Linux: sysadins sản xuất không có root (đảm bảo sở hữu trí tuệ)?

Có cách nào để làm cho một syadmin Linux dày dạn hiệu quả mà không cho anh ta quyền truy cập root đầy đủ không?

Câu hỏi này xuất phát từ quan điểm bảo vệ sở hữu trí tuệ (IP), trong trường hợp của tôi, hoàn toàn là mã và / hoặc tệp cấu hình (nghĩa là các tệp kỹ thuật số nhỏ dễ dàng sao chép). Nước sốt bí mật của chúng tôi đã làm cho chúng tôi thành công hơn so với kích thước nhỏ của chúng tôi sẽ đề nghị. Tương tự như vậy, chúng tôi đã từng bị cắn một lần, hai lần ngại ngùng trước một vài nhân viên vô đạo đức trước đây (không phải sysadins), những người đã cố gắng đánh cắp IP. Vị trí quản lý hàng đầu về cơ bản là, "Chúng tôi tin tưởng mọi người, nhưng vì lợi ích cá nhân, không thể chấp nhận rủi ro cho bất kỳ ai truy cập nhiều hơn họ thực sự cần phải làm công việc của họ."

Về phía nhà phát triển , việc phân vùng quy trình công việc và cấp độ truy cập sao cho mọi người có thể làm việc tương đối dễ dàng nhưng chỉ nhìn thấy những gì họ cần xem. Chỉ những người hàng đầu (chủ sở hữu công ty thực tế) có khả năng kết hợp tất cả các thành phần và tạo ra nước sốt đặc biệt.

Nhưng tôi đã không thể đưa ra một cách tốt để duy trì bí mật IP này ở phía quản trị viên Linux. Chúng tôi sử dụng rộng rãi GPG cho mã và các tệp văn bản nhạy cảm ... nhưng điều gì sẽ ngăn quản trị viên (ví dụ) kiện người dùng và nhảy vào phiên tmux hoặc GNU Screen của họ và xem họ đang làm gì?

(Chúng tôi cũng bị vô hiệu hóa truy cập Internet ở mọi nơi có thể tiếp xúc với thông tin nhạy cảm. Nhưng, không có gì là hoàn hảo và có thể có lỗ hổng đối với các hệ thống thông minh hoặc lỗi ở phía quản trị mạng. Hoặc thậm chí là USB cũ. tất nhiên có rất nhiều biện pháp khác, nhưng những biện pháp này nằm ngoài phạm vi của câu hỏi này.)

Điều tốt nhất tôi có thể đưa ra là về cơ bản sử dụng các tài khoản được cá nhân hóa với sudo , tương tự như những gì được mô tả trong nhiều hệ thống Linux hoạt động như root . Cụ thể: không ai ngoại trừ chủ sở hữu công ty thực sự sẽ có quyền truy cập root trực tiếp. Quản trị viên khác sẽ có một tài khoản cá nhân và khả năng sudo vào root. Hơn nữa, đăng nhập từ xa sẽ được thiết lập và nhật ký sẽ đi đến một máy chủ mà chỉ chủ sở hữu công ty có thể truy cập. Thấy đăng nhập bị tắt sẽ đặt ra một số loại cảnh báo.

Một sysadmin thông minh có thể vẫn có thể tìm thấy một số lỗ hổng trong sơ đồ này. Và điều đó sang một bên, nó vẫn phản ứng chứ không phải chủ động . Vấn đề với IP của chúng tôi là các đối thủ cạnh tranh có thể sử dụng nó rất nhanh và gây ra nhiều thiệt hại trong thời gian rất ngắn.

Vì vậy, vẫn tốt hơn sẽ là một cơ chế giới hạn những gì quản trị viên có thể làm. Nhưng tôi nhận ra rằng đây là một sự cân bằng tinh tế (đặc biệt là trong vấn đề xử lý sự cố và khắc phục các vấn đề sản xuất cần được giải quyết ngay bây giờ ).

Tôi không thể tự hỏi làm thế nào các tổ chức khác có dữ liệu rất nhạy cảm quản lý vấn đề này? Ví dụ: sysadins quân sự: làm thế nào để họ quản lý máy chủ và dữ liệu mà không thể xem thông tin bí mật?

