Kristóf, Jakab
18 °C
34 °C

Nem lehet korlátlan úr a rendszergazda

2008.07.30. 11:30
Óriási jogosultságkezelő rendszert épített ki a Novell a Magyar Telekomnál, amit nem lehet könnyen túszul ejteni.

A Novell hazánk egyik legnagyobb jogosultságkezelő rendszerét építette ki a Magyar Telekom megrendelésére. A január elsejétől működő rendszert több mint tízezren használják, háromszáz informatikai rendszert kezel, és összesen tizennégyezer különféle jogosultság osztható ki a felhasználóknak. A Magyar Telekom a cég belső átszervezése miatt elég szűk határidőt szabott, így a megoldást a szokásos másfél év helyett három hónap alatt vezették be.

A rendszer többek között azt vezérli, hogy melyik dolgozó mikor, milyen adathoz, alkalmazáshoz férhet hozzá, és hogy azt mire használhatja. Vannak olyan dolgozók, akik több száz különféle jogosultságot kapnak, és akadnak, akik ennél sokkal kevesebbet.

Erről a nagy rendszerről rögtön eszünkbe jutott, hogy San Franciscóban július elején egy rendszergazda több mint egy hétig túszul ejtette a város teljes hálózatát, mert egyedül ő ismerte a belépéshez szükséges jelszavakat, és váltságdíjat követelt a kulcsfontosságú információért cserébe. Nem jó tehát, ha egy ilyen óriási rendszerben valaki túl nagy hatalmat szerez.

Oszd meg

Nem lehet korlátlan úr egyetlen rendszergazda sem, mondta el az Indexnek Varga Zsolt, a Novell PSH operatív igazgatója. Meglátása szerint a biztonsághoz való rossz hozzáállás az asztali felhasználók köréből beszivárgott a vállalati informatikába. Vagyis amiképpen mindenki adminisztrátori jogokkal futtatja otthon a Windowst, hogy könnyű legyen új alkalmazásokat telepíteni, úgy sok cég sem látja problémának, ha a rendszergazdák minden jogosultságot megkapnak. Így persze bármit megtehetnek.

Akkor vannak rendben a jogosultságok, ha nincs egyetlen mindenható személy aki bármit megtehet a rendszerrel, és a kritikus szolgáltatások csak két közreműködővel érhetőek el, mondta Varga Zsolt. Az egyik ember például egy informatikai rendszer adminisztrátora, a másik pedig egy biztonsági felelős, úgynevezett security officer. Ha a rendszerben valamin változtatni kell, arról legalább két embernek tudnia kell, és így nem állhat elő olyan patthelyzet, mint San Franciscóban.

Természetesen még egy jó rendszer esetében is oda kell figyelni arra, hogy a megfelelő emberek kezébe kerüljenek a jelszavak. Műszaki megoldással – például csipkártyával – megoldható a rendszerbe bejelentkező júzer pontos azonosítása, a folyamatok monitorozásával pedig kiszűrhetőek a szokatlan események. Jól szervezett, átgondol architektúrát kell kialakítani, amelynek nincs egyetlen gyenge pontja.