Linux: root olmadan üretken sistem yöneticileri (fikri mülkiyeti güvence altına almak)?


66

Tecrübeli bir Linux syadmin'i tam root erişimi sağlamadan üretken hale getirmenin bir yolu var mı?

Bu soru benim durumumda tamamen kod ve / veya konfigürasyon dosyaları (yani kolayca kopyalanan küçük dijital dosyalar) olan fikri mülkiyet haklarının (IP) korunması perspektifinden geliyor. Gizli sosumuz bizi ufacık boyutumuzun önerdiğinden daha başarılı yaptı. Aynı şekilde, biz bir kez ısırıldık, iki kez IP çalmaya çalışan birkaç eski talihsiz çalışandan (sistem yöneticisi değil) utangaç . Üst yönetimin konumu temel olarak, "Biz insanlara güveniriz, ancak kendi çıkarları dışında olan herhangi bir kişiye, işini yapması gerekenden daha fazla erişim sağlama riskini göze alamayız."

Açık geliştirici tarafında, insanların üretken olabilir, öyle ki iş akışları ve erişim düzeylerini bölüm ama sadece gördükleri için gerekenleri görmek nispeten kolaydır. Sadece üst düzey kişiler (gerçek şirket sahipleri) tüm malzemeleri bir araya getirme ve özel sosu oluşturma yeteneğine sahiptir.

Ancak, Linux yönetici tarafında bu IP gizliliğini korumak için iyi bir yol bulamadım. Kod ve hassas metin dosyaları için GPG'yi geniş ölçüde kullanıyoruz ... ancak bir yöneticinin (örneğin) bir kullanıcıya dava açıp tmux veya GNU Screen oturumuna girip ne yaptıklarını görmesini engellemek nedir?

(Ayrıca, hassas bilgilerle temas halinde olabilecek her yerde İnternet erişimini devre dışı bıraktık. Ancak, hiçbir şey mükemmel değildir ve ağ yöneticisi ya da ağ yöneticisi tarafındaki hataları akıllıca açmaya açık delikler de olabilir. Hatta eski USB de vardır. Elbette çok sayıda başka önlem var, ancak bunlar bu sorunun kapsamı dışında.

Temelde kişiselleştirilen hesaplarını kullanıyor ile gelebilir iyi sudo açıklanan ne benzer, root olarak çalışan Birden Linux sysadmins . Özellikle: şirket sahiplerinden başka hiç kimse doğrudan kök erişimine sahip olamaz. Diğer yöneticiler kişiselleştirilmiş bir hesaba ve kök salma kabiliyetine sahip olacaktı . Ayrıca, uzaktan kayıt tutulacak ve kayıtlar sadece şirket sahiplerinin erişebileceği bir sunucuya gidecekti. Günlüğe kaydetmenin kapalı olduğunu görünce bir tür uyarı başlatılabilir.

Akıllı bir sysadmin muhtemelen bu şemada bazı delikler bulabilirdi. Ve bu bir yana, proaktif olmaktan ziyade hala reaktif . Fikri Mülkiyetimizdeki sorun, rakiplerin bunu çok hızlı bir şekilde kullanabilmeleri ve çok kısa bir sırayla çok fazla zarara sebep olmalarıdır.

Bu yüzden hala daha iyisi, yöneticinin yapabileceklerini sınırlayan bir mekanizma olacaktır. Ancak bunun hassas bir denge olduğunu kabul ediyorum (özellikle şu anda çözülmesi gereken üretim sorunlarını giderme ve çözme ışığında ).

Yardım edemem ama çok hassas veriye sahip diğer kuruluşların bu sorunu nasıl yönettiğini merak ediyorum? Örneğin, askeri sistem yöneticileri: gizli bilgileri görmeden sunucuları ve verileri nasıl yönetiyorlar?

Düzenleme: İlk kayıtta, yüzeye çıkmaya başlayan "işe alım uygulamaları" yorumlarını öncelikli olarak ele almak istedim. Birincisi, bunun teknik bir soru olması gerekiyor ve IMO'yu işe alma uygulamaları sosyal sorulara yöneliyor . Ama, iki, şunu söyleyeceğim: İnsanları işe almak için makul olan her şeyi yaptığımıza inanıyorum: çoklu görüşme yapanlarfirmadaki insanlar; arkaplan ve referans kontrolleri; Tüm çalışanlar, IP kaygılarını ayrıntılı olarak anlatan el kitabımızı okuduğunu ve anladığını söyleyen de dahil olmak üzere çok sayıda yasal belge imzalar. Şimdi, bu soru / sitenin kapsamı dışında, ancak eğer biri kötü oyuncuların% 100'ünü filtreleyen "mükemmel" işe alım uygulamaları önerebilirse, hepiniz kulaklarım olur. Gerçekler: (1) Böyle mükemmel bir işe alım süreci olduğuna inanmıyorum; (2) insanlar değişir - bugünün meleği yarının şeytanı olabilir; (3) kod hırsızlığı girişimi, bu sektörde biraz rutin görünüyor.


