Николай Турнавиотов

Обычно для этого есть двухфакторная авторизация - пока не придет смска на телефон директора - не сменишь ты пароль. А вообще, не знаю насчет гугль/фейсбук, я думаю, что официальное письмо от компании в офис мейл.ру/яндекс/вконтакт поможет вернуть угнанный пароль.

а с ssd вообще только вызывать аппаратные инструкции контроллера, если вызов таковых в наличии

вариант а) оплата биткоинами через тор-клиент и прочие параноидальные "приколы", если позволяет хостер, в основном - вариант того что вам некритично-ненадолго-анонимно - без варианта нормального сапорта ваших проблем - Вас не смогут идентифицировать как владельца "мы вас не знаем разбирайтесь сами"

вариант б) паспорт, номер мобильного телефона, емейл, двухфакторная авторизация, любой запрос с контактной почты хостеру должен быть обработан, не обслуживание хостером чревато возвратом денег/судом и т.п.

Всё зависит от того, что Вам надо.

А вообще - логируются в основном только логи запросов к сайту чтобы fail2ban работал и попытки входа в панель хостера, собирать трафик не забота хостера.

и да - вот у меня в среднем на каждом хостинг сервере - пару тысяч сайтов - минимальный лог файл access.log - мегабайт, у некоторых под сотню метров в сутки - и пару сотен клиентских запросов в час - вы думаете я буду за вами следить?

Домашняя группа - это удобство перемещения и общего доступа к своим файлам в случае, допустим, личного ноутбука и домашнего десктопа когда они включены в одну сеть, например дома.
Я не тестировал работу доменных устройств в домашней группе дома - у меня на десктопе используется Windows Server, в котором этого функционала нет, но надо смотреть по предполагаему вектору угроз и защит - вирусы или утечка корпоративных данных "налево" возможны и без домашней группы - простой флешкой, пересылкой через некорпоративную почту/ftp/dropbox

запретить на проксе, например x-type file
и вообще на компе с конфиденциальными данными интернета быть не должно
потому что проксей, торов и социалок с вебпочтами - до чертиков

У меня все пароли хранятся в шифрованной базе keepassx (кроссплатформенна, есть под все современные ОС и мобильные платформы), база лежит в облаке и синхронизируется с клиенткими ПК с моей учёткой

1. двухфакторная авторизация - при попытке логина Вам должно прийти смс на телефон.
2. сложные, очень сложные пароли на сервис. лучше сгенерённые и хранящиеся шифрованных базах в утилитах вроде keepassx (эта есть под все платформы - win, linux, mac, windows mobile. вроде даже под windows phone и андроид)
3. работа на честно купленной ОС в случае Microsoft (Vista+) или под линуксами без административных привилегий - спасает от получить кучу вирусни.
4. регулярное обновление ос и п/о, особенно жавы и флеша, а так же антивируса если ос от Microsoft.
5. в случае если лезете на подозрительный сайт - режим песочницы в броузере или виртуалка для експериментов.
6. а вот тут можно вспомнить и про впн, да. кстати, шифрование в ней есть не всегда.

вон вам пост в тему, например habrahabr.ru/post/89473/

А можно спросить?
Допустим, Вы имеете возможность прочитать из БД Вашего проекта по учету доходов/расходов, куда тратят деньги Ваши пользователи.
Дальше что Вы сможете сделать с этой информацией?
Хорошо, можно, например, собрать статистику «средней температуры по больнице» что х% тратят на алкоголь тыщу рублей в месяц, а у% есть любовница, на которую уходит еще 10 тысяч.
Идём дальше:
Есть Женя Васечкин, хотящий считать свои расходы и доходы в Вашем офигенном проекте.
Он регает учетку на Васю Пупкина на одноразовый email и оплачивает услуги Вашего проекта биткоинами/вебманями.
Ну хорошо, у Вас есть эти данные. Что они Вам дали в плане деанонимизации?

Хорошо, опять же, идём дальше.
Есть, допустим я, которому нечего скрывать, зареган на Вашем проекте под своим реальным ФИО под email'ом, легким гуглением по которому находится мой профиль в каком-нить linkedin с вышеназванными ФИО, плачу кредиткой вип-пакет с мобильным клиентом, вебом и десктопной программой — клиентом, у меня есть категории машина, любовница, яхта и рестораны со средней суммой записи, например 1000 баксов.

У Вас есть сто тсяч клиентов, пользующимися Вашим крутым сервисом хотя бы пару раз в день занося в него платежи.

Внимание, вопрос: Что Вы будете делать с этими данными, кроме регулярных бэкапов БД проекта?

На самом деле вопрос не праздный — я Вот сейчас пишу своё аналогичное решение по управлению финансовыми потоками.
Пока ничего, кроме собирания статистики, я не придумал.

