在提出这个问题之后,我一直在试用FreeIPA作为基于这个问题的中央认证来源:
Managing access to multiple linux system
我遇到的一个问题是,如果为用户提供本地root权限,他们可以依次登录FreeIPA目录中的任何用户.即使该用户无法通过HBAC规则访问该特定计算机.
示例场景:
> FreeIPA客户机PC1.
> FreeIPA中的两个用户:Bob和Alice.
>不允许Alice通过HBAC规则访问PC1. Bob在PC1上有本地root. Bob可以su成为PC1上的Alice.
我能找到的唯一信息是在/etc/pam.d/su中注释掉这一行:
auth sufficient pam_rootok.so
现在,如果他试图:su alice,请求本地root用于Alice的密码
但是,如果Bob具有root访问权限,则可以轻松启用上述PAM / su行. FreeIPA是否应该阻止Alice的帐户访问PC1,无论是通过直接登录尝试还是本地root suing?如何防止本地root作为任何FreeIPA用户登录?
解决方法
我将其归类为Linux“客户端”系统与FreeIPA之间的“安全漏洞”.虽然不一定是“bug”,但它将本地root帐户的能力扩展到超出本地O / S实例的能力(它应该“不应该”).
这个问题是关于UNIX及其工作原理的重复陈述是不正确的.虽然“root”帐户能够创建任何帐户ID的本地化版本并且能够创建“su”,但使用FreeIPA允许本地root帐户获取和访问本地实例外部存在的资源(尽管已经特别配置)不是’可用它’.
这是FreeIPA实施的一个问题,允许本地“root”帐户逃避其边界……