15
Son sorunuzu okurken akla gelen ilk şey ... Snowden.
Hrvoje Špoljar

33
Uygun SELinux politikaları ile uzayabilirsiniz, ancak bu uygulanması oldukça pahalı olacaktır. Günün sonunda, sistem yöneticilerinin gerekir işlerini yapmak için, sisteme bazı erişimi ve dosyalar içermeyecektir. Sorununuz teknik değil, işe alım sürecinde.
Michael Hampton

6
Ordu güvenlik açıklarını ve iki kişilik bütünlüğünü kullanıyor . O zaman bile, bazen ihlaller var. Her iki insanın da nefretli planları olması ihtimali çok az.
Steve

14
Bunun bir insan problemi gibi kokmasının nedeni bir insan problemi.
Sirex

6
NDA'lar bunun için var.
Michael Martinez,

Yanıtlar:


19

Bahsettiğiniz şey "Evil Sysadmin" riski olarak bilinir. Uzun ve kısa olanı:

  • Bir sysadmin, ayrıcalıkları yükseltilmiş bir kişidir
  • Teknik olarak usta, onları iyi bir 'hacker' yapacak bir düzeye.
  • Anormal senaryolarda sistemler ile etkileşim.

Bu şeylerin kombinasyonu, kötü niyetli eylemleri durdurmayı esasen imkansız kılar. Denetim yapmak bile zorlaşıyor çünkü karşılaştırılacak 'normal' durumunuz yok. (Ve açıkçası - kırılmış bir sistem de denetimini bozmuş olabilir).

Azaltıcı adımlar var:

  • Ayrıcalık ayrımı - root olan bir adamın sistemde bir şey yapmasını engelleyemezsiniz . Ancak, bir ekibi ağ bağlantısından ve diğerini 'işletim sistemlerinden' (veya ayrı olarak Unix / Windows'tan) sorumlu yapabilirsiniz.
  • Kitin fiziki erişimini, yönetici hesapları alamayan ama tüm 'eller' çalışmalarına özen gösteren farklı bir ekibe sınırlayın.
  • 'Masaüstü' ve 'sunucu' sorumluluğunu ayırın. Veri kaldırılmasını engellemek için masaüstünü yapılandırın. Masaüstü yöneticileri hassaslara erişme yeteneğine sahip değildir, sunucu yöneticileri onu çalabilir, ancak binadan çıkarmak için çemberlerin içinden atlamak zorundadır.
  • Sınırlı bir erişim sistemine syslogdenetleme ve olay düzeyinde denetleme, ayrıcalıklı erişimi olmayan nispeten kurcalamaya karşı dayanıklı bir sistem denetimi. Ancak toplamak yeterli değildir, izlemeniz gerekir - açıkçası, bir denetim radarında bulunmayan bilgileri 'çalmak' için bir sürü yol vardır. (Poacher vs gamekeepers)
  • 'istirahatta' şifrelemeyi uygulayın, bu nedenle veriler "açık" olarak depolanmaz ve erişmek için canlı bir sistem gerektirir. Bu, fiziksel erişimi olan kişilerin aktif olarak izlenmeyen bir sisteme erişemeyeceği ve bir sysadmin'in üzerinde çalıştığı 'anormal' bir senaryoda, verinin daha az açığa çıktığı anlamına gelir. (örneğin, veritabanı çalışmıyorsa, veriler muhtemelen okunamaz durumdadır)
  • İki adam kuralı - verimliliğinizin sakat kalması ve aynı şekilde moraliniz için sorun yoksa. (Cidden - bunu yaptım ve ısrarcı çalışma ve izlenme durumu çalışma koşullarını zorlaştırıyor).
  • Sistem yöneticilerinizi inceleyin - ülkeye bağlı olarak çeşitli kayıt kontrolleri olabilir. (Ceza kayıtları, kontrol olabilir hatta incelemekte tetikleyecek bazı durumlarda geçiş izni için başvurabilir bulmak)
  • Sistem yöneticilerine iyi bak - yapmak istediğin son şey, onlara güvenmediğin "güvenilir" bir kişiye söylemek. Ve kesinlikle moralinize zarar vermek istemezsiniz, çünkü bu kötü niyetli davranış olasılığını arttırır (ya da 'ihmal edilmemesi, ama dikkat çekmemesi'). Ancak, sorumluluk setinin yanı sıra beceri setine göre ödeme yapın. Ve 'Perks' düşünün - bu maaştan daha ucuz, ancak muhtemelen daha değerli. Bedava kahve ya da haftada bir kez pizza gibi.
  • ve ayrıca onu engellemek için sözleşme koşullarını deneyebilir ve uygulayabilirsiniz, ancak yukarıdakilere karşı dikkatli olun.

