với quyền truy cập sudo đầy đủ trên máy tính xách tay cục bộ của chúng tôi, tôi cũng có thể chuyển người dùng sang tài khoản của quản trị viên của mình và có quyền truy cập root trên toàn mạng
Đó thực sự có thể là trường hợp, nhưng điều đó nói lên một thiết lập xác thực/mạng cũ và khá kế thừa dựa trên sự tin cậy với một số liên kết yếu, chẳng hạn như:
- các thư mục chính được lưu trữ trên các bản xuất NFS (và quyền truy cập vào chúng không được bảo mật bằng Kerberos chẳng hạn, cũng như máy trạm của bạn không bị giới hạn chỉ truy cập bản đồ thư mục chính của bạn, thay vào đó, nó có thể truy cập tất cả các thư mục chính)
- với quyền truy cập root đầy đủ không hạn chế thì việc sử dụng là chuyện nhỏ
su - admin_login và thêm khóa công khai của riêng bạn vào quản trị viên ~/.ssh/ủy quyền_keys
- với khóa ssh riêng của riêng bạn, sau đó bạn có thể đăng nhập trực tiếp với tư cách quản trị viên đó trên tất cả các máy chủ nơi thư mục chính của quản trị viên được gắn và cho phép xác thực khóa công khai ssh
- khi quản trị viên đã thiết lập tài khoản của họ với
KHÔNG BẬT MÍ từ khóa trong chính sách sudo của họ hoặc dựa vào bánh xe (hoặc một nhóm khác) và không cần xác thực/mật khẩu khác sau đó để trở thành người chủ hoặc thực hiện các hành động đặc quyền khác...
Nếu phần trên mô tả các sự cố/rủi ro trong mạng của bạn thì Linux/UNIX của bạn vẫn dựa vào mô hình tin cậy rất cổ điển để bảo mật.
Bất kỳ quản trị viên có thẩm quyền nào cũng nên ngừng làm điều đó từ lâu rồi, nhưng có thể đã có những lo ngại và cân nhắc kế thừa...
Khi mạng Linux/UNIX của bạn dựa vào sự tin cậy và quyền truy cập vào các tài nguyên không được bảo mật theo cách khác, thì tính bảo mật của các thiết bị được tin cậy trở nên cực kỳ quan trọng. Nói chung, việc đặt bảo mật đó vào tay người dùng cuối là điều không nên. Nói cách khác, bạn không cấp quyền truy cập root đầy đủ cho người dùng cuối.
Windows Active Directory/bảo mật miền không phụ thuộc quá nhiều vào sự tin cậy (nó phát triển muộn hơn Unix và sau đó có ít di sản hơn và có thể hưởng lợi từ thông tin chi tiết được cải thiện) mà sử dụng một mô hình bảo mật mạnh mẽ cho bảo mật mạng, dựa trên xác thực Kerberos.
Về vấn đề đó, tính bảo mật của thiết bị cuối ít gặp vấn đề hơn vì những thiết bị này không hoàn toàn đáng tin cậy và việc cấp cho người dùng quyền quản trị viên cục bộ ít gây rủi ro hơn.
Có ai biết về một hệ thống quản lý quyền như vậy sẽ cho phép root cục bộ nhưng không cho phép root trên toàn mạng không?
Sau khi xóa thiết lập cũ, hầu hết mọi hệ thống đều có thể làm điều đó. FreeIPA, sssd, tích hợp với miền Windows AD của bạn, v.v.
Nhưng điều đó yêu cầu mạng Linux/UNIX của bạn ngừng phụ thuộc (chỉ) vào các điều khiển truy cập dựa trên sự tin cậy cũ và địa chỉ IP/tên máy chủ. Ví dụ, triển khai một trong nhiều hệ thống xác thực phù hợp/mạnh hơn được xây dựng xung quanh Kerberos gốc hoặc được tích hợp với AD.
Ngừng sử dụng "tin cậy" (địa chỉ IP/tên máy chủ) làm biện pháp kiểm soát bảo mật duy nhất và bật xác thực phù hợp trên tài nguyên mạng. Ví dụ: bắt đầu với các chia sẻ NFS chứa các thư mục chính và di chuyển chúng để luôn yêu cầu các phương thức xác thực "thích hợp" chẳng hạn như Kerberos hoặc chuyển sang CIFS/SMB cũng hỗ trợ xác thực ứng dụng khách.
Sau đó, bảo mật mạng của bạn không còn chỉ phụ thuộc vào bảo mật của các thiết bị đáng tin cậy mà thay vào đó là người dùng giữ an toàn cho thông tin đăng nhập của họ.
Khi bạn làm điều đó, bạn có thể xem xét cấp cho người dùng cuối như bạn nhiều quyền kiểm soát hơn đối với máy trạm của họ.
Ngoài ra: Quản trị viên có lẽ cũng nên bắt đầu áp dụng nhiều biện pháp kiểm soát bảo mật hơn cho tài khoản của họ và chẳng hạn như không sử dụng NOPASSWD trong các chính sách sudo được quản lý tập trung của họ.
