保護本地網路免受未經授權的內部資源訪問的簡單方法
想像一下這個簡化的場景:一家小企業有一個所有者、一個簿記員、一個兼職系統管理員和幾十名員工;該公司有一個全Linux LAN。(大多數電腦執行 Arch Linux。)沒有配置對 LAN 的外部(WAN)訪問;LAN 資源僅在本地可用。
今天似乎一切都是基於雲的,但我試圖理解這個問題,而不必首先考慮基於雲的資源或遠端或出差員工的 WAN 訪問的複雜性。
目標是保護 LAN 上的資源免受未經授權的本地訪問,尤其是可以成為root的本地使用者。
系統管理員目前對所有電腦都具有 root 訪問權限。少數員工在他們的電腦上擁有 sudo 權限。目前,系統管理員可以訪問 LAN 上的任何和所有資源。
現在考慮這個新要求:除了所有者之外,簿記員是應該有權訪問公司財務資源的人。
系統管理員必須能夠繼續管理所有機器(從桌面支持到作業系統安裝)。
例如,系統管理員如何在遵守不能訪問儲存在本地文件伺服器上的財務資訊的要求的同時完成他的工作?
這是 LDAP 或 FreeIPA 等目錄服務完成的任務嗎?
對於過度勞累和訓練不足的 Linux 系統管理員,解決上述要求的簡單方法是什麼?
如果不能100%滿足要求,類似公司的普遍做法是什麼?
什麼是實現通用身份驗證系統以及具有加密的網路文件系統的簡單方法?
我見過的一些術語包括 FreeIPA、NIS、NIS+、LDAP、SSSD、Kerberos 等等。我不清楚這些中的每一個究竟如何適合上述場景中所需的簡單解決方案。
(額外的問題:一旦實現了上述目標,一般來說,需要更改哪些內容才能開始將此授權和訪問控制擴展到 WAN / 遠端客戶端?)
具有完整性和加密功能的 Kerberos (+ LDAP) + NFS(v4) 可能是保護本地網路的方法。Kerberos 為您的使用者提供身份驗證(防止模擬)、LDAP 集中式使用者管理。Kerberos 也是 NFS 加密和完整性選項的要求。
您無法輕鬆阻止具有 root 訪問權限的系統管理員訪問託管在他們管理的電腦上的數據。可以提取磁碟上未加密的文件,可以在伺服器上加密之前嗅探網路流量。如果系統管理員沒有(任何)對客戶端電腦的訪問權限,則對數據進行客戶端加密就足夠了。然而,任何管理訪問很可能會為惡意系統管理員提供足夠多的選項來找到獲取訪問權限的方法(從記憶體中竊取加密密鑰、用於擷取加密密碼的密鑰記錄器等)。