Назад | Перейти на главную страницу

Корень Linux с использованием билетов Kerberos для пользователей домена

Мы только что перенесли набор Centos6 / 7 хосты из чистого OpenLDAP аутентификация на основе IPA и Kerberos. Что нас удивило, так это то, что локальный пользователь root на хосте, зарегистрированном в IPA, может использовать «su», чтобы стать IPA пользователь.

Если выбранный IPA пользователь в настоящее время вошел в систему, «локальный корень» может использовать IPA учетные данные пользователей Kerberos для перемещения узлов в домене в качестве IPA пользователь. Перенаправление билетов Kerberos позволяет локальному пользователю root принять на себя IPA удостоверение пользователя на любом разрешенном узле в поле до тех пор, пока он не перестанет продлевать билет Kerberos (по умолчанию 7 дней)

Это похоже на шаг назад. У нас есть разработчики, которым нужен root на тестовой виртуальной машине

Если IPA администратор вошел в тестовую виртуальную машину, тогда разработчик может sudo su к IPA admin, а затем войдите в IPA серверы с делегированием Kerberos. Затем они могут внести изменения в IPA серверов, и все это без необходимости IPA пароль пользователя.

Я вижу, как модель безопасности Linux позволяет это, но это кажется ошибочной ситуацией.

Есть ли способ безопасно иметь локальных администраторов, которые не являются администраторами домена? (Даже если это относится только к Centos7 хосты. Centos6 уже на подходе)

Ну, да. PAM позволяет пользователю root делать все, что он хочет, в том числе принимать идентификационные данные других пользователей.

Если администратор ipa вошел в тестовую виртуальную машину, разработчик может выполнить sudo su для администратора ipa, а затем войти на серверы ipa с делегированием Kerberos.

Не делай этого. Используйте отдельную учетную запись администратора для служб идентификации и запретите ей входить в случайные хосты приложений. Это так же хорошо, как не использовать учетную запись администратора домена Windows AD DS в качестве ежедневного водителя, просто не делайте этого.

Возможно, используйте управление доступом на основе хоста freeipa, чтобы администраторы удостоверений не касались хостов приложений, и наоборот.

Кроме того, давайте рут только тем, кому доверяете. все учетные записи, которые могут войти на хост. Это может означать замену корневого доступа менее привилегированными пользователями и сценариями для выполнения определенных действий от имени пользователя root. Или предоставьте отключенные от сети узлы без аутентификации IPA для недоверенных пользователей root. Менее удобно, но они не могут пройти проверку в системе без Kerberos.