Pam

FreeIPA:防止本地 root 訪問使用者帳戶

  • April 5, 2015

所以在問了這個問題之後,我一直在測試 FreeIPA 作為基於這個問題的中央身份驗證源:管理對多個 linux 系統的訪問

我遇到的一個問題是,如果使用者被授予本地 root 權限,他們可以反過來以 FreeIPA 目錄中的任何使用者身份登錄。即使該使用者無法通過 HBAC 規則訪問該特定機器。

範例場景:

  • FreeIPA 客戶端電腦PC1
  • FreeIPA 中的兩個使用者:Bob 和 Alice。
  • Alice不允許通過 HBAC 規則訪問 PC1。Bob 在 PC1 上有本地根。Bob 可以在 PC1 上su成為 Alice。

我能找到的唯一資訊是在 /etc/pam.d/su 中註釋掉這一行:

auth            sufficient      pam_rootok.so

如果他試圖:su alice

但是,如果 Bob 具有 root 訪問權限,他可以很容易地啟用上述 PAM/su 行。FreeIPA 不應該阻止 Alice 的帳戶訪問 PC1,無論是通過直接登錄嘗試還是本地 root su -ing?如何防止本地根以任何 FreeIPA 使用者身份登錄?

我會將其歸類為 Linux“客戶端”系統和 FreeIPA 之間的關係之間的“安全漏洞”。雖然不一定是“錯誤”,但它確實將本地 root 帳戶的能力擴展到本地 O/S 實例之外(它應該“不”)。

關於這個問題完全與 UNIX 及其工作原理有關的重複聲明是不正確的。儘管“root”帳戶能夠創建任何帳戶 ID 的本地化版本和“su”,但 FreeIPA 的使用允許本地 root 帳戶獲取和訪問本地實例外部存在的資源(儘管專門配置了“不可用)。

這是 FreeIPA 實現的一個問題,允許本地“root”帳戶逃脫其邊界……

引用自:https://serverfault.com/questions/592081