Quản lý thông tin máy chủ cho Linux và Windows

12

Chúng tôi là một cửa hàng tương đối nhỏ (theo số lượng sysadins) với sự kết hợp của các máy chủ RHEL, Solaris, Windows 2003 và Windows 2008; khoảng 200 máy chủ trong tất cả.

Đối với tài khoản quản trị viên của chúng tôi ( roottrong Linux và admnistratortrong Windows), chúng tôi có sơ đồ mật khẩu phụ thuộc vào vị trí trung tâm dữ liệu và một vài thuộc tính tài liệu khác của máy chủ.

Trên Linux, thực hành hiện tại của chúng tôi là tạo ra một chia sẻ tài khoản không có đặc quyền, nơi chúng tôi có thể suđến root. Trên các hệ thống dựa trên Windows, chúng tôi tạo một tài khoản bổ sung với các đặc quyền của quản trị viên. Cả hai tài khoản này đều chia sẻ cùng một mật khẩu.

Điều này đã được chứng minh là rất không hiệu quả. Khi ai đó rời khỏi cửa hàng của chúng tôi, chúng tôi phải:

  1. Thay đổi lược đồ mật khẩu cho tài khoản quản trị viên
  2. Tạo mật khẩu quản trị viên mới cho mỗi và mọi máy chủ
  3. Hãy đến với một mật khẩu tài khoản không phải quản trị viên mới
  4. Chạm vào mọi máy chủ và thay đổi mật khẩu

Tôi muốn biết liệu có ai trong một môi trường tương tự có thể đề xuất một cách quản lý chặt chẽ hơn những thông tin này không. Một số thông tin liên quan:

  • Mặc dù hầu hết các máy chủ của chúng tôi là một phần của miền AD của chúng tôi, nhưng không phải tất cả đều như vậy.
  • Chúng tôi quản lý tất cả các máy chủ Linux của mình bằng Puppet (xác thực khóa là một tùy chọn tôi nghĩ đến nhưng nó sẽ chỉ giải quyết mối quan tâm số 3 ở trên).
  • Chúng tôi cung cấp sever Linux với Cobbler.
  • Khoảng 10% phần cứng của chúng tôi được dành riêng cho VMWare. Trong những trường hợp đó, chúng tôi sử dụng các mẫu VMWare để xây dựng máy chủ.

Bất kỳ ý tưởng hoặc đề xuất sẽ được đánh giá rất cao. Đây là một vấn đề đã tồn tại một thời gian và cuối cùng tôi muốn giải quyết nó.

linux  windows-server-2008  security  active-directory  puppet 
Belmin
nguồn

Câu trả lời:

10

Một vài gợi ý tôi sẽ có là:

  • Các máy chủ được kết nối Windows AD có thể đặt mật khẩu quản trị viên cục bộ thông qua chính sách nhóm bằng cách sử dụng Tùy chọn chính sách nhóm (GPP) hoặc tập lệnh khởi động máy tính. Xem http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/

  • Hạn chế tạo tài khoản cục bộ trên máy chủ Windows trừ khi được yêu cầu. Sử dụng tài khoản AD khi có thể.

  • Sử dụng LDAP cho máy tính Linux để xác thực tài khoản quản trị viên cho AD. Điều này đơn giản hóa việc quản lý tài khoản phần nào. Và khi một quản trị viên chỉ cần vô hiệu hóa ở một nơi và không có quyền truy cập, thì bạn có thể dọn sạch phía Linux một cách thoải mái.

  • Sử dụng tệp / etc / sudoers cho tài khoản quản trị cụ thể trên linux thì quản trị viên không cần mật khẩu gốc. Điều này có thể tốt trong trường hợp của bạn bởi vì sau đó họ sẽ hiếm khi cần mật khẩu gốc để nó có thể bị khóa. Đã cập nhật

  • Giữ mật khẩu quản trị viên gốc và cục bộ trong một mật khẩu an toàn không phải kiến ​​thức chung. Một số két mật khẩu có ủy quyền và đăng nhập, do đó bạn thậm chí không cần phải đặt lại mật khẩu nếu người đó không bao giờ có quyền truy cập vào mật khẩu.

  • Tự động hóa quá trình đặt lại mật khẩu cho tài khoản root và quản trị viên. Cả Linux và Windows đều có thể được viết kịch bản để làm điều này để nó có thể giúp bạn tiết kiệm thời gian và không khiến nó trở thành gánh nặng quá lớn.

