Назад | Перейти на главную страницу

Какой лучший способ уменьшить влияние NFS и sudo?

Краткая справка: у нас 40 рабочих станций под управлением Linux. NFS широко используется для массового хранения данных и домашних каталогов. Это позволяет пользователям свободно перемещаться по относительно прозрачным файловым системам.

Это образовательная среда, в которой постдоки и студенты успешно осуществили своего рода переворот. Все они прижились на своих индивидуальных рабочих станциях благодаря технофобу, который считает ИТ-специалистов злом. Если я предлагаю ограничения chroot или sudo, я обнаружу, что работаю вне шкафа для метел.

Имея это в виду, как лучше всего смягчить подобное ниже?

$ hostname
workstation1
$ whoami
john
$ sudo su jane
$ whoami
jane
$ cp -R /home/nfs/jane /mnt/thumbdrive/ 

Чтобы уточнить, является ли Джон технофобом? Если да, то измените su конфигурация и sudo конфигурация для всегда попросите пароль пользователя (даже если вы root) перед переключением пользователей.

Если пользователи помешали системе и дали самих себя sudo, тогда здесь есть несколько проблем. NFSv3 и AUTH_SYS (основной механизм, используемый для идентификации пользователей) полностью нарушены, когда клиентские машины ненадежны. Вам нужно будет реализовать более надежную систему аутентификации NFS, такую ​​как GSS чтобы избежать проблемы.

У вас есть четыре варианта, ни один из которых не является легким для той ситуации, в которой вы находитесь.

Исправить на уровне сервера

Заблокируйте каждую рабочую станцию, находящуюся под контролем человека, нарушающего вашу политику безопасности. В чем иначе смысл безопасности?

Исправить на уровне клиента

Убери рут. Период. Все, что ниже этого, - это тонкая, как бумага, ловкость рук, с которой придется работать каждый раз.

Сжечь все

Реализуйте сетевую файловую систему с аутентификацией на основе пользователя. Это полный редизайн, который потребует перенастройки как сервера, так и рабочих станций. (читай: низкая тяга)

Некоторым людям нравится смотреть, как горит мир, у других нет выбора

Столкнувшись с работодателем, который не хочет поступать правильно, иногда приходится позволять огню погаснуть. Если вам не разрешено выполнять свою рабочую функцию и обеспечивать безопасность сетевой файловой системы, вам, возможно, придется подождать, пока не произойдет достаточно серьезное нарушение безопасности, которое можно использовать для решения проблемы.

Это не то же самое, что апатия. Апатичному сисадмину все равно. Вы делать забота, но иногда необходимо позволить вашему работодателю почувствовать естественные последствия игнорирования проблемы. Важно различать эти два навыка, и это профессиональный навык. Иногда боль является частью процесса заживления.

Если вы знаете кого-то, кто имеет определенный вес, чьи файлы находятся на доступном общем ресурсе NFS на одном из этих серверов, возможно, вы сможете сделать это раньше с помощью частной демонстрации. Рассматриваемый общий ресурс не должен монтироваться по умолчанию, достаточно, чтобы root-доступ на одной из этих рабочих станций предоставлял вектор в файлы, в которые люди не имеют права вмешиваться.

Проблема заключается в невозможности использовать cp -R или rm -rf /, что меня действительно пугает, так это возможность выдавать себя за пользователей. Вам действительно нужно настроить sudoers или, если они могут получить root-доступ / знать пароль / как его изменить, возможно, вы могли бы сделать уродливый обходной путь и использовать CIFS вместо NFS и заставить их предоставить свои учетные данные непосредственно перед монтированием каталогов.

Это нарушает единый вход, но предоставление легальных учетных данных в несколько раз безопаснее, чем возможность предоставить поддельные учетные данные после sudo su poorguy.