Nella nostra azienda l'amministrazione del sistema Linux è gestita dal team di sicurezza. Il ragazzo assegnato al mio progetto è stato un grande dolore e mi è sembrato in diversi punti di discutibile competenza. (Forse è qualificato per essere un sysadmin junior, ma non un esperto di sicurezza che gestisce anche l'amministrazione del sistema Linux. Forse è bravo con altri aspetti della sicurezza o qualcosa di cui non sono a conoscenza, ma ha detto cose che mi fanno dubitare della sua competenza questo particolare ruolo.)
Blocca le cose in un modo che rende il mio lavoro molto difficile, e senza alcuna buona ragione che io possa vedere o che possa spiegarmi. (Ad esempio, non posso usare chown
o chgrp
sui file che possiedo, e lui sostiene che darmi quell'abilità sarebbe un buco di sicurezza.) Se mi fossi fidato della sua competenza generale, più assumerei che capisse semplicemente le cose che ho non capisco.
Una cosa che è una spina nel mio lato è che devo usare sudo
prima di drush
(uno script usato per l'accesso da riga di comando ai server Drupal) e questo interrompe la capacità di drush di comunicare con altri server, dal momento che è non funziona sotto le mie credenziali e quindi l'uso delle chiavi SSH è rovinato.
Mi è venuto in mente, però, dal momento che
- drush può eseguire alias di comandi arbitrari
- drush è in esecuzione con i privilegi di root
Ora posso eseguire un codice arbitrario su quella casella. Ho provato con un alias su whoami
e ha restituito root
, quindi sembra che ora abbia effettivamente la possibilità di ottenere i privilegi di root.
Che cosa dovrei fare?
Sebbene (in effetti) mi abbia dato l'accesso come root, penso che usarlo sarebbe una pessima idea. (Anche se è davvero allettante: potrei essere in grado di fare un po 'di lavoro adesso!)
È mia responsabilità fare di più che segnalare questo problema? E a chi ???
Sono responsabile di segnalare (quello che penso possa essere) il problema dietro del problema? In altre parole, la sua mancanza di idoneità per questo particolare ruolo? Anche se mi piacerebbe davvero non averlo sul mio progetto, non voglio che gli costi il suo lavoro.
O c'è qualcos'altro che dovrei fare a cui non sto nemmeno pensando?
UPDATE : avrei dovuto dire che questo sysadmin è in vacanza oggi, quindi non posso segnalarlo a lui fino a lunedì al più presto. Non so se questo cambia qualcosa, o suggerisce la necessità di riferire a qualcuno oggi?