linux – 多管理员root访问权限的最佳实践
发布时间:2020-12-14 02:38:59 所属栏目:Linux 来源:网络整理
导读:我正在尝试为一组 Linux服务器制定安全策略.我的组织中有8个人需要通过SSH进行根级别访问. 在过去的公司,我的解决方案是只允许RSA密钥,并为每个用户提供自己的密钥. 为了授予root权限,我将UID设置为0.这样就无需设置sudo或su,人们只是sudo su或sudo / bin /
|
我正在尝试为一组
Linux服务器制定安全策略.我的组织中有8个人需要通过SSH进行根级别访问.
在过去的公司,我的解决方案是只允许RSA密钥,并为每个用户提供自己的密钥. 为了授予root权限,我将UID设置为0.这样就无需设置sudo或su,人们只是sudo su或sudo / bin / bash.它还让我做以下事情. 我修补了Bash,将getlogin()的返回值和命令记录到syslog中.然后,我记录了服务器上运行的所有内容以及与用户绑定的用户名.如果我使用su或sudo,我只会让用户root. 我现在正在一家新公司处于一个新的状态,并想知道是否有人有他们使用和喜欢的政策. 解决方法
我们使用sudo配置为允许来自组的命令.为了防止sudo -i或sudo bash,我设置了一个别名,包括我不允许使用的所有已知shell!在定义组可以做什么.这样,所有使用sudo运行的命令都会记录到syslog中.我安装和允许的唯一shell是
rootsh,它记录了从中完成的所有操作.
Cmnd_Alias SHELLS= /bin/sh,/bin/ksh,/bin/bash,/bin/zsh,/bin/csh,/bin/tcsh,/bin/login,/bin/su %admin ALL = (ALL) ALL,!SHELLS 显然,没有什么可以阻止管理员 cp /bin/bash /tmp/shell sudo /tmp/shell 为了绕过这种安全性,但你仍然赋予它们root权限,你无论如何都要信任它们…… (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |