Phương pháp hay nhất để quản lý tài khoản đăng nhập/sudo trên nhiều hệ thống, với nhiều người dùng, trên một con tàu là gì?

Tôi muốn mở đầu điều này bằng cách nói rằng tôi không phải là quản trị viên hệ thống chuyên nghiệp, tôi đã rơi vào vị trí của tất cả các giao dịch CNTT trong một nhóm kỹ sư thiết bị đo đạc.

Tổ chức của tôi có truyền thống sử dụng cùng một mật khẩu trên tất cả các hệ thống (một cho người chủ, một cho người dùng) và nó hoạt động tốt với họ vì chúng tôi nhỏ và hầu hết thời gian bị ngắt kết nối internet.Chúng tôi vừa có cho mình một cơ sở mới, họ đã quyết định nâng cấp trò chơi bảo mật - theo như họ quan tâm có nghĩa là không gán DHCP cho các MAC không xác định và mật khẩu duy nhất cho mỗi hệ thống (được lưu trữ trong trình quản lý mật khẩu).

Điều này nghe giống như một giải pháp rác đối với tôi. Yêu cầu DHCP được bỏ qua bằng cách gán một IP tĩnh và cơ sở dữ liệu mật khẩu chỉ có nghĩa là chúng ta phải vượt qua nhiều vòng hơn để làm bất cứ điều gì, nhưng vẫn bị lộ bởi một mật khẩu.

Môi trường chúng tôi đang làm việc có khoảng 10 máy chủ CentOS và một số ít máy trạm OEM. Chủ yếu là Windows tôi nghĩ. Chúng tôi bị cô lập khá tốt bởi Vlan và kết nối internet rất nhỏ. Kỹ thuật viên trên tàu đôi khi cần quyền truy cập sudo vào bất kỳ hệ thống nào.

Đây có phải là một vấn đề được giải quyết? Tôi đặc biệt không biết bắt đầu từ đâu. Tôi sẽ bắt đầu xem xét các khóa SSH theo Các phương pháp hay nhất để quản lý khóa SSH trong nhóm là gì?

nhưng nếu ai đó có thể chỉ cho tôi cách thực hành tốt nhất, tôi sẽ mãi mãi biết ơn.

Nó không phải là một vấn đề đã được giải quyết mà là một quá trình đang diễn ra hướng tới các hoạt động tốt hơn. Nhiều tổ chức đã tìm thấy đủ tốt các giải pháp cho các yêu cầu cụ thể của họ, một số giải pháp kết nối internet hơn ngay cả với các ưu đãi thương mại được tạo sẵn. Tất cả bọn họ vẫn còn đau chưa được giải quyết trong lĩnh vực này.

Hầu hết thời gian cải tiến trong việc thực hiện tiến trình dễ dàng hơn cho mọi người tham gia cũng đã thu được kết quả đáng tin cậy nhất Bảo vệ cải thiện (quản lý dễ dàng hơn -> ít cấu hình cũ/không chính xác hơn -> ít bề mặt cho mục đích sử dụng độc hại hơn).

Vì câu hỏi của bạn không quá cụ thể về các ràng buộc hoạt động và các mục tiêu có thể đo lường được, nên tôi sẽ bắt đầu với một số gợi ý rất rộng:

• nỗ lực nhiều để đảm bảo rằng thay đổi danh sách "những người có quyền truy cập" có thể được thực hiện một cách thích hợp - không thành vấn đề nếu bạn quản lý để bảo mật nó ngay bây giờ, nếu bạn không cải thiện cơ bản cách bạn có thể xử lý thông tin đăng nhập bị xâm phạm
• cố gắng loại bỏ hầu hết hoặc tất cả xác thực mật khẩu trên bất kỳ hệ thống nhiều người dùng nào và thay vào đó, tất cả xác thực được thực hiện từ máy tính bảng/máy tính xách tay cá nhân thông qua xác thực không thể phát lại, chẳng hạn như khóa ssh
• cẩn thận điều tra xem liệu có bất kỳ bước tiếp theo nào của bạn thúc đẩy việc thực hiện mọi việc theo cách an toàn trở nên khó khăn hơn và điều này thúc đẩy mọi người áp dụng các quy trình không an toàn
• điều tra cẩn thận xem những thay đổi của bạn không chỉ ảnh hưởng đến hoạt động hàng ngày mà còn làm phức tạp các tác vụ khôi phục khẩn cấp
• truy cập chi tiết hơn (có phải tất cả mọi người Thực ra cần truy cập vào tất cả các hệ thống, hoặc chúng có thể được chia nhỏ thành các lớp hoặc nhóm không?)