Chỉnh sửa: Trong bài đăng ban đầu, tôi có ý định giải quyết các ý kiến ​​"thực hành tuyển dụng" đang bắt đầu nổi lên. Thứ nhất, đây được cho là một câu hỏi kỹ thuật và các hoạt động tuyển dụng IMO có xu hướng hướng tới các câu hỏi xã hội nhiều hơn . Nhưng, hai, tôi sẽ nói điều này: Tôi tin rằng chúng tôi làm mọi thứ hợp lý để tuyển người: phỏng vấn với nhiều ngườingười ở hãng; kiểm tra lý lịch và tham khảo; tất cả nhân viên ký nhiều tài liệu pháp lý, bao gồm một tài liệu nói rằng họ đã đọc và hiểu cuốn sổ tay của chúng tôi, trong đó nêu chi tiết các mối quan tâm về IP. Bây giờ, nó nằm ngoài phạm vi của câu hỏi / trang web này, nhưng nếu ai đó có thể đề xuất các hoạt động tuyển dụng "hoàn hảo" để lọc ra 100% các diễn viên xấu, thì tôi đều nghe thấy. Sự thật là: (1) Tôi không tin có một quy trình tuyển dụng hoàn hảo như vậy; (2) con người thay đổi - thiên thần ngày nay có thể là ác quỷ của ngày mai; (3) hành vi trộm cắp mã dường như là một thói quen thường xuyên trong ngành này.

Những gì bạn đang nói về được gọi là nguy cơ "Evil Sysadmin". Dài và ngắn của nó là:

• Một sysadmin là người có đặc quyền nâng cao
• Về mặt kỹ thuật, đến một mức độ có thể khiến họ trở thành một 'hacker' giỏi.
• Tương tác với các hệ thống trong các kịch bản dị thường.

Sự kết hợp của những điều này làm cho về cơ bản không thể ngăn chặn hành động độc hại. Ngay cả kiểm toán cũng trở nên khó khăn, bởi vì bạn không có 'bình thường' để so sánh. (Và thẳng thắn - một hệ thống bị hỏng cũng có thể đã bị hỏng kiểm toán).

Có một loạt các bước giảm nhẹ:

• Phân tách đặc quyền - bạn không thể ngăn một anh chàng root làm bất cứ điều gì trên hệ thống. Nhưng bạn có thể khiến một nhóm chịu trách nhiệm về mạng và một nhóm khác chịu trách nhiệm về 'hệ điều hành' (hoặc Unix / Windows riêng).
• Hạn chế quyền truy cập vật lý vào bộ công cụ cho một nhóm khác, những người không có tài khoản quản trị viên ... nhưng hãy chăm sóc tất cả các công việc 'tay'.
• Phân tách trách nhiệm 'máy tính để bàn' và 'máy chủ'. Cấu hình máy tính để bàn để ngăn chặn loại bỏ dữ liệu. Quản trị viên máy tính để bàn không có khả năng truy cập nhạy cảm, quản trị viên máy chủ có thể đánh cắp nó, nhưng phải nhảy qua các vòng để đưa nó ra khỏi tòa nhà.
• Kiểm toán hệ thống truy cập hạn chế - syslogvà kiểm toán cấp độ sự kiện, đối với hệ thống chống tương đối giả mạo mà họ không có quyền truy cập đặc quyền. Nhưng thu thập nó là không đủ, bạn cần theo dõi nó - và thẳng thắn, có rất nhiều cách để 'đánh cắp' thông tin có thể không hiển thị trên một radar kiểm toán. (Poacher so với người chơi game)
• áp dụng mã hóa 'ở phần còn lại', do đó dữ liệu không được lưu trữ 'trong sạch' và yêu cầu một hệ thống trực tiếp để truy cập. Điều này có nghĩa là những người có quyền truy cập vật lý không thể truy cập vào một hệ thống không được theo dõi tích cực và trong trường hợp 'dị thường' khi một sysadmin đang làm việc trên nó, dữ liệu sẽ ít bị lộ hơn. (ví dụ: nếu cơ sở dữ liệu không hoạt động, dữ liệu có thể không đọc được)
• Quy tắc hai người đàn ông - nếu bạn ổn với năng suất của bạn bị tê liệt, và tinh thần của bạn cũng vậy. (Nghiêm túc - Tôi đã thấy nó được thực hiện, và trạng thái làm việc và bị theo dõi liên tục làm cho điều kiện làm việc cực kỳ khó khăn).
• Vet sysadins của bạn - kiểm tra hồ sơ khác nhau có thể tồn tại tùy thuộc vào quốc gia. (Hồ sơ hình sự kiểm tra, bạn có thể thậm chí tìm thấy bạn có thể áp dụng cho một giải phóng mặt bằng an ninh trong một số trường hợp, điều này sẽ kích hoạt rà soát)
• Chăm sóc các sysadins của bạn - điều cuối cùng tuyệt đối bạn muốn làm là nói với một người "đáng tin cậy" rằng bạn không tin tưởng họ. Và bạn chắc chắn không muốn làm tổn hại tinh thần, bởi vì điều đó làm tăng cơ hội cho hành vi độc hại (hoặc 'không hoàn toàn sơ suất, nhưng trượt dốc trong cảnh giác'). Nhưng trả lương theo trách nhiệm cũng như bộ kỹ năng. Và xem xét 'đặc quyền' - rẻ hơn tiền lương, nhưng có lẽ có giá trị hơn. Giống như cà phê miễn phí, hoặc pizza mỗi tuần một lần.
• và bạn cũng có thể thử và áp dụng các điều kiện hợp đồng để ức chế nó, nhưng hãy cảnh giác với những điều trên.

