对于微盟事件，怎么来做权限管控呢？？？？

这是人造成的问题，管好人，自然意外少。即便没权限，当事人可以去到机房，照样可以破坏。
假如层层设防，最高权限的是老板；实际上老板是打工的，和大股东闹矛盾，一恼火删库，还是会出事。

@iConnect
学习了, 下次删库先注入脏数据, 再删数据库, 然后覆写硬盘, 最后删系统
get ✓

高危权限审批 原则上不允许删除命令
AWS S3 支持一次写入永不删除 做好备份不至于让人一锅端了

冷热备份。
权限多维。

不同备份的 root 权限在不同角色手里。
重要角色不允许同一个人兼任。

当然最重要的，把任何员工当人看。

@Mogamigawa 再加一条，删库脚本提前半年写好，设定时间执行，期间写一个脚本每天随机修改少部分关键数据。。。。

别伤人心就行了。

注意备份啊，备份没有权限删除。删库挡不住的，你禁止直接上机器删，人家在应用里面写段代码也一样删，拦不住的。大公司都很难做到所有漏洞都堵住，更不用说小一点的公司了

得跟原子弹攻击一样，得三个人在，一人掌握密码的一部分。哈哈哈。纯 YY。

泄露用户数据才是最可怕的

@Mogamigawa
@lscho

你们两个都是坏人，俺们是好人，俺们是遵纪守法的好人，俺们好人的做法是：

如果业务规则 A、B、C 同时，就会出现少量的数据错误，这个错误数据是没有业务规则监控的，这个发生的概率是几个月才能发生一次的，这个是程序 bug，不负法律责任的。

重要数据强制备份 6 个月，不可删除。

备份 审计 秘密共享 Shamir

砍掉危险的远程操作的权限
降低操作基础设施的频率，增加制度需多人同时操作，以及多因素登录验证，因素分人存放
更新和操作通过运维系统编写脚本自动执行，增加脚本提交后的审核机制

很早以前 v2 有个相机 app 招聘帖 贴主拿可以看用户妹子的手机号 吹嘘~（找不到这贴了 好想找到）
这就充分暴露其没有划分最小权限的结果， 和对隐私视若无物的无知

重要操作，删数表 /据库等 加个 2fa 的验证，要求 2 名运维的 2fa，或者主管的（软 /硬） key

类似银行的交叉认证，会好很多吧
当然银行没实行这些前 也有资金被盗的记录

纸上谈兵罢了，权限漏洞不是一两个人、一两天能补上的。

我敢保证现在 90% 的互联网公司，都有至少一个人具有破坏性的权限，可能他自己不知道，可能他自己不会用，可能他自己有良知。

所谓的权限最小化，成本（技术、管理、以及影响效率）高的飞起……这才是大家都没搞的原因。

到头来你只能相信大部分人。

就跟你拿刀随便去砍人一样，没人限制你不能砍，只是你会坐牢所以不做。

金融系统是所有数据全部异地+物理磁带库备份

看標題還在想這是有多大的數據量都沒有 Journal 型存儲裸奔麼，然後搜了一下新聞說 7 天就找回來了，確實是有的。
看來只是恢復便捷性上沒有刻意去做或者做了犧牲。
這就不知道了，因爲完全不熟。

然后呢？高管们以后外遇下属人妻再无后顾之忧？

然而又有几位高管还能敲命令，写脚本，开远程？最终也是把权限分散到 A 工程师 B 工程师 C 工程师。然后出事 A B C 一锅端。

让我想起处理李 WenLiA 的 Officer。他其实也是小人物，受了上司或者领导的指派。他有亲人或者朋友不幸染病吗？他内心有后悔吗？

感觉这次没有做异地备份就很有问题了，包括数据本地和备份一份在云能缓冲很多时间