того, любой до единого хостинги, которые пришли не на один день, имеет своих специалистов гораздо более сильных, чем те, кто предлагает на форумах разовые копеечные настройки. Скажем так, человек, который зарабатывает меньше 70-80 тысяч рублей в месяц, рутовый пароль от серверов компании иметь не должен в принципе - это крайне опасно. Потому что уровень такого человека оставляет желать лучшего. Был бы высокий уровень - он бы не осуществлял разовые работы. А потому от ворот ему поворот. При всем уважении к умению вести PR-кампанию.

Да, он давно в этой сфере. Думаю, раз в 10 дольше, чем я. Но наметанный глаз - не достаточное условие, чтобы решить проблему безопасности. Здесь нужен другой уровень видения вопроса.

Обратите внимание, что Himiko, который совершенно очевидно, более сильный специалист, да еще и с информацией о баге в кармане, ведет себя более осторожно. Что какбэ намекает...

Что ему надо денег. не более... Собственно, все законно и логично, уж извините. Химику нужны деньги, хостерам нужна безопасность. А подавляющее большинство хостингов зарабатывает копейки. Извините, в этой теме половина рассуждений о том, нужно ли доверять или нет пароль от сервера чистой воды ни к селу ни к городу. Нанимать сторонних специалистов (так называемый аутсорсинг) - вообще бред в 90% случаев. Сколь бы человек ни знал, каким бы он спецом небыл... Уж извините, это нарушение основ безопасности.

Вы думаете, что на разовых работах нельзя заработать больше этой цифры в 70-80 тысяч рублей?

Himiko добавил 23.12.2010 в 09:27

Что выкладывать в паблик пока несколько опасно (так просто не закрывается), а всем подряд проверять на наличие баги бесплатно - не разумно.

Himiko добавил 23.12.2010 в 10:05

1. Да, верно.

2. Если найдена не будет, то просто заплатите за время работы (20$/час. Примерно часа хватит)

3. Я не предлагаю вам на 100% все возможные дырки найти (там могут быть такие, которые ещё просто не известны). Я предлагаю проверить на конкретную уязвимость и попутно посмотреть на основные известные уязвимости.

Думаю, что нет. Тем более, что клиенты все нищие откровенно. Тут люди лицензии от биллинга даже продают от бедствия.

Это не про это было. А про то, что Andreyka слишком самоуверен.

Что касается багфикса: у нас уже полностью закрыто стоит. Много неудобств, но можно в принципе выкладывать. Только вот установка багфикса занимает хрен знает сколько часов. Я всю ночь один только PHPMyAdmin прикручивал под новую систему. И то пока не смог сделать, чтобы он через сайты работал. Пока только через основное имя сервера.