active-directory – 为什么本地root能够su到任何LDAP用户?

前端之家收集整理的这篇文章主要介绍了active-directory – 为什么本地root能够su到任何LDAP用户?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们使用Active Directory设置了LDAP服务器.当用户登录到以root用户身份安装LDAP客户端的 Linux计算机时,他们可以在不需要该用户密码的情况下访问任何Active Directory帐户.这是一个很大的安全风险,有谁知道这是为什么或如何防止这种情况?

不幸的是,防止root访问不是一种选择,因为在某些情况下某些用户需要它.

解决方法

这是标准的Unix设计,你不能真正阻止root做任何他想做的事情.

更安全的设计会让用户使用sudo,而sudo配置只允许用户执行他们需要执行的特定任务.不受限制的sudo应该仅限于需要它来维护服务器的特定IT人员,并且实际的root密码应该保存在某个安全的地方.

猜你在找的Linux相关文章