ฉันทำงานในสถาบันวิจัยขนาดใหญ่ (ผู้ใช้ 10,000 คน) พร้อมระบบต่างๆ (ส่วนใหญ่เป็น Windows และ Ubuntu Linux) ฉันไม่ใช่ผู้เชี่ยวชาญในโครงสร้างเครือข่ายดังกล่าว แต่ฉันทำงานที่บ้านโดยใช้ Ubuntu ด้วยตัวเอง และต้องการติดตั้งซอฟต์แวร์ด้วย เรามีรายการที่อนุญาตพิเศษสำหรับ sudo เพื่อติดตั้งแพ็คเกจ dep ทั่วไป อย่างไรก็ตามเราไม่มีสิทธิ์เข้าถึง sudo แบบเต็ม ผู้ใช้ Windows มีบัญชีผู้ดูแลระบบเต็มรูปแบบบน windows ผู้ดูแลระบบของฉันบอกฉันว่าเราไม่สามารถเข้าถึง sudo ได้อย่างสมบูรณ์บนแล็ปท็อปในเครื่องของเรา เพราะจากนั้นฉันยังสามารถเปลี่ยนผู้ใช้เป็นบัญชีของผู้ดูแลระบบของฉันได้ เช่น และมีสิทธิ์เข้าถึงรูททั่วทั้งเครือข่าย ฉันสงสัยว่าหากไม่มีวิธีแก้ไขใดที่จะอนุญาตให้ฉันเป็นรูทในเครื่องโดยไม่ต้องเข้าถึงรูททั่วทั้งเครือข่าย ผู้ดูแลระบบของฉันบอกฉันว่าสิ่งนี้เป็นไปไม่ได้
มีใครรู้บ้างเกี่ยวกับระบบการจัดการสิทธิ์ที่จะอนุญาตให้รูทในเครื่องแต่ไม่สามารถรูททั้งเครือข่ายได้?
ขอบคุณล่วงหน้า.
ด้วยการเข้าถึง sudo อย่างเต็มรูปแบบบนแล็ปท็อปในเครื่องของเรา ฉันยังสามารถเปลี่ยนผู้ใช้เป็นบัญชีของผู้ดูแลระบบของฉันได้ เช่น และมีสิทธิ์เข้าถึงรูททั่วทั้งเครือข่าย
อาจเป็นเช่นนั้นจริง แต่นั่นหมายถึงการตั้งค่าเครือข่าย/การรับรองความถูกต้องแบบเก่าและค่อนข้างล้าสมัยโดยยึดตามความไว้วางใจด้วยลิงก์ที่อ่อนแอจำนวนหนึ่ง เช่น:
ซู - admin_login และเพิ่มรหัสสาธารณะของคุณเองให้กับผู้ดูแลระบบ ~/.ssh/authorized_keysนภสว คำหลักในนโยบาย sudo หรือการพึ่งพา ล้อ (หรือกลุ่มอื่น) เป็นสมาชิกและไม่จำเป็นต้องมีการพิสูจน์ตัวตน/รหัสผ่านอื่นในภายหลังเพื่อกลายเป็นรูทหรือดำเนินการพิเศษอื่นๆ...หากข้างต้นอธิบายถึงปัญหา/ความเสี่ยงในเครือข่ายของคุณ แสดงว่า Linux/UNIX ของคุณยังคงใช้โมเดลความน่าเชื่อถือแบบดั้งเดิมเพื่อความปลอดภัย
ผู้ดูแลระบบที่มีอำนาจควรเลิกทำแบบนั้นไปนานแล้ว แต่อาจมีข้อกังวลและข้อควรพิจารณาเดิม...
เมื่อเครือข่าย Linux/UNIX ของคุณอาศัยความน่าเชื่อถือและการเข้าถึงทรัพยากรไม่ได้รับการรักษาความปลอดภัย ดังนั้นความปลอดภัยของอุปกรณ์ที่เชื่อถือได้จึงมีความสำคัญอย่างยิ่ง โดยทั่วไปการวางความปลอดภัยไว้ในมือของผู้ใช้ปลายทางนั้นไม่สมควร กล่าวอีกนัยหนึ่ง คุณไม่ให้สิทธิ์ผู้ใช้ปลายทางเข้าถึงรูทโดยสมบูรณ์
ความปลอดภัยของ Windows Active Directory / โดเมนไม่ได้พึ่งพาความไว้วางใจมากนัก (พัฒนาช้ากว่า Unix จากนั้นมีมรดกน้อยกว่ามากและอาจได้รับประโยชน์จากข้อมูลเชิงลึกที่ได้รับการปรับปรุง) แต่ใช้โมเดลความปลอดภัยที่แข็งแกร่งมากสำหรับการรักษาความปลอดภัยเครือข่าย โดยยึดตามการรับรองความถูกต้องของ Kerberos
ในส่วนนี้ความปลอดภัยของอุปกรณ์ปลายทางนั้นไม่ค่อยมีปัญหา เนื่องจากอุปกรณ์เหล่านี้ไม่น่าเชื่อถือโดยปริยายและการให้สิทธิ์ผู้ดูแลระบบภายในแก่ผู้ใช้นั้นมีความเสี่ยงน้อยกว่า
มีใครรู้บ้างเกี่ยวกับระบบการจัดการสิทธิ์ที่จะอนุญาตให้รูทในเครื่องแต่ไม่สามารถรูททั้งเครือข่ายได้?