1. проверяем файлы «движка», сравнивая их с оригинальной версией файлов движка той же версии, при установке, если это известный движок, вроде вордпресса/битрикса. Если взломали сам движок — сравние файлов это покажет.
2. тоже самое с файлами плагинов/тем/скриптов если между вашими и файлами из дистрибутивов есть различия, это будет видно.
3. глубокая проверка Ваших хостов на вирусы.
4. глобальная мена паролей на админки — сайта, фтп, вебморды аккаунта в панели управления у хостера.

Zoneminder как онлайн смотрелка, плюс пару скриптов на шелле для обработки видеоархива, как в одном из моих постов, например

1. Метаданные, сохраняемые камерой при записи ролика логичнее всего посмотреть либо открыв инструкцию к камере, например, там авторство, допустим, выставляется, либо же после записи открыв ролик на ПК в видео редакторе до пережатия в конвертере.
2. Обращайтесь к документации той программы, которой Вы пережимаете ролики после выгрузки на винчестер и к документации того сайта, на который Вы их выкладываете — потому как есть вариант пережатия ролика в разные форматы, как, например, на Youtube, и что будет в ролике уже на сайте — известно только программистам сайта.

Программ для просмотра метаданных в мультимедиа файлах до чертиков, у меня в пакете кодеков KLite идёт как минимум 2 штуки, так что на вкус и цвет выбрать Вам поможет любимый Вами поисковик.

VPN проще всего на маршрутизаторе сделать по ключам или сложным паролям с ключами, ну или на самом 12м сервере, если он и торчит наружу. Ну и запретить RDP и вообще все соединения для внешних IP фаерволом.
А дальше пусть работают с чем хотят.

Хм. пользуюсь Live ID аккаунтом — 25 символов, сменил пару лет назад.
на телефонный LiveID действительно, пришлось 16значный ставить, с большей длиной не пускало.

А вообще у меня только один пароль меньше 20 символов, остальные за 20. я не знаю ни одного пароля и абракадабру вроде
«HTkveEDk*'VoL»{37RUJKiUpipJuFmAoq[lW})o," помнит исключительно менеджер паролей, база которого автоматически разьезжается по всем авторизованным в облаке машинам с локальной копией + пару копий где-то в оффлайне.
В менеджере прописываю дату смены пароля и стараюсь раз в полгодика все это менять.
Смена всех паролей на все аккаунты занимает максимум полчаса, в случае чего.
так что как-то так.

1. Кто ж Вам целую инфраструктуру АСУТП сделает и выложит? это NDA обычно.
2. Что общего у АСУТП ядерной электростанции, районной ТЭЦ и конвеерной линии по сборке автомобилей?

Может имелась в виду его синхронизация с гугль облаком — контакты, календари, список пакетов которые можно обновить, какая-нить проверка «не был ли он заявлен владельцем как утерянный и не должен ли он погрохать данные пользователя»?
Может утилиту какую ставили для управления планшетом с ПК? что гугль на эту тему говорит?

Вообще-то это делается не обычной флешкой, а usb-токеном с сертификатом, внешне очень походим на флешку.

Кстати, корпоративный саботаж и инсайд — это немного другое.
В нормальных компаниях администратор БД != Администратор системы, а Администратор бекапов != Администратор БД и != администратор системы,
Я за свой стажа работы успел понаставить серверов для БД, но как-то дальше установки ms sql, mysql, postgres'а и выдачи админского логина/пароля нужному сотруднику дело не шло, я только ставил обновления и патчи, после чего мы согласовывали время ребута машины.
При этом он следил за созданием бекапов, а я следил чтобы бекапы не исчезли никуда в неизвестном направлении.

Кстати, в этом очень спасает включенный аудит в случае шага направо/налево — письмо в почту админа + руководителя а дальше — докладные и увольнения, в том числе, по статье.

Первый и последний аргумент, уже описанный выше — не только с админом, но и с любым сотрудником надо расходиться так, чтобы он после увольнения мог подсказать что, где и как.
В мелких компаниях зачастую новый пришедший администратор хватается за голову «какой идиот это строил» и начинает переделывать с нуля — во всех мелких компаниях, где я работал — было именно так: пришел, ужаснулся, переделал по человечески, задокументировал, копию документации отдал руководству на всякий случай в электронном и бумажном варианте со всеми логинами/паролями, отличными от доменных, которые привязаны где только можно.

Я ленивый админ и желание сделать закладку у меня возникло один раз за все 10 лет трудового стажа, но в компании руководство сменилось на более адекватное и желание делать закладку отпало после почти часового общения с новым шефом.
У меня почти всегда в руководителях разбирающийся в ИТ-рисках человек,

А гадить себе же в репутацию как-то глупо, по меньшей мере — всё равно в 90% случаев будущее руководство звонит предыдущему с вопросами о тебе, любимом.

А если есть желание поставить закладку, считаю, что лучшая закладка — заявление об уходе.

Про то, что администратора за 2 недели надо лишать админских прав — так нафига он тогда нужен — картриджи менять?
Если ничего выполнять он уже фактически не может.