lochkartenstanzer
Goto Top

Pci dss - Our security auditor is an idiot. How do I give him the information he wants? - Server Fault

Der Auditor will, wenn man dem Post glauben will:


  • A list of current usernames and plain-text passwords for all user accounts on all servers
  • A list of all password changes for the past six months, again in plain-text
  • A list of "every file added to the server from remote devices" in the past six months
  • The public and private keys of any SSH keys
  • An email sent to him every time a user changes their password, containing the plain text password

Ich könnte durchaus vorstellen, daß es solche Auditoren geben könnte.

lks

PS: Wenn ich einen Security Audit machen wollte, würde ich auch ähnliche Forderungen stellen. Allerdings nur um zu sehen, ob der Admin diesen "Angriff", denn um nichts anderes handelt es sich dabei, vernünftig abwehren kann. face-smile

https://serverfault.com/questions/293217/our-security-auditor-is-an-idio ...

Content-ID: 234668

Url: https://administrator.de/forum/pci-dss-our-security-auditor-is-an-idiot-how-do-i-give-him-the-information-he-wants-server-fault-234668.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

connecthor
connecthor 11.04.2014 aktualisiert um 13:38:18 Uhr
Goto Top
HI,

klingt als wenn sich der Auditor "selbständig" machen will und Startkapital benötigt face-wink