Кто получает root-доступ?

8

Я работаю над веб-приложением, которое обрабатывает некоторые конфиденциальные данные. Мы довольно серьезно относимся к безопасности и разрабатываем политики для блокировки доступа к компьютерам и регистрации всего для целей технического аудита.

Вопрос, к которому мы постоянно возвращаемся, таков: кто получает права root?

Наши экземпляры сервера будут иметь пользователя root. Этот пользователь root будет иметь пароль. Кто должен иметь доступ к этому? Возможно ли / желательно иметь машину, на которой никто не может иметь root-доступ?

Буду признателен за любые ваши мысли по этому вопросу.

root security

— Росс Макфарлейн
источник

Это привлекло мое внимание. Похоже, хорошая практика.

— Росс Макфарлейн

14

Никто. Сделайте sudoтак, чтобы они использовались так, чтобы все команды корневого уровня регистрировались и относились к конкретному человеку.

— ceejayoz
источник

6

+1. Измените пароль root на что-то очень случайное, распечатайте его и запечатайте в конверт только для экстренного использования.

— EEAA

4

также измените свою корневую учетную запись .bashrc, чтобы PROMPT_COMMAND был настроен на запись всего как обычного пользователя root в syslog. Handy.

— Sirex

1

пользователь может использовать sudo для запуска оболочки, тогда команды не будут регистрироваться (только для входа в bash)

— ooshro

правда, если они не делают "sudo bash -l" - что они должны. если вы установите корень .bashrc prompt_command, он тоже запишет это, что является одной из причин, по которой его стоит делать.

— Sirex

+1 Также обязательно установите sudo для более высоких уровней доступа. В одном месте все корневые пароли хранились в запечатанном конверте на всякий случай, если печать была сломана, о ней нужно было сообщить в целях безопасности и сменить пароли.

— st3v3o

3

Никто, кроме, может быть, аппаратного администратора не получает пароль root! Пароль root должен использоваться только на консоли, а не через SSH или другие службы.

Используйте группы для определения доступа к различным наборам программ с использованием расширенных привилегий sudo. Например, группа wheel обычно предназначена для людей, которые получают привилегии root, но все регистрируется как их пользователь. Если людям не нужны полные привилегии пользователя root, а всего несколько команд, как другим пользователям, создайте другую группу.

— Калеб
источник

-1

Если вы используете и развертываете selinux, можно удалить типичную учетную запись «все видят, все знают», которая является обычной настройкой root, и преобразовать ее в учетную запись с большей безопасностью.

— Sirex
источник

1

как? Ответ не очень полезен, если он не дает никаких указаний относительно того, как;)

— 0xC0000022L

Тема слишком большая, чтобы уместиться в одном ответе. Но, насколько мне известно, selinux может (и часто используется) для этой цели.

— Sirex

-5

Мое мнение таково, что люди не должны запускать команды, требующие прав суперпользователя, кроме случаев, когда они фактически вошли в систему как root.

По этой причине я бы порекомендовал использовать su (переключается на пользователя root) вместо sudo (временно повышает права доступа к корневому уровню для одной команды). Если им нужно разрешение root, измените их на пользователя root.

Мой вопрос в том, что делают ваши пользователи, которые считают, что им нужен root?

— user76897
источник

4

@ user76897: я не согласен. sudoидеально подходит для этой цели, и он регистрирует каждую команду, непосредственно переданную с sudoпрефиксом. Где, когда используется su, вы получаете оболочку, и ничего внутри этой оболочки не регистрируется. /etc/sudoersможно настроить очень сильно. Вы можете сказать, какая команда может быть выполнена каким пользователем, каким пользователем и требуется ли пароль, или нет, а также множество других полезных опций. Одна из причин, по которой кому-то может понадобиться root - перезапустить демон. Это легко сделать sudoбез предоставления полного доступа к учетной записи root.

— 0xC0000022L

Этот ответ не имеет никакого смысла или адрес вопроса. Предпочтение suover sudoне защищено и, согласно большинству других голосов здесь, фактически будет частью первоначальной проблемы парней, а не решением.

— Калеб