Nhưng về cơ bản khá - bạn cần phải chấp nhận rằng đây là một điều đáng tin cậy, không phải là một điều kỹ thuật. Sysadins của bạn sẽ luôn có khả năng rất nguy hiểm đối với bạn, là kết quả của cơn bão hoàn hảo này.

Mọi thứ được nói cho đến nay đều là những thứ tốt nhưng có một cách "dễ dàng" về mặt kỹ thuật giúp phủ nhận một quản trị viên hệ thống lừa đảo - nguyên tắc bốn mắt về cơ bản đòi hỏi phải có hai sysadins cho bất kỳ quyền truy cập nâng cao nào.

EDIT: Hai mục lớn nhất mà tôi thấy trong các bình luận là thảo luận về chi phí và khả năng thông đồng. Một trong những cách lớn nhất mà tôi đã cân nhắc để tránh cả hai vấn đề đó là sử dụng một công ty dịch vụ được quản lý chỉ được sử dụng để xác minh các hành động được thực hiện. Thực hiện đúng các công nghệ sẽ không biết nhau. Giả sử năng lực kỹ thuật rằng MSP nên có đủ dễ dàng để có một dấu hiệu hành động được thực hiện .. thậm chí có thể đơn giản như có / không đối với bất cứ điều gì bất chính.

Nếu mọi người thực sự cần quản trị viên truy cập vào một hệ thống thì bạn có thể làm rất ít để hạn chế các hoạt động của họ trên hộp đó.

Điều mà phần lớn các tổ chức làm là tin tưởng, nhưng xác minh - bạn có thể cấp cho mọi người quyền truy cập vào các phần của hệ thống nhưng bạn sử dụng tài khoản quản trị viên có tên (ví dụ: bạn không cấp cho họ quyền truy cập trực tiếp vào root ) và sau đó kiểm tra hoạt động của họ để ghi nhật ký không thể can thiệp vào.

Có một hành động cân bằng ở đây; bạn có thể cần bảo vệ hệ thống của mình nhưng bạn cũng cần tin tưởng mọi người làm công việc của họ. Nếu công ty trước đây bị "cắn" bởi một nhân viên vô đạo đức thì điều này có thể gợi ý rằng các công ty tuyển dụng thực hành kém theo một cách nào đó, và những thực tiễn đó có lẽ được tạo ra bởi "các nhà quản lý hàng đầu". Niềm tin bắt đầu ở nhà; họ đang làm gì để sửa chữa lựa chọn tuyển dụng của họ?

Không đặt mình vào một tâm trí kỹ thuật điên rồ để cố gắng và đưa ra một cách để cung cấp một sức mạnh sysadmin mà không cung cấp cho họ sức mạnh (có thể là có thể làm được, nhưng cuối cùng sẽ bị sai sót theo một cách nào đó).

Từ quan điểm thực tiễn kinh doanh có một bộ các giải pháp đơn giản. Không phải giải pháp rẻ tiền, nhưng đơn giản.