หลังจากลบการตั้งค่าเดิมแล้ว แทบทุกระบบสามารถทำได้ FreeIPA, sssd, รวมเข้ากับโดเมน Windows AD ของคุณ ฯลฯ เป็นต้น
แต่นั่นต้องการให้เครือข่าย Linux/UNIX ของคุณหยุดพึ่งพา (แต่เพียงผู้เดียว) ในการควบคุมการเข้าถึงตามความเชื่อดั้งเดิมและที่อยู่ IP/ชื่อโฮสต์ ใช้ตัวอย่างหนึ่งในระบบการพิสูจน์ตัวตนที่เหมาะสม/แข็งแกร่งกว่าซึ่งสร้างขึ้นโดยใช้ Kerberos แบบเนทีฟหรือผสานรวมกับ AD
หยุดใช้ "ความเชื่อถือ" (ที่อยู่ IP/ชื่อโฮสต์) เป็นการควบคุมความปลอดภัยเพียงอย่างเดียว และเปิดใช้งานการรับรองความถูกต้องที่เหมาะสมบนทรัพยากรเครือข่าย เริ่มต้นด้วยการแชร์ NFS ที่มีโฮมไดเร็กทอรีและโอนย้ายไปยังต้องการวิธีการตรวจสอบสิทธิ์ที่ "เหมาะสม" เสมอ เช่น Kerberos หรือเปลี่ยนเป็น CIFS/SMB ที่รองรับการตรวจสอบสิทธิ์ไคลเอ็นต์ด้วย
ดังนั้น ความปลอดภัยของเครือข่ายของคุณไม่ได้ขึ้นอยู่กับความปลอดภัยของอุปกรณ์ที่เชื่อถือได้เพียงอย่างเดียวอีกต่อไป แต่ขึ้นอยู่กับผู้ใช้ที่รักษาข้อมูลประจำตัวของตนให้ปลอดภัย
เมื่อคุณดำเนินการดังกล่าวแล้ว คุณสามารถพิจารณาอนุญาตให้ผู้ใช้ปลายทางเช่นคุณควบคุมเวิร์กสเตชันของตนได้มากขึ้น
นอกจากนี้: ผู้ดูแลระบบควรเริ่มใช้การควบคุมความปลอดภัยเพิ่มเติมกับบัญชีของตน เช่น ห้ามใช้ NOPASSWD ในนโยบาย sudo ที่จัดการจากส่วนกลาง
ใน Ubuntu (และ UNIX ทั่วโลก) ผู้ใช้รูทพิเศษคือผู้ใช้ระดับสูง เขาสามารถทำอะไรก็ได้และคุณไม่สามารถปิดการทำงานบางอย่างและอนุญาตอย่างอื่นได้ เราคือรูท เราสามารถทำสิ่งที่คุณต้องการได้ เช่น เปลี่ยนไปใช้บัญชีผู้ใช้อื่น เปลี่ยนการตั้งค่าระบบปฏิบัติการ รับฟลักซ์เครือข่าย ฯลฯ...
แนวทางปฏิบัติที่ดีคือการไม่อนุญาตให้ใครก็ตามเข้าสู่ระบบในฐานะรูท (ใน Ubuntu บัญชีจะถูกปิดใช้งานตามค่าเริ่มต้น) และคุณต้องให้สิทธิ์เข้าถึงคำสั่งยกระดับโดยแก้ไข /etc/sudoers กับ visudo สั่งการ.
ในไฟล์นี้ คุณสามารถให้สิทธิ์การเข้าถึงระดับรูทแก่บางคำสั่งแก่ผู้ใช้บางรายได้ ดังเช่นที่อธิบายไว้ใน ซูโดเออร์ รายการคู่มือ (มีสำเนา ที่นี่).
ดังนั้น แนวทางปฏิบัติที่ดีคือการไม่อนุญาตทุกอย่าง และอนุญาตให้ส่วนต่างๆ แบ่งคำสั่งที่คุณอนุญาตฉันไม่รู้วิธีแก้ปัญหาอื่นและฉันอยากรู้ว่ามีคนอื่นตอบคำถามนี้ด้วยวิธีอื่นหรือไม่
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