Fakat oldukça temelde - bunun bir güven meselesi olduğunu kabul etmelisin, teknik bir şey değil. Bu mükemmel fırtına sonucunda sistem yöneticileriniz sizin için her zaman potansiyel olarak çok tehlikeli olacak.


2
Bazen sysadmin şapkasını takarım. Bazılarının sistem erişim kontrollerini atlatmak için tasarladıkları bir amacı olan (birisinin herkesi elbette bir iş istasyonundan uzak tutmayı başarması durumunda) tasarlanan amaçlarının bulunduğu, onlara ulaşabileceğim bir yerde tutmak için güçlü araçlar bulundurmam gerektiğini öğrendim. Faaliyetlerinin niteliği gereği, denetim zayıflamış veya etkisizdir.
joshudson,

3
Evet. Çilingirlerin yasal olarak evinize girebilmesi için tüm nedenlerden dolayı, sistem yöneticilerinin ağa girmeleri gerekebilir.
Sobrique

@Sobrique: Hala anlamadığım bir şey var: neden hileli Sysadmins'in çok fazla veri çaldığını ve haydut hizmetçilerin aynı şeyi yapmadıklarını duyduklarını (her şey kağıttayken yapabilirdi) .
user2284570

Cilt - terabayt hardcopy büyüktür. Ve hasar. Bir sistemi sabote etmek, bir şirketi tam anlamıyla mahvedebilir.
Sobrique

51

Şu ana kadar burada söylenen her şey iyi şeyler ancak bir hileli sistem yöneticisini olumsuz etkilemeye yardımcı olan 'kolay' teknik olmayan bir yol var - temelde yüksek erişim için iki sistem yöneticisinin bulunmasını gerektiren dört göz prensibi .

EDIT: Yorumlarda gördüğüm en büyük iki madde, maliyet ve çarpışma olasılığını tartışıyor. Bu sorunların her ikisinden de kaçınmayı düşündüğüm en büyük yollardan biri, yalnızca gerçekleştirilen eylemlerin doğrulanması için kullanılan yönetilen bir servis şirketinin kullanılmasıdır. Doğru yapıldığında, teknolojiler birbirlerini tanımazlardı. Bir MSP'nin sahip olması gereken teknik provayı varsayalım ki eylemlerden bir işareti almak yeterince kolay olurdu ... belki de çılgınca olan her şeye evet / hayır kadar basit.


17
@Sirex: Evet, güvenlik sorunu bu - her zaman bir maliyeti var.
sleske

10
Hayır, tam olarak bunu yapan oldukça küçük (100-1000 kişilik) organizasyonlarda çalıştım. Sadece prosedürlerinin tüm sysadmin aktivitesinin, aksi durumda olduğu gibi dört ila on kat daha fazla para kazanacağını kabul ettiler ve ödediler.
MadHatter

10
Bu tek gerçek cevap. Kitimiz bazı güvenli yerlerin içinde oturuyor ve (diğer adımların arasında) hiç kimsenin yüksek bir terminale erişememesini sağlamak için bu yaklaşımı kullanıyoruz. Yapılması gereken iş için detaylı bir talep ortaya çıktı, birçok insan bunun üzerine imza attı (50+, iç çekiş ), sonra iki yönetici bir araya geldi ve değişikliği yaptı. Riski en aza indirir (ve ayrıca saçma hataları). Bir şeylerin yapılması pahalı ve anıtsal bir acıdır, ancak bu güvenliğin bedeli. Re: 50+ imza, o vb ağ ekibi, DC ekibi, proje yöneticileri, güvenlik, depolama, kalem test, yazılım satıcısına içerir
Temel

