Представьте себе этот упрощенный сценарий: у малого бизнеса есть владелец, бухгалтер, системный администратор, работающий неполный рабочий день, и несколько десятков сотрудников; у компании есть полностью Linux LAN. (Большинство компьютеров работают под управлением Arch Linux.) Внешний (WAN) доступ к LAN не настроен; Ресурсы LAN доступны только локально.
Кажется, что сегодня все работает в облаке, но я пытаюсь понять эту проблему, не принимая во внимание сложность облачных ресурсов или доступа к глобальной сети для удаленных или путешествующих сотрудников.
Цель состоит в том, чтобы защитить ресурсы локальной сети от несанкционированного доступа. местный доступ, особенно для локальных пользователей, которые могут стать корень.
В настоящее время системный администратор имеет root-доступ ко всем компьютерам. Несколько избранных сотрудников имеют права sudo на своих компьютерах. В настоящее время системный администратор может получить доступ ко всем ресурсам в локальной сети.
Теперь рассмотрим это новое требование: помимо собственника бухгалтер должен иметь доступ к финансовым ресурсам компании.
Системный администратор должен иметь возможность продолжать администрировать все машины (от поддержки рабочего стола до установки операционной системы).
Как может системный администратор выполнять свою работу, соблюдая, например, требование об отсутствии доступа к финансовой информации, хранящейся на локальном файловом сервере?
Это то, что делают службы каталогов, такие как LDAP или FreeIPA?
Каков простой способ выполнить описанное выше требование для перегруженного и недостаточно обученного системного администратора Linux?
Если требование не может быть выполнено на 100%, какова практика в подобных компаниях?
Каков простой способ реализовать общую систему аутентификации вместе с сетевой файловой системой с шифрованием?
Некоторые из терминов, которые я видел, включают FreeIPA, NIS, NIS +, LDAP, SSSD, Kerberos и другие. Я не совсем понимаю, как каждый из них может вписаться в простое решение, требуемое в приведенном выше сценарии.
(Дополнительный вопрос: после того, как вышеуказанная цель будет достигнута, что - в общих чертах - нужно будет изменить, чтобы начать расширение этой авторизации и контроля доступа на WAN / удаленных клиентов?)
Kerberos (+ LDAP) + NFS (v4) с целостностью и шифрованием, вероятно, лучший способ защитить вашу локальную сеть. Kerberos обеспечивает аутентификацию для ваших пользователей (предотвращение выдачи себя за другое лицо), централизованное управление пользователями LDAP. Kerberos также является требованием для параметров шифрования и целостности NFS.
Вы не можете легко запретить системному администратору с корневым доступом получить доступ к данным, размещенным на машинах, которые они администрируют. Файлы, не зашифрованные на диске, могут быть извлечены, сетевой трафик можно перехватить до того, как он будет зашифрован на сервере. Если системный администратор не имеет (какого-либо) доступа к клиентскому компьютеру, шифрования данных на стороне клиента может быть достаточно. Однако любой административный доступ, скорее всего, предоставит злонамеренному системному администратору более чем достаточно возможностей для поиска способов получения доступа (кража ключей шифрования из памяти, регистратор ключей для захвата пароля шифрования и т. Д.).