我們都知道,離職員工的帳號,要處理其實很容易。
但如果是一位資深離職員工的帳號呢? 可能就不能用容易來形容了,首先,我們可能會想知道,這位資深離職員工的帳號,在那些AP系統裡,這還好; 不好的部份是,這個帳號,在全公司的檔案裡,都有些什麼權限?
這個全公司的檔案裡,還分為已知的檔案、未知的檔案、不明的檔案、隱藏檔、可執行檔、看起來不是執行檔但實際上是可以執行的,及,某些可執行檔的設定參數檔。
如果需要用最短的時間,全列出來...用人工,應該是很可怕的事情,這類的事情,讓它自動化就好。
『請教資訊長,如果我在Linux裡,將一個帳號刪除了,請問,這個帳號原來所擁有的檔案,在擁有者那一欄,會變成什麼內容?』
(我那知道啊,這我應該要回答嗎?)
『這跟資訊安全無關,是系統面的問題,您是資訊長,當然問您囉。』
(我才來這個部門一個月.....誰會知道啊。)
『您過去一個月的時間,都在幹嘛?』
(擦桌子啊,那些資訊的東西,我又不是很清楚,我只要把辦公室用的乾淨點就好啦,不然我要幹嘛? 等著發員工薪水嗎? 那又不是我的事。
老王啊,這時候你要幫忙回答阿。)
我、天樂和Asuka同時把目光轉到了老王身上,不知道他發生什麼事,從外面回來後,就好像變了一個人...
『資訊長,我們節省時間吧,直接看結果,OK?
這是刪除帳號前
這是刪除帳號後』
(真的不一樣耶,可是我們有用數字做為帳號嗎? 員工編號?)
我抓了抓頭...
『那是UID...』
(嗯?我知道啦,你真當我吃素的唷.....我會不知道那是UID嗎? 然後呢...)
『然後,我只要把某個帳號的UID換成那個UID,就有和那個UID一樣的權限啦...
所以,這個時候,檔案、群組、帳號及權限間的關係,就需要調查清楚。』
(對,你說那個SailPoint,要找誰? Asuka? 這妳的事了吧,該不會我要跟這公司聯絡吧?)
『可以找,台灣SailPoint的曾先生,請他來妳們這談一下,妳們就有答案了。』
「Allen,你昨天介紹的那個畫面,能不能再讓我們看一下,昨天沒看懂,現在聽你這樣說,大概了解了。」
『哦...好啊,等等哦,我先把我的Linux關起來...』
正準備要打開SailPoint FAM的時候,LINE響了...慘了,這畫面要是讓天樂看到,她又要不開心了。
(等一下...你剛才收到的那個LINE,打開我看一下...)
『要看哦? 不好啦...很可怕耶,現在七月,別啦...』
(不管,我以有錢集團會長女兒的身份,命令你打開!)
算了...開吧開吧。
果然跟我想的一樣,天樂重重拍了一下桌子.....
(姓A的,你...你...你這是什麼啊?)
『這我筆電VM裡的Linux啊...』
(我知道..你到底是要損我們損多久? 還要多久? 你用我們的網路,把你筆電裡的密碼傳到你的LINE?)
『測試測試,順便幫妳們測試一下,不加錢的。』
(你又要說,我們的網路環境沒有擋,所以可以這樣傳,對不對?)
『我什麼都沒說啊,不要這麼玻璃心啦,我又沒那個意思......』
「Allen,我一直想問...在我們的主機系統上,也能這樣做? 系統關機或重開機的時候,發送密碼出去?」
『系統之前,人人平等啊...』
「那能擋嗎?」
『應該是可以吧,要看妳們的架構是怎麼規劃的。』
(告訴妳,資安部,妳們送來的防火牆變更表,我是不會收的...要做也是我自己去做,那輪的到妳來教我?)
我好像真的打到她的那個點上了,雖然我是無心的,但現在還滿開心的......
(SailPoint 我知道了,下一個方案吧,快點快點,今天只是會前會,受不了...我不高興了,我去買咖啡,等我!)
再一次,看到天樂從我面前,衝出會議室......不過老王是怎了? 怎麼一句話都不說? 算了,我也不想理他,等天樂回來,再繼續吧。
(待)
2020/09/25 SunAllen
請問文章裡面說的用VM的Linux刪除員帳,那產生的1002是使用者帳號(UID)還是員工帳號? 這邊我看不太懂!
那是被刪掉帳號的UID,人事全非,景色依舊的概念。
UID是帳號建立時就有了,A帳號建了檔案
檔案的owner 是A, 當A帳號被刪除時
他建的檔案的owner,沒有被改擁有者的情況下,就用uid取代。