4
Muhtemelen işe almak için mücadele edersiniz, evet. İşlerin yapılmasını gerçekten sevdiğim ve iş keyfimi azaltıp attığım için bu bir anlık gösteri durdurucusudur.
Sirex

3
Artan maliyetlerin her sistem eylemi için geçerli olmadığını unutmayın. Ancak, hem yükseltilmiş eylemlerin hem de hazırlanışlarının kendisi için geçerlidir. ŞİMDİ söyleyemezsiniz: "sysadmin haftada 40 saat çalışıyor, dördü yüksek, bu yüzden maliyet artışı sadece% 10 olacaktı". Artı tarafta, program normal, dürüst hataları da yakalar. Bu para kazandırır.
MSalters

27

İnsanların gerçekten bir sisteme yönetici erişimine ihtiyacı varsa, o zaman bu kutudaki faaliyetlerini sınırlamak için yapabileceğiniz çok az şey var.

Kuruluşların çoğunluğunun yaptığı güven, ancak doğrulayın - insanlara sistemin bölümlerine erişim izni verebilirsiniz, ancak adlandırılmış yönetici hesapları kullanıyorsunuz (örneğin, kök dizine doğrudan erişim izni vermiyorsunuz ) ve ardından etkinliklerini bir günlük kaydı için denetliyorsunuz. karışamaz.

Burada bir dengeleyici hareket var; sistemlerinizi korumanız gerekebilir ancak insanlara işlerini yaparken de güvenmeleri gerekir. Eğer şirket daha önce ahlaksız bir çalışan tarafından "ısırıldıysa", bu durum, işe alım yapan şirketlerin bir şekilde kötü olduğunu ve bu uygulamaların muhtemelen "üst düzey yöneticiler" tarafından yaratıldığını gösteriyor olabilir. Güven evde başlar; İşe alım seçimlerini yapmak için ne yapıyorlar?


3
Bu harika bir gözlem - iyi bir denetim, insanların işlerini yapmalarını sağlar ancak eylemlerinden sorumlu kalmasını sağlar.
Steve Bonds

1
Auditd ve syslog'ların doğru kullanımı da çok uzun sürebilir. Bu veriler garip veya açıkça kötü davranışlar aramak için sayısız güvenlik aracıyla izlenebilir.
Aaron,

3
Denetleme ile ilgili asıl sorun, bir sürü gürültünün olması. Birkaç ay sonra, bir şey olduğu zamanlar dışında kimse kütüklere bakmayacak.
TomTom

1
TomTom’a katılıyorum, güvenlik günlüklerinde sinyal / gürültü oranını doğru almak bir sorun, ancak yine de oturum açmanız gerekiyor, sanırım. @Sobrique diyebilirim ki, 'kötü sistem yöneticileri' çoğunlukla teknoloji meselesinden ziyade işe alım meselesidir; boşluğun her iki tarafını da kapatmanız gerekiyor, bu yüzden her gün 'en iyi uygulama' yapılmasını ve işe alım süreçlerini iyileştirmeyi, Tim'in iddia ettiği gibi gerçek gizli soslu şeyler için '4 gözü' ele almamı ve aynı zamanda günlük kayıtlarını
Rob Moir

1
Biraz, ama bir 'iş döngüsü' üzerinde akılda tutulması, bir önceki iyi niyetli aktör kötü niyetli birine dönüşebilir. Bu, işe alım uygulamalarından ziyade haklarından mahrum bırakma ve moral ile ilgili. Birini iyi bir sysadmin yapan şeyler de onları iyi bir hacker yapar. Yani belki de bu noktada - vasat sistem yöneticilerini işe almak ileriye dönük mü?
Sobrique

18

Kendinizi çılgınca bir teknik zihnin içine sokmadan, bir sysadmin gücü vermeden onlara güç vermeden denemek ve elde etmek için çevirin (muhtemelen yapılabilir, ancak sonuçta bir şekilde kusurlu olur).

Bir işletme pratiği açısından bir dizi basit çözüm var. Ucuz çözüm değil, basit.

Endişelendiğiniz IP parçalarının bölündüğünü ve yalnızca üstteki kişilerin onları görme gücüne sahip olduğunu söylediniz. Bu aslında cevabınız. Birden fazla yöneticiniz olmalıdır ve bunların hiçbiri, resmin tamamını bir araya getirmek için yeterli sistemde bir yönetici olmalıdır. Bir yöneticinin hasta olması veya trafik kazası geçirmesi durumunda, her parça için en az 2 veya 3 yöneticiye ihtiyacınız olacaktır. Belki onları bile şaşırttı. Diyelim ki 4 yöneticiniz ve 8 bilgi parçanız var. admin 1, parça 1 ve 2'ye sahip sistemlere erişebilir, yönetici 2, parça 2 ve 3'e, yönetici 3, 3 ve 4'e, ve yönetici 4, 4 ve 1'e ulaşabilir. Her sistemin bir yedek yöneticisi vardır, ancak hayır admin resmin tamamını tehlikeye atabilir.