Bạn đã đề cập rằng các mảnh IP mà bạn quan tâm được chia ra và chỉ những người ở trên cùng mới có quyền nhìn thấy chúng. Đây thực chất là câu trả lời của bạn. Bạn nên có nhiều quản trị viên và KHÔNG phải là quản trị viên trên đủ hệ thống để tạo thành một bức tranh hoàn chỉnh. Tất nhiên bạn sẽ cần ít nhất 2 hoặc 3 quản trị viên cho mỗi tác phẩm, trong trường hợp quản trị viên bị ốm hoặc gặp tai nạn xe hơi hoặc một cái gì đó. Thậm chí có thể lảo đảo họ. nói rằng bạn có 4 quản trị viên và 8 mẩu thông tin. quản trị viên 1 có thể truy cập các hệ thống có phần 1 và 2, quản trị viên 2 có thể truy cập vào phần 2 và 3, quản trị viên 3 có thể truy cập vào 3 và 4 và quản trị viên 4 có thể nhận được 4 và 1. Mỗi hệ thống có một quản trị viên dự phòng, nhưng không quản trị viên có thể thỏa hiệp hình ảnh hoàn chỉnh.

Một kỹ thuật mà quân đội cũng sử dụng là giới hạn dữ liệu di chuyển. Trong một khu vực nhạy cảm, có thể chỉ có một hệ thống duy nhất có khả năng ghi đĩa hoặc sử dụng ổ flash USB, tất cả các hệ thống khác đều bị hạn chế. Và khả năng sử dụng hệ thống đó là vô cùng hạn chế và cần có sự chấp thuận cụ thể bằng văn bản của những người cấp cao hơn trước khi bất kỳ ai được phép đưa bất kỳ dữ liệu nào vào bất cứ điều gì có thể dẫn đến sự cố tràn thông tin. Cùng một mã thông báo, bạn đảm bảo rằng lưu lượng mạng giữa các hệ thống khác nhau bị giới hạn bởi tường lửa phần cứng. Quản trị viên mạng của bạn kiểm soát tường lửa không có quyền truy cập vào hệ thống mà họ đang định tuyến, do đó họ không thể truy cập thông tin một cách cụ thể và quản trị viên máy chủ / máy trạm của bạn đảm bảo rằng tất cả dữ liệu đến và từ hệ thống được định cấu hình để được mã hóa,

Tất cả máy tính xách tay / máy trạm nên có ổ cứng được mã hóa và mỗi nhân viên nên có một tủ khóa cá nhân mà họ được yêu cầu khóa ổ đĩa / máy tính xách tay vào cuối đêm để đảm bảo rằng không ai đến sớm / rời muộn và có quyền truy cập vào thứ gì đó họ không được phép.

Mỗi máy chủ ít nhất phải ở trong giá bị khóa riêng của mình, nếu không phải là phòng bị khóa riêng, để chỉ các quản trị viên chịu trách nhiệm cho mỗi máy chủ có quyền truy cập vào đó, vì vào cuối ngày truy cập vật lý sẽ bỏ qua tất cả.

Tiếp theo là một thực hành có thể làm tổn thương / giúp đỡ. Hợp đồng hạn chế. Nếu bạn nghĩ rằng bạn có thể trả đủ tiền để tiếp tục thu hút tài năng mới, tùy chọn chỉ giữ mỗi quản trị viên trong một khoảng thời gian xác định trước (IE 6 tháng, 1 năm, 2 năm) sẽ cho phép bạn giới hạn thời gian ai đó sẽ có để cố gắng kết hợp tất cả các phần của IP của bạn.

Thiết kế cá nhân của tôi sẽ là một thứ gì đó dọc theo ... Chia dữ liệu của bạn thành nhiều phần, giả sử vì có số 8, bạn có 8 máy chủ git, mỗi máy chủ có phần cứng dự phòng riêng, mỗi bộ được quản lý bởi một bộ quản trị viên khác nhau.

Ổ cứng được mã hóa cho tất cả các máy trạm sẽ chạm vào IP. với một thư mục "dự án" cụ thể trên ổ đĩa, đó là thư mục duy nhất mà người dùng được phép đưa dự án của họ vào. Vào cuối mỗi đêm, họ được yêu cầu vệ sinh thư mục dự án của mình bằng một công cụ xóa an toàn, sau đó ổ cứng được gỡ bỏ và bị khóa (chỉ để được an toàn).

