В настоящее время я работаю над проектом во время стажировки в организации, и, честно говоря, это небольшая проблема, поэтому я надеюсь, что вы, ребята, сможете мне помочь.
Задний план:
Организация, в которой я работаю, имеет производственную среду из более чем 120 серверов, в основном Redhat и несколько машин Windows, управляемых с помощью Puppet. Машины Windows - это в основном просто балансировщики нагрузки, поэтому они выходят за рамки этого проекта. В настоящее время все входят в систему с учетной записью root, что не требует пояснений, почему это огромная проблема по разным причинам.
Итак, цель моего проекта - настроить систему аутентификации и регистрации, которая использует существующие учетные записи пользователей Active Directory, чтобы предоставить пользователям доступ к производственной среде. Я решил сделать это с помощью realmd / sssd. Мой план состоит в том, чтобы настроить два сервера для обработки аутентификации и журналов, и позволить остальным серверам аутентифицироваться по ним и отправлять им журналы.
Вопрос 1:
Как уже упоминалось, я хочу настроить два сервера для обработки аутентификации, и мой вопрос: как мне настроить остальные серверы для аутентификации против них? Например; если кто-то подключился к машине по SSH, эта машина должна связаться с серверами аутентификации для аутентификации, а если у них нет учетных данных, хранящихся в кэше, серверы аутентификации должны аутентифицироваться в Active Directory.
Вопрос 2:
Каковы передовые методы и программное обеспечение для мониторинга журналов? Я хочу регистрировать попытки входа в систему, успешные входы в систему и команды, выполняемые пользователями.
Вопрос 3:
Я хочу управлять тем, что пользователи могут делать в среде, какие команды они могут выполнять и ресурсы, к которым они могут получить доступ. Каковы лучшие практики для этого?
Я знаю, что вопросов много, и надеюсь, что ясно объяснил, английский - не мой основной язык. Я работаю над этим в полном одиночестве, и мой менеджер / коллеги не могут мне помочь. Сейчас я чувствую себя немного потерянным, поэтому буду очень признателен за любой вклад.
Я бы предпочел настроить auditd, beats и sssd на всех ваших ящиках, чем создавать отдельную настройку входа. Нет необходимости вводить зависимость от этих полей для вашего административного процесса.
Q1: позвольте вашим ящикам запрашивать пользователей AD и аутентифицироваться в AD напрямую с помощью sssd.
Q2: Настройте auditd на всех своих ящиках, чтобы проверять логины пользователей и выполняемые командыи настроить серверы для ELK или Graylog или используйте Splunk для агрегирования ваших журналов. Используйте Elastic's удары отправлять все виды журналов в ваш любимый агрегатор журналов.
Q3: Ограничение аутентификации может быть выполнено несколькими способами. Я использую членство в группах LDAP. Чтобы ограничить доступ к ресурсам, используйте SELinux и sudo.
Боковое примечание: в зависимости от того, насколько протокол осведомлен о вашей балансировке нагрузки, вам может быть лучше использовать HAProxy - может захотеть взглянуть на это.
Боковое примечание (2) из комментариев: Если нагрузка на AD вызывает беспокойство, реплицируйте (с помощью AD или с LSC) и балансировка нагрузки - и здесь может помочь HAProxy.