Mong rằng sẽ giúp.

Bernie trắng
nguồn
Vấn đề của tôi với LDAP là một điểm thất bại. Tôi muốn quản lý tài khoản thông qua Puppet. Và đánh giá cao đề xuất của bạn. Cảm ơn bạn @Bernie!
Belmin Fernandez
1
@Beaming Nếu bạn sử dụng Active Directory, bạn có thể có nhiều hơn một Bộ điều khiển miền (không có một điểm lỗi nào) và sau đó trỏ đến tên miền DNS, ví dụ domain.com để lấy tất cả các bộ điều khiển miền cho truy vấn LDAP. Hoặc bạn có thể thiết lập bản ghi DNS để trỏ đến các DC cụ thể nếu bạn chỉ muốn hai hoặc ba phản hồi với LDAP như ldap.domain.com. Tôi đã không sử dụng Puppet nhưng chìa khóa để quản trị người dùng dễ dàng không phải là một nguồn duy nhất nếu có thể. Dường như Puppet có thể kết nối với máy chủ LDAP back-end nếu bạn thích nó theo cách đó.
Bernie White
Đồng ý rằng AD là con đường để đi đến đây. Với hơn 2 bộ điều khiển miền, khả năng AD hoàn toàn đi xuống là rất mong manh, nhưng đồng thời, nếu có, bạn có thể gặp vấn đề lớn hơn nhiều. Duy trì tài khoản root cục bộ trên các máy chủ linux của bạn để được sử dụng như là phương sách cuối cùng nếu tất cả các cách khác đều thất bại.
EEAA
2
@Bernie - liên quan đến điểm thứ 3 của bạn. Khi sử dụng sudo, không ai cần biết mật khẩu root. Bằng cách chỉ định "NOPASSWD" trên mục nhập sudo, người dùng không cần nhập mật khẩu của riêng họ . Điều này không có gì để làm với mật khẩu root.
EEAA
@ErikA +1 Rất đúng. Đã xóa tham chiếu đến NOPASSWD vì nó không giúp trả lời câu hỏi /
Bernie White
2

Bạn có thể thử và xem FreeIPA có hiệu quả với bạn không.

Bạn có thể quản lý quyền truy cập của người dùng đến máy chủ từ một vị trí trung tâm. Theo đề xuất của người khác, bạn có thể xem nếu sudo hoạt động cho bạn để truy cập cấp gốc. Freeipa hỗ trợ sudoers trong LDAP, vì vậy bạn không phải duy trì nó trên mỗi máy chủ hoặc thông qua con rối, v.v.

Freeipa hỗ trợ máy khách Linux, Solaris và Windows. Bạn có thể mất một số tính năng AD nhất định và tôi không chắc chắn những hạn chế khác mà máy khách Windows sẽ có.

Nó có các tính năng sao chép, vì vậy bạn có thể tránh SPOF. Phần cuối là LDAP, vì vậy bạn có thể sử dụng lại nhiều công cụ mà mọi người sử dụng cho LDAP, như các tập lệnh sao lưu.

Nó hỗ trợ kiểm soát truy cập dựa trên máy chủ, vì vậy bạn có thể nói "người dùng X chỉ có thể đăng nhập vào máy chủ Y".

Nó cũng cung cấp đồng bộ hóa AD . Tôi không phải là người Windows, vì vậy tôi không biết điều đó có nghĩa gì.

Không phải bây giờ
nguồn
1

Không sử dụng tài khoản Quản trị viên tiêu chuẩn. Về phía Windows, hãy tạo tài khoản người dùng và tài khoản Quản trị viên cho mỗi người dùng cần quyền truy cập của Quản trị viên. Bạn có thể sử dụng bất kỳ công cụ nào để đồng bộ hóa với UNIX.

Nếu ai đó rời đi, thì bạn chỉ cần xóa tài khoản người dùng và quản trị viên của họ.

Để bảo mật tài khoản Quản trị viên tiêu chuẩn, hãy cung cấp cho nó một mật khẩu thực sự dài và phức tạp, sau đó đảm bảo rằng bất kỳ ai cũng chỉ có một nửa. Nếu họ cần sử dụng toàn bộ tài khoản, thì họ cần phải đi tìm một người có nửa kia.

Đó là về an toàn như tôi có thể nghĩ.

mauvedeity
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.