Mỗi bit của dự án có một quản trị viên khác nhau được gán cho nó, vì vậy người dùng sẽ chỉ tương tác với quản trị viên máy trạm mà họ được chỉ định, nếu phân công dự án của họ thay đổi, dữ liệu của họ bị xóa, họ được chỉ định một quản trị viên mới. Hệ thống của họ không nên có khả năng ghi đĩa và nên sử dụng chương trình bảo mật để ngăn chặn việc sử dụng ổ flash USB để truyền dữ liệu mà không được phép.

lấy từ đây những gì bạn sẽ.

Nó sẽ tương tự như thách thức thuê người gác cổng cho một tòa nhà. Người gác cổng có được tất cả chìa khóa, có thể mở bất kỳ cánh cửa nào, nhưng lý do là người gác cổng cần họ để thực hiện công việc. Tương tự với quản trị viên hệ thống. Đối xứng người ta có thể nghĩ về vấn đề cũ kỹ này và nhìn vào cách tin tưởng được cấp trong lịch sử.

Mặc dù không có giải pháp kỹ thuật rõ ràng nào, nhưng thực tế không phải là lý do mà chúng ta không thử, một tập hợp các giải pháp không hoàn hảo có thể mang lại kết quả tuyệt vời.

Một mô hình mà sự tin tưởng kiếm được :

• Cung cấp ít quyền hơn để bắt đầu với
• Dần dần tăng quyền
• Đặt một honeypot và theo dõi những gì xảy ra trong những ngày tới
• Nếu sysadmin báo cáo nó thay vì cố gắng lạm dụng nó, đó là một khởi đầu tốt

Thực hiện một số cấp quyền hành chính :

• Cấp 1: Có thể sửa đổi tầng tệp cấu hình thấp hơn
• Cấp độ 2: Có thể sửa đổi tầng tệp cấu hình cao hơn một chút
• Cấp độ 3: Có thể sửa đổi lớp tệp cấu hình và cài đặt hệ điều hành cao hơn một chút

Luôn tạo một môi trường nơi không thể truy cập toàn bộ bởi một người :

• Hệ thống phân chia thành cụm
• Trao quyền quản trị cụm cho các nhóm khác nhau
• Tối thiểu 2 nhóm

Sử dụng quy tắc Hai người khi thực hiện các thay đổi cốt lõi cấp cao :

• https://en.wikipedia.org/wiki/Two-man_rule
• Yêu cầu quản trị viên từ cluster1 và cluster2 để thay đổi cốt lõi

Tin tưởng và xác minh :

• Đăng nhập mọi thứ
• Theo dõi và cảnh báo nhật ký
• Đảm bảo mọi hành động đều có thể phân biệt được

Giấy tờ :

• Yêu cầu họ ký giấy tờ để hệ thống pháp lý có thể giúp bạn bằng cách kiện họ nếu họ làm tổn thương bạn sẽ có thêm động lực để không làm như vậy

Rất khó để bảo mật máy chủ chống lại những người có quyền truy cập quản trị. Trong khi các công cụ như PowerBroker cố gắng thực hiện việc này, chi phí sẽ tăng thêm cả hai thứ khác có thể phá vỡ VÀ thêm các rào cản cho các nỗ lực khắc phục nó. Tính khả dụng của hệ thống của bạn S drop giảm khi bạn thực hiện một cái gì đó như thế này để đặt kỳ vọng đó sớm là chi phí bảo vệ mọi thứ.

Một khả năng khác là xem ứng dụng của bạn có thể chạy trên các máy chủ dùng một lần thông qua nhà cung cấp đám mây hoặc trong đám mây riêng được lưu trữ cục bộ hay không. Khi một lỗi bị hỏng, thay vì gửi một quản trị viên để sửa nó, bạn vứt nó đi và tự động xây dựng một sự thay thế. Điều này sẽ đòi hỏi khá nhiều công việc về phía ứng dụng để làm cho chúng chạy trong mô hình này, nhưng nó có thể giải quyết rất nhiều vấn đề về vận hành và bảo mật. Nếu được thực hiện kém, nó có thể tạo ra một số vấn đề bảo mật quan trọng, vì vậy hãy nhận trợ giúp có kinh nghiệm nếu bạn đi theo con đường đó.

Đây là cuộc thảo luận cơ bản của bạn: https://security.stackexchange.com/questions/7801/keep-secrets-from-root-on-linux

Bạn phân chia trách nhiệm của mình bằng cách yêu cầu các kỹ sư bảo mật có nhiệm vụ thực hiện cấu hình và cài đặt hệ thống, nhưng họ không nhận được thông tin xác thực hoặc quyền truy cập vào các máy trong sản xuất. Họ cũng chạy cơ sở hạ tầng kiểm toán của bạn.

