公司網路中是否有適用於 linux 的權限管理系統以支持本地 root 使用者?
我在一家擁有各種系統(主要是 Windows 和 Ubuntu Linux)的大型研究機構(10k 使用者)工作。我不是這種網路結構的專家,但我自己在家使用 Ubuntu 工作,也喜歡安裝軟體。我們確實有一個 sudo 安裝通用 dep 包的白名單。但是,我們沒有完全的 sudo 訪問權限。Windows 使用者在 Windows 上擁有完整的管理員帳戶。我的管理員告訴我,我們不能在本地筆記型電腦上擁有完整的 sudo 訪問權限,因為這樣我還可以將使用者切換到我的管理員帳戶,並擁有網路範圍的 root 訪問權限。我想知道,如果沒有解決方案可以讓我在沒有網路範圍的 root 訪問權限的情況下成為本地 root。我的管理員告訴我這是不可能的。
有誰知道這樣的權限管理系統,它允許本地根但不允許網路範圍的根?
提前致謝。
在我們的本地筆記型電腦上擁有完整的 sudo 訪問權限,例如,我還可以將使用者切換到我的管理員帳戶,並擁有網路範圍的 root 訪問權限
確實可能是這種情況,但這說明了一種基於信任的老式網路/身份驗證設置,具有許多薄弱環節,例如:
- 主目錄儲存在 NFS 導出中(並且對它們的訪問不受例如 Kerberos 的保護,您的工作站也不僅限於訪問映射您的主目錄,而是可以訪問所有主目錄)
- 具有完全不受限制的 root 訪問權限,然後使用
su - admin_login
並將您自己的公鑰添加到管理員的~/.ssh/authorized_keys
- 使用您自己的 ssh 私鑰,您可以在安裝了管理員主目錄並允許 ssh 公鑰身份驗證的所有伺服器上以該管理員身份直接登錄
NOPASSWD
當管理員在他們的 sudo 策略或依賴(或另一個組)成員資格中設置了他們的帳戶wheel
並且不需要後續的其他身份驗證/密碼來成為 root 或執行其他特權操作時……如果上面描述了您網路中的問題/風險,那麼您的 Linux/UNIX 仍然依賴於非常經典的安全信任模型。
任何稱職的管理員早就應該停止這樣做,但可能存在遺留問題和考慮……
當您的 Linux/UNIX 網路依賴於信任並且對資源的訪問不受其他保護時,受信任設備的安全性就變得極為重要。一般來說,將安全性交到最終使用者手中是不明智的。換句話說,您不會向最終使用者授予完全 root 訪問權限。
Windows Active Directory / 域安全不太依賴信任(它比 Unix 發展得晚,然後遺留的東西要少得多,並且可以從改進的洞察力中受益),而是使用基於 Kerberos 身份驗證的非常強大的網路安全安全模型。
在這方面,終端設備的安全性不是一個問題,因為它們不是隱式受信任的,並且授予使用者本地管理員權限帶來的風險較小。
有誰知道這樣的權限管理系統,它允許本地根但不允許網路範圍的根?
刪除舊設置後,幾乎任何系統都可以做到這一點。FreeIPA、sssd、與您的 Windows AD 域等集成等。
但這要求您的 Linux/UNIX 網路停止(僅)依賴於傳統信任和基於 IP 地址/主機名的訪問控制。例如,實施圍繞本機 Kerberos 建構或與 AD 集成的許多適當/更強大的身份驗證系統之一。
停止使用“信任”(IP 地址/主機名)作為唯一的安全控制,並啟用對網路資源的正確身份驗證。例如,從包含主目錄的 NFS 共享開始,並將它們遷移到始終需要“正確”的身份驗證方法,例如 Kerberos,或者切換到也支持客戶端身份驗證的 CIFS/SMB。
那麼您的網路安全不再僅僅取決於受信任設備的安全,而是取決於使用者保持其憑據的安全。
一旦你這樣做了,你可以考慮授予像你這樣的最終使用者對他們的工作站更多的控制權。
此外:管理員可能還應該開始對他們的帳戶應用更多的安全控制,例如不要在他們的集中管理的 sudo 策略中使用 NOPASSWD。