Linux root 使用域使用者 kerberos 票證
我們剛剛將一組Centos6/7主機從純
OpenLDAP
基於身份驗證遷移到IPA
Kerberos。令我們驚訝的是,IPA 註冊主機上的本地 root 使用者可以使用“su”成為IPA
使用者。如果所選
IPA
使用者目前已登錄,“本地根”可以使用IPA
使用者 Kerberos 憑據以使用者身份在域中的主機間移動IPA
。Kerberos 票證轉發允許本地 root 使用者IPA
在該欄位中的任何允許的主機上假定使用者身份,直到它不能再續訂 Kerberos 票證(預設為 7 天)感覺像是倒退了一步。我們有需要在測試虛擬機上獲得 root 權限的開發人員
如果
IPA
管理員碰巧登錄到測試 VM,則開發人員可以登錄sudo su
到管理員,然後使用 Kerberos 委託IPA
登錄伺服器。IPA
然後他們可以對IPA
伺服器進行更改,而這一切都不需要IPA
使用者的密碼。我可以看到 Linux 安全模型是如何允許這樣做的,但感覺就像是一個有缺陷的情況。
有什麼方法可以安全地擁有不是域管理員的本地管理員?(即使它只適用於
Centos7
主機。Centos6 即將推出)
嗯,是的。PAM 允許 root 為所欲為,包括假設其他使用者的身份。
如果 ipa 管理員碰巧登錄到測試 vm,那麼開發人員可以 sudo su 到 ipa 管理員,然後使用 kerberos 委託登錄 ipa 伺服器。
不要那樣做。為身份服務使用單獨的管理員帳戶,並禁止其登錄隨機應用程序主機。這與不使用 Windows AD DS 域管理員帳戶作為日常驅動程序一樣好,只是不要。
也許使用基於 freeipa 主機的訪問控制來防止身份管理員接觸應用程序主機,反之亦然。
此外,僅將 root 授予您信任的所有可以登錄主機的帳戶的人。這可能意味著用權限較低的使用者和腳本替換 root 訪問權限,以作為 root 執行特定操作。或者,為不受信任的 root 使用者提供沒有 IPA 身份驗證的網路斷開主機。不太方便,但他們無法在沒有 Kerberos 的系統上傳遞票證。