Bạn có quản trị viên sản xuất nhận hệ thống nhưng không có chìa khóa để khởi động máy mà không có chính sách SELinux đang hoạt động. Bảo mật không nhận được các khóa để giải mã dữ liệu nhạy cảm được lưu trữ trên phần còn lại trên đĩa khi chúng bị trục trặc khỏi dịch vụ.

Sử dụng một hệ thống xác thực tập trung với kiểm toán mạnh như Vault và sử dụng các hoạt động tiền điện tử của nó. Phát các thiết bị Yubikey để làm cho các khóa hoàn toàn riêng tư và không thể đọc được.

Các máy hoặc bị xóa khi bị hỏng hoặc được xử lý bởi các op và bảo mật cùng nhau, và nếu bạn cảm thấy cần sự giám sát của giám đốc điều hành.

Quản trị viên theo bản chất của công việc có quyền truy cập vào tất cả mọi thứ. Họ có thể xem mọi tệp trong hệ thống tệp với thông tin đăng nhập của quản trị viên. Vì vậy, bạn sẽ cần một cách để mã hóa các tệp để quản trị viên không thể nhìn thấy nó, nhưng các tệp vẫn có thể sử dụng được bởi các đội sẽ nhìn thấy nó. Nhìn vào Mã hóa trong suốt Vormetric ( http://www.vormetric.com/products/transparent-encoding )

Cách nó hoạt động là nó nằm giữa hệ thống tập tin và các ứng dụng truy cập nó. Quản lý có thể tạo chính sách có nội dung "Chỉ người dùng httpd, chạy trình nền máy chủ web mới có thể thấy các tệp không được mã hóa". Sau đó, một quản trị viên với thông tin gốc có thể cố gắng đọc các tệp và chỉ nhận được phiên bản được mã hóa. Nhưng máy chủ web và bất kỳ công cụ nào nó cần đều thấy chúng không được mã hóa. Nó thậm chí có thể kiểm tra nhị phân để làm cho quản trị viên khó đi lại hơn.

Tất nhiên, bạn nên kích hoạt kiểm toán để trong trường hợp quản trị viên cố gắng truy cập vào các tệp, một thông báo sẽ được gắn cờ và mọi người biết về nó.

Cách thực tế duy nhất là hạn chế ai có thể làm gì với sudo. Bạn có khả năng cũng có thể thực hiện hầu hết những gì bạn muốn với selinux nhưng có lẽ sẽ mất nhiều thời gian để tìm ra cấu hình chính xác có thể khiến nó không thực tế.

Thỏa thuận bí mật. Thuê một sysadmin, họ phải ký một NDA, nếu họ thất hứa, hãy đưa họ ra tòa. Điều này có thể không ngăn cản họ đánh cắp bí mật, nhưng bất kỳ thiệt hại nào họ gây ra bằng cách thực hiện đều có thể phục hồi tại tòa án.

Sysadins quân sự và chính phủ phải đạt được giải phóng mặt bằng an ninh ở các cấp độ khác nhau tùy thuộc vào mức độ nhạy cảm của vật liệu. Ý tưởng là ai đó có thể có được một giải phóng mặt bằng ít có khả năng ăn cắp hoặc gian lận.

Một cách khác để giảm rủi ro (sử dụng bên cạnh những người được đề cập trước đây, chứ không phải thay vì) là trả tiền tốt cho sysadins của bạn. Trả tiền cho họ tốt đến mức họ không muốn lấy cắp từ IP của bạn và rời bỏ bạn.

Tôi nghĩ rằng câu hỏi này có thể không thể trả lời đầy đủ mà không có thêm một số chi tiết, chẳng hạn như:

Có bao nhiêu sysadins mà bạn mong đợi để giữ "hạn chế"?

Mọi người cần truy cập "sysadmin" để làm gì?

Trước hết, hãy lưu ý về những gì bạn có thể làm với sudo. Với sudo, bạn có thể cho phép các quyền nâng cao chỉ chạy một lệnh duy nhất (hoặc các biến thể, như các lệnh bắt đầu bằng "mount -r" nhưng các lệnh khác không được phép). Với các khóa SSH, bạn có thể gán thông tin đăng nhập cho phép một người chỉ chạy một lệnh nhất định (như "sudo mount -r / dev / sdd0 / media / backup"). Do đó, có một cách tương đối dễ dàng để cho phép bất kỳ ai (có khóa SSH) có thể thực hiện một số thao tác cụ thể mà không để họ thực hiện mọi thứ hoàn toàn khác.

