您的情况示例了审计跟踪和适当访问控制的好处.例如,所有访问都需要获得批准的访问请求票证,无一例外.终止后,您将审核故障单系统.

对于公司内部的共同角色,访问可以标准化,甚至更容易消除.

对于IT角色,我们有一个电子表格,我们可以用它来终止.它列出了一切以防止疏忽.我们还审核了访问请求票据和我们的工作日志系统,因为所有生产变更都记录在那里.

管理员还应具有单独的用户帐户,用于访问管理权限.不应直接对root和管理帐户进行身份验证.虽然这在技术上并不可靠,但它可以实现审计跟踪和个人责任.有了这个,锁定他的所有帐户将是第一步,然后您更改所有管理员帐户.

如果您还没有,我会鼓励您实施其中一些解决方案,如果不是全部的话.我认为它们是不可或缺的,它可以降低非自愿终止时的风险.

首先,删除所有面向外部的访问.任何人都可以使用而无需在本地使用.然后,更改所有密码.每个管理员密码,每个系统密码,每个应用程序密码,每个供应商帐户密码,每个支持帐户密码 – 一切.如果报复的风险很大,您也可能会使所有员工的密码失效.

由于您没有Linux服务器的root密码,因此可以在单用户模式下启动并进行更改.使用GRUB和LILO,您只需添加单个.方法类似.

正如其他人所建议的那样,审核所有crontabs(位于/ var / spool / cron中),系统用户,运行守护进程,ssh密钥对以及系统.

虽然重建是唯一确定的方法,但在大多数情况下都不一定有必要.任何尊重的专业人士都不会冒这种喉咙反应的风险.它还可以使您的雇主追究刑事和民事损害赔偿.最后,我建议在执行尽职调查后与您的经理进行认真的讨论.