cu acces sudo complet pe laptopurile noastre locale, aș putea, de asemenea, să comut utilizatorul la contul administratorului meu, de exemplu, și să am acces la rădăcină la nivel de rețea
Acesta poate fi într-adevăr cazul, dar asta vorbește despre o configurație de rețea/autentificare de școală veche și mai degrabă moștenită bazată pe încredere cu o serie de legături slabe, cum ar fi, de exemplu:
- directoarele de acasă sunt stocate pe exporturile NFS (și accesul la ele nu este securizat, de exemplu, cu Kerberos și nici stația de lucru nu este limitată să acceseze doar harta directorului dvs. de acasă, mai degrabă poate accesa toate directoarele de acasă)
- cu acces complet nerestricționat la rădăcină, atunci este trivial de utilizat
su - admin_login și adăugați propria dvs. cheie publică la cea a administratorului ~/.ssh/authorized_keys
- cu propria ta cheie ssh privată, te poți autentifica direct ca administrator pe toate serverele pe care este montat directorul principal al administratorului și care permit autentificarea cu cheia publică ssh
- când administratorul și-a configurat contul cu
NOPASSWD cuvânt cheie în politicile lor sudo sau se bazează roată (sau alt grup) și nu este necesară nicio altă autentificare/parolă ulterioară pentru a deveni root sau pentru a efectua alte acțiuni privilegiate...
Dacă cele de mai sus descriu problemele/riscurile din rețeaua dvs., atunci Linux/UNIX se bazează în continuare pe un model de încredere foarte clasic pentru securitate.
Orice administrator competent ar fi trebuit să înceteze să facă asta cu mult timp în urmă, dar s-ar putea să fi existat preocupări și considerații legate de moștenire...
Când rețeaua dvs. Linux/UNIX se bazează pe încredere și accesul la resurse nu este securizat altfel, atunci securitatea dispozitivelor de încredere devine extrem de importantă. În general, plasarea acelei securități în mâinile utilizatorilor finali este prost recomandată. Cu alte cuvinte, nu acordați acces root complet utilizatorilor finali.
Windows Active Directory / securitatea domeniului nu se bazează atât de mult pe încredere (a evoluat mai târziu decât Unix și apoi a avut mult mai puțină moștenire și ar putea beneficia de informații îmbunătățite), dar folosește un model de securitate mult robust pentru securitatea rețelei, bazat pe autentificarea Kerberos.
În această privință, securitatea dispozitivului final este mai puțin o problemă, deoarece acestea nu sunt implicit de încredere, iar acordarea utilizatorilor de drepturi de administrare locală prezintă un risc mai mic.
Știe cineva un astfel de sistem de gestionare a drepturilor care ar permite rădăcină locală, dar nu rădăcină la nivel de rețea?
După eliminarea setării vechi, aproape orice sistem ar putea face asta. FreeIPA, sssd, integrați cu domeniul dvs. Windows AD etc. etc.
Dar asta necesită ca rețeaua dvs. Linux/UNIX să înceteze să se bazeze (numai) pe controlul de acces bazat pe încredere și pe adresa IP/nume de gazdă. Implementați, de exemplu, unul dintre numeroasele sisteme de autentificare adecvate/mai puternice construite fie în jurul Kerberos nativ, fie integrat cu AD.
Nu mai utilizați „încrederea” (adresele IP/nume de gazdă) ca singurul control de securitate și activați autentificarea adecvată a resurselor de rețea. Începeți, de exemplu, cu partajările NFS care conțin directoare de acasă și migrați-le pentru a necesita întotdeauna metode de autentificare „corecte”, cum ar fi Kerberos, sau treceți la CIFS/SMB care acceptă și autentificarea clientului.
Apoi, securitatea rețelei dvs. nu mai depinde doar de securitatea dispozitivelor de încredere, ci mai degrabă de utilizatorii care își păstrează acreditările în siguranță.
Odată ce faceți acest lucru, puteți lua în considerare acordarea unor utilizatori finali ca dvs. mai mult control asupra stațiilor lor de lucru.
În plus: administratorii ar trebui, de asemenea, să înceapă să aibă mai multe controale de securitate aplicate conturilor lor și, de exemplu, să nu folosească NOPASSWD nici în politicile lor sudo gestionate central.
