Назад | Перейти на главную страницу

Как я могу запретить пользователю доступ к разным системам?

Мы собираемся уволить одного из наших системных администраторов через несколько недель. У него есть доступ ко всей нашей инфраструктуре, поэтому нам придется сбросить пароли для всего. Это займет действительно много времени, учитывая количество серверов и устройств, которые нам придется сбросить. Некоторые вещи привязаны к доменам Windows, так что это достаточно просто, но проблематично в зависимости от того, работают ли какие-либо службы от имени этого пользователя.

Есть ли способ легко отозвать доступ ко всему этому пользователю? Я думаю, я прошу кроссплатформенную единую регистрацию ... может быть, RADIUS сможет это сделать? Или есть готовое решение вроде RSA SecureID? Что вы использовали?

Когда я оставил свою последнюю работу, им пришлось пройти примерно такой же процесс. Мне удалось получить доступ практически ко всем имеющимся у нас паролям типа root. Был мини-проект, чтобы обозначить все, к чему у меня был доступ, и я дал им списки того, где я знал, что у меня есть доступ. Всю мою последнюю неделю я неуклонно сокращал права, поскольку менялись различные пароли, списки контроля доступа и членство в группах. Ребята из Telecom злобно смотрели на меня, так как они не меняли свой пароль в FAR, FAR слишком долго и приходилось делать это на всех без исключения устройствах (некоторые требовали посещения сайта); по крайней мере, они воспользовались этой возможностью, чтобы одновременно развернуть центральную систему ввода паролей. В мой последний день меня попросили потратить время на то, чтобы разобраться в вещах, чтобы посмотреть, все ли они понимают. Фактически, они это сделали.

Вот как ДОЛЖНА выглядеть вежливая передача власти в мире системного администратора.

Мы использовали SecurID через Radius для управления всем внешним доступом в сеть. Это означает ограничение количества точек удаленного доступа (аналоговые линии кто-нибудь?) и убедившись, что оставшиеся (1) использовать решение SecurID как фактор аутентификации (для SSH, RDP, веб-почты и т. д.) или (2) включены в контрольный список процедур завершения (измените пароль в поле «в случае отключения», подключенном к DSL, и т. д.).

Таким образом защищенный доступ извне, вы имеете дело с ротацией всех статических паролей, очисткой учетных записей пользователей и т. Д. Внутри.

Что касается «в зависимости от того, запускаются ли какие-либо службы от имени этого пользователя», то лучше всего по этой причине ничего не запускать в контексте учетной записи пользователя-человека. Проведите аудит вашего cron, atи т. д. и переместите все, что сможете, в учетные записи, не связанные с людьми.

Настроить среду, чтобы изящно справляться с подобными вещами, - непростая задача, и, вероятно, вы не сможете это сделать в ближайшие несколько недель.

Сделайте регистрацию всех ваших систем со статическими паролями root, паролем, который они используют (надеюсь, они достаточно различны, чтобы вы могли идентифицировать их, не раскрывая их), и дату последнего изменения. По возможности переключитесь на использование нескольких паролей «root» разного уровня - пароль низкого уровня, который не используется для внешних устройств, не обязательно нужно менять, если эти устройства используют уникальный пароль с ограниченным использованием.

Здесь также есть важный урок для менеджеров: не раздражайте своих ИТ-сотрудников, потому что у них действительно есть ключи от бизнеса. Хорошая политика найма - наем сотрудников, которым вы можете доверять, чтобы они не злоупотребляли своими знаниями после окончания работы, - часто проще (и лучше), чем техническое решение.

Даже использование какого-либо механизма единого входа не избавляет от необходимости выполнять упражнение, которое вам придется пройти. Единый вход в систему - это уровень абстракции, который по существу абстрагирует различные индивидуальные наборы учетных данных в единые учетные данные (с точки зрения пользователя), но не «объединяет» различные сущности в одну сущность. Если у вас есть логин Windows и логин Linux и вы используете единый вход, чтобы позволить пользователю пройти аутентификацию один раз, чтобы получить доступ к обеим системам, у вас все еще есть два входа, которые необходимо обработать, когда пользователь уйдет. Для обычного пользователя единый вход будет эффективен, но для администратора или опытного пользователя они будут знать, как получить доступ к системе (маршрутизатору, серверу и т. Д., Минуя механизм единого входа в систему). Зачем использовать механизм единого входа, когда я могу просто подключиться к маршрутизатору через Telnet?