Мы только что перенесли набор Centos6 / 7 хосты из чистого OpenLDAP
аутентификация на основе IPA
и Kerberos. Что нас удивило, так это то, что локальный пользователь root на хосте, зарегистрированном в IPA, может использовать «su», чтобы стать IPA
пользователь.
Если выбранный IPA
пользователь в настоящее время вошел в систему, «локальный корень» может использовать IPA
учетные данные пользователей Kerberos для перемещения узлов в домене в качестве IPA
пользователь. Перенаправление билетов Kerberos позволяет локальному пользователю root принять на себя IPA
удостоверение пользователя на любом разрешенном узле в поле до тех пор, пока он не перестанет продлевать билет Kerberos (по умолчанию 7 дней)
Это похоже на шаг назад. У нас есть разработчики, которым нужен root на тестовой виртуальной машине
Если IPA
администратор вошел в тестовую виртуальную машину, тогда разработчик может sudo su
к IPA
admin, а затем войдите в IPA
серверы с делегированием Kerberos. Затем они могут внести изменения в IPA
серверов, и все это без необходимости IPA
пароль пользователя.
Я вижу, как модель безопасности Linux позволяет это, но это кажется ошибочной ситуацией.
Есть ли способ безопасно иметь локальных администраторов, которые не являются администраторами домена? (Даже если это относится только к Centos7
хосты. Centos6 уже на подходе)
Ну, да. PAM позволяет пользователю root делать все, что он хочет, в том числе принимать идентификационные данные других пользователей.
Если администратор ipa вошел в тестовую виртуальную машину, разработчик может выполнить sudo su для администратора ipa, а затем войти на серверы ipa с делегированием Kerberos.
Не делай этого. Используйте отдельную учетную запись администратора для служб идентификации и запретите ей входить в случайные хосты приложений. Это так же хорошо, как не использовать учетную запись администратора домена Windows AD DS в качестве ежедневного водителя, просто не делайте этого.
Возможно, используйте управление доступом на основе хоста freeipa, чтобы администраторы удостоверений не касались хостов приложений, и наоборот.
Кроме того, давайте рут только тем, кому доверяете. все учетные записи, которые могут войти на хост. Это может означать замену корневого доступа менее привилегированными пользователями и сценариями для выполнения определенных действий от имени пользователя root. Или предоставьте отключенные от сети узлы без аутентификации IPA для недоверенных пользователей root. Менее удобно, но они не могут пройти проверку в системе без Kerberos.