Ordunun da kullandığı bir teknik, hareketli verilerin sınırlandırılması. Hassas bir bölgede, yalnızca bir diski yakabilecek veya bir USB flash sürücü kullanabilen tek bir sistem olabilir, diğer tüm sistemler kısıtlıdır. Ve bu sistemi kullanma kabiliyeti son derece sınırlıdır ve herhangi birinin bilginin dökülmesine yol açabilecek herhangi bir şey hakkında herhangi bir veri koymasına izin verilmeden önce daha yüksek birimler tarafından özel olarak belgelenmiş onay gerektirir. Aynı simge boyunca, farklı sistemler arasındaki ağ trafiğinin donanım güvenlik duvarları ile sınırlı olmasını sağlarsınız. Yangın duvarlarını kontrol eden ağ yöneticileriniz yönlendirdikleri sistemlere erişemezler, bu nedenle özel olarak bilgiye erişemezler ve sunucu / iş istasyonu yöneticileriniz bir sistemdeki tüm verilerin şifrelenecek şekilde yapılandırılmasını sağlar.

Tüm dizüstü bilgisayarlarda / iş istasyonlarında şifreli sabit sürücüler bulunmalı ve her çalışanın geç gelmemesini / geç kalmamasını ve bir şeylere erişmemesini sağlamak için her çalışanın sürücüleri / dizüstü bilgisayarları kilitlemek için gerekli olan kişisel bir dolabı olması gerekir. yapmaları gerekmiyordu.

Her sunucu, en azından kendi kilitli odasında olmasa da, kilitli raflarında olmalıdır; böylece, fiziksel erişimin tümü sona erdiğinden beri, her sunucudan yalnızca sorumlu yöneticiler erişebilir.

Daha sonra, yaralanan / yardım edebilen bir uygulama var. Sınırlı sözleşmeler. Yeni yetenekler kazanmaya devam edebilecek kadar para ödeyebileceğinizi düşünüyorsanız, her bir yöneticiyi önceden belirlenmiş bir süre boyunca (IE 6 ay, 1 yıl, 2 yıl) yalnızca bir kişinin tutma süresini sınırlandırabilirsiniz IP’nizin tüm parçalarını bir araya getirmek için

Benim kişisel tasarımım, bir satır boyunca olacaktı ... Verilerinizi birçok parçaya ayırın, diyelim ki 8 numara olması adına, her biri tarafından yönetilen, her biri kendi yedekli donanıma sahip 8 git sunucunuz var. farklı bir yönetici grubu.

IP'ye dokunacak tüm iş istasyonları için şifrelenmiş donanımlar. Kullanıcıların projelerini koymalarına izin verilen tek dizin olan sürücüdeki belirli bir "proje" dizini ile. Projelerini koymak için izin verilen her bir gecenin sonunda, güvenli bir silme aracıyla proje dizinlerini oluşturmaları gerekir. kilitli (sadece güvende olmak için).

Projenin her bir bitinin kendisine atanmış farklı bir yöneticisi vardır, böylece bir kullanıcı yalnızca kendilerine atandıkları iş istasyonu yöneticisi ile etkileşime girer, eğer proje atamaları değişirse, verileri silinir, yeni bir yönetici atanır. Sistemleri, yazma yeteneklerine sahip olmamalı ve izinsiz veri aktarmak için USB flash sürücülerin kullanılmasını önlemek için bir güvenlik programı kullanmalıdır.

Bundan ne istersen al.


2
Teşekkürler, birçok güzel şey var ve yaptığımız birçok şey. Çoklu yöneticilerin fikrini sevsem de, buna ihtiyacımız olacak kadar büyük değiliz. Gerçekten sadece bir yöneticiye ihtiyacım var , eğer dört tane olsaydı, genellikle zihinlerinden sıkılırlardı. İstediğimiz en üst düzey yeteneği nasıl buluruz, ancak onlara ufacık bir iş yükü veririz. Korkarım akıllı insanlar çabuk sıkılacak ve daha yeşