<div dir="ltr">haha . yes because to do a security audit there is no need to have access to any particular machines, nor to inform the sysadmin, and reaction from the system administrators could be seen as signs of paranoia which is necessary to have proper security. Its enough to plug in to a live network socket and test from there. Perhaps from more than one socket to get a bigger picture of the network, and looking at the setup is usually enough to get an idea.<div><br></div><div>Data security can be checked by physical intervention to any backup device, a bigger concern is often whether data can be rebuilt after server failure. Typically NAS Raid can be problematic.</div><div><br></div><div>At first I thought you were a pub ... but its a BB/Forum </div><div><br></div><div>Don't worry about what happens - they might find some holes and make some recommendations, and they still need someone to actually do the work and run the systems on a day to day basis...</div><div><br></div><div>Lots of people are panicking about the GDPR deadline for publishing compliance statement.</div><div><br></div><div>Usually I don't use a root password but pgp keys for ssh and when someone asks for access I ask for their public key and don't allow root logins any other way - its enough to shut up all the M$windows operators.</div><div><br></div><div>Good luck anyway, and when you get a chance think about what you would do if your server went bang as this is the most common security failure which I have come across. Not mentioning any names, but there are corporates out there who cannot do simple arithmetic such as hourly downtime costs which can amount to £100,000s if a server is lost. (hint - average cost of staff wages x 5 x number of staff) - the 5 is an arbitrary multiplier because staff have costs, overheads, and do work to generate revenues, so even with 10 staff on minimum wages (10 x 5 x 10 = £500/Hour) a live up to date backup server is needed.</div><div><br></div><div>Mark<br><div><br></div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 20 Feb 2019 at 17:26, Edinburgh Linux Users Group <<a href="mailto:edlug@lists.edlug.org.uk" target="_blank">edlug@lists.edlug.org.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"></div><div></div><div><br></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">I'd rather differ...<br></div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">The first thing to ask them would be what their concerns are. </div></blockquote><div><br></div><div>Whose concerns, the board of directors or the sys admin? :-) In this case it sounds like the board of directors (or their own stakeholders) have established the need to bring in an external auditor. If the machines are owned by the organisation, or holding the organisation's data, it's often above an admin's prerogative to push back on a request initiated by the organisation's upper management - hence separating the work machines from the personal ones to alleviate the sys admin's concerns...!<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div>I suspect that they just need to make sure that they comply with GDPR, and to know that their business systems are protected from public access.</div></div></blockquote><div><br></div><div>My take is, that's a compliance audit, not a security audit. All good questions mentioned, but they come before, and are separate from, a security audit.</div><div><br></div><div>In any case, it seems like the audit happened long before the mails were even forwarded on, so I'm not sure what was wanted as feedback....? :-)</div><div><br></div><div>-- Tai<br></div><div> </div></div></div>
-- <br>
EdLUG mailing list<br>
<a href="mailto:EdLUG@lists.edlug.org.uk" target="_blank">EdLUG@lists.edlug.org.uk</a><br>
<a href="https://lists.edlug.org.uk/mailman/listinfo/edlug" rel="noreferrer" target="_blank">https://lists.edlug.org.uk/mailman/listinfo/edlug</a></blockquote></div>