Centos

Linux root 使用域使用者 kerberos 票證

  • November 10, 2019

我們剛剛將一組Centos6/7主機從純OpenLDAP基於身份驗證遷移到IPAKerberos。令我們驚訝的是,IPA 註冊主機上的本地 root 使用者可以使用“su”成為IPA使用者。

如果所選IPA使用者目前已登錄,“本地根”可以使用IPA使用者 Kerberos 憑據以使用者身份在域中的主機間移動IPA。Kerberos 票證轉發允許本地 root 使用者IPA在該欄位中的任何允許的主機上假定使用者身份,直到它不能再續訂 Kerberos 票證(預設為 7 天)

感覺像是倒退了一步。我們有需要在測試虛擬機上獲得 root 權限的開發人員

如果IPA管理員碰巧登錄到測試 VM,則開發人員可以登錄sudo su到管理員,然後使用 Kerberos 委託IPA登錄伺服器。IPA然後他們可以對IPA伺服器進行更改,而這一切都不需要IPA使用者的密碼。

我可以看到 Linux 安全模型是如何允許這樣做的,但感覺就像是一個有缺陷的情況。

有什麼方法可以安全地擁有不是域管理員的本地管理員?(即使它只適用於Centos7主機。Centos6 即將推出)

嗯,是的。PAM 允許 root 為所欲為,包括假設其他使用者的身份。

如果 ipa 管理員碰巧登錄到測試 vm,那麼開發人員可以 sudo su 到 ipa 管理員,然後使用 kerberos 委託登錄 ipa 伺服器。

不要那樣做。為身份服務使用單獨的管理員帳戶,並禁止其登錄隨機應用程序主機。這與不使用 Windows AD DS 域管理員帳戶作為日常驅動程序一樣好,只是不要。

也許使用基於 freeipa 主機的訪問控制來防止身份管理員接觸應用程序主機,反之亦然。

此外,僅將 root 授予您信任的所有可以登錄主機的帳戶的人。這可能意味著用權限較低的使用者和腳本替換 root 訪問權限,以作為 root 執行特定操作。或者,為不受信任的 root 使用者提供沒有 IPA 身份驗證的網路斷開主機。不太方便,但他們無法在沒有 Kerberos 的系統上傳遞票證。

引用自:https://serverfault.com/questions/991238