lochkartenstanzer
Apr 05, 2014, updated at 09:24:53 (UTC)
view2027
view1
1
Goto Top

Pci dss - Our security auditor is an idiot. How do I give him the information he wants? - Server Fault

GermanGeneralDetection, blockingSecurity
Der Auditor will, wenn man dem Post glauben will:


  • A list of current usernames and plain-text passwords for all user accounts on all servers
  • A list of all password changes for the past six months, again in plain-text
  • A list of "every file added to the server from remote devices" in the past six months
  • The public and private keys of any SSH keys
  • An email sent to him every time a user changes their password, containing the plain text password

Ich könnte durchaus vorstellen, daß es solche Auditoren geben könnte.

lks

PS: Wenn ich einen Security Audit machen wollte, würde ich auch ähnliche Forderungen stellen. Allerdings nur um zu sehen, ob der Admin diesen "Angriff", denn um nichts anderes handelt es sich dabei, vernünftig abwehren kann. face-smile

https://serverfault.com/questions/293217/our-security-auditor-is-an-idio ...
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 234668

Url: https://administrator.de/contentid/234668

Printed on: April 25, 2024 at 22:04 o'clock

1 Comment
Goto Top
Member: connecthor
connecthor Apr 11, 2014 updated at 11:38:18 (UTC)
Goto Top
HI,

klingt als wenn sich der Auditor "selbständig" machen will und Startkapital benötigt face-wink
GermanGeneralDetection, blockingSecurity
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 Comments