linux – 多管理员root访问权限的最佳实践

前端之家收集整理的这篇文章主要介绍了linux – 多管理员root访问权限的最佳实践前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在尝试为一组 Linux服务器制定安全策略.我的组织中有8个人需要通过SSH进行根级别访问.

在过去的公司,我的解决方案是只允许RSA密钥,并为每个用户提供自己的密钥.

为了授予root权限,我将UID设置为0.这样就无需设置sudo或su,人们只是sudo su或sudo / bin / bash.它还让我做以下事情.

我修补了Bash,将getlogin()的返回值和命令记录到syslog中.然后,我记录了服务器上运行的所有内容以及与用户绑定的用户名.如果我使用su或sudo,我只会让用户root.

我现在正在一家新公司处于一个新的状态,并想知道是否有人有他们使用和喜欢的政策.

解决方法

我们使用sudo配置为允许来自组的命令.为了防止sudo -i或sudo bash,我设置了一个别名,包括我不允许使用的所有已知shell!在定义组可以做什么.这样,所有使用sudo运行的命令都会记录到syslog中.我安装和允许的唯一shell是 rootsh,它记录了从中完成的所有操作.
Cmnd_Alias SHELLS= /bin/sh,/bin/ksh,/bin/bash,/bin/zsh,/bin/csh,/bin/tcsh,/bin/login,/bin/su
%admin ALL = (ALL) ALL,!SHELLS

显然,没有什么可以阻止管理员

cp /bin/bash /tmp/shell
sudo /tmp/shell

为了绕过这种安全性,但你仍然赋予它们root权限,你无论如何都要信任它们……

猜你在找的Linux相关文章