Mọi thứ trở nên khó khăn hơn một chút nếu bạn muốn các kỹ thuật viên thực hiện sửa lỗi những gì bị hỏng. Điều này thường có thể yêu cầu số lượng quyền cao hơn và có thể truy cập để chạy nhiều loại lệnh khác nhau và / hoặc ghi vào nhiều loại tệp.

Tôi đề nghị xem xét cách tiếp cận của các hệ thống dựa trên web, như CPanel (được sử dụng bởi một số ISP) hoặc các hệ thống dựa trên đám mây. Họ thường có thể làm cho các vấn đề trên máy biến mất, bằng cách làm cho toàn bộ máy biến mất. Vì vậy, một người có thể chạy lệnh thay thế máy (hoặc khôi phục máy thành hình ảnh đã biết), mà không nhất thiết phải cho người đó quyền truy cập để đọc nhiều dữ liệu hoặc thực hiện các thay đổi nhỏ (như kết hợp một sửa chữa nhỏ với sự ra đời của một cửa sau trái phép). Sau đó, bạn cần tin tưởng những người tạo ra hình ảnh, nhưng bạn đang giảm số lượng người bạn cần tin tưởng để làm những việc nhỏ hơn.

Cuối cùng, mặc dù, một số lượng tin cậy nhất định cần phải được cung cấp cho một số người khác không, những người giúp thiết kế hệ thống và những người hoạt động ở mức cao nhất.

Một điều mà các công ty lớn làm là dựa vào những thứ như máy chủ SQL, nơi lưu trữ dữ liệu có thể được truy cập từ xa bởi một số lượng lớn máy hơn. Sau đó, một số lượng lớn hơn các kỹ thuật viên có thể có quyền truy cập root đầy đủ trên một số máy, trong khi không có quyền truy cập root vào các máy chủ SQL.

Một cách tiếp cận khác là quá lớn để thất bại. Đừng nghĩ rằng các quân đội lớn hoặc các tập đoàn khổng lồ không bao giờ có sự cố an ninh. Tuy nhiên, họ biết cách:

• bình phục,
• hạn chế thiệt hại (bằng cách tách những thứ có giá trị)
• có các biện pháp đối phó, bao gồm các mối đe dọa kiện tụng
• có các quy trình để giúp hạn chế tiếp xúc không mong muốn với báo chí và có kế hoạch làm thế nào để tác động đến vòng xoáy của bất kỳ câu chuyện tiêu cực nào phát triển

Giả định cơ bản là thiệt hại xảy ra chỉ đơn giản là rủi ro và chi phí cho hoạt động kinh doanh của họ. Họ hy vọng sẽ tiếp tục hoạt động, và những phát triển và cải tiến liên tục trong nhiều năm sẽ hạn chế mức độ thiệt hại của một sự cố có khả năng thực sự ảnh hưởng đến giá trị lâu dài của họ trong một khoảng thời gian.

Làm chủ động kiểm tra là rất khó.

Các giải pháp như http://software.dell.com/solutions/privileged-man Management / (Tôi không làm việc cho Dell và các giải pháp tương tự khác có sẵn) rất hiệu quả trong việc thực thi trách nhiệm giải trình sysadmin.

Đặt máy quản trị gốc vào phòng bị khóa bằng hai chìa khóa và chỉ cung cấp một cho mỗi quản trị viên. Các quản trị viên sẽ luôn làm việc cùng nhau, quan sát lẫn nhau các hoạt động. Nó phải là máy duy nhất chứa khóa riêng để đăng nhập với quyền root.

Một số hoạt động có thể không cần quyền root, vì vậy chỉ một phần công việc sẽ yêu cầu đến phòng đó để "lập trình cặp"

Bạn cũng có thể quay video các hoạt động trong phòng đó để đảm bảo chắc chắn rằng không ai làm việc một mình (điều đó có thể dễ dàng nhìn thấy). Ngoài ra, hãy đảm bảo nơi làm việc sao cho có thể dễ dàng nhìn thấy màn hình cho cả hai người (có thể là màn hình TV lớn với phông chữ lớn).