Назад | Перейти на главную страницу

Кто получает root-доступ?

Я работаю над веб-приложением, которое обрабатывает некоторые конфиденциальные данные. Мы очень жестко относимся к безопасности и разрабатываем политики для блокировки доступа к машинам и регистрируем все для целей технического аудита.

Мы постоянно возвращаемся к следующему вопросу: кто получит root?

Наши экземпляры сервера будут иметь пользователя root. У этого пользователя root будет пароль. У кого должен быть к этому доступ? Возможно / желательно иметь машину, где ни один. Никто может быть root доступ?

Буду признателен за любые мысли по этому поводу.

Ни один. Никто. Заставьте их использовать sudo поэтому все команды корневого уровня регистрируются и относятся к конкретному человеку.

Ни один. Никто за исключением того, что администратор оборудования может получить пароль root! Пароль root должен использоваться только на консоли, но не через SSH или другие службы.

Используйте группы для определения доступа к различным наборам программ с расширенными привилегиями, используя sudo. Например, группа wheel обычно предназначена для людей с правами суперпользователя, но все регистрируются как их пользователь. Если людям нужны не полные привилегии root, а только несколько команд от имени другого пользователя, создайте другую группу.

Если вы используете и развертываете selinux, можно удалить типичную учетную запись бога «всевидящий, всезнающий», которая является обычной настройкой root, и преобразовать ее в учетную запись с большей степенью безопасности.

Я считаю, что люди не должны запускать команды, требующие прав root, за исключением, конечно, тех случаев, когда они фактически вошли в систему как root.

По этой причине я бы рекомендовал использовать su (переключает на пользователя root) вместо sudo (временно повышает права доступа до уровня root для одной команды). Если им нужны права root, измените их на пользователя root.

У меня вопрос: что делают ваши пользователи, которые, по их мнению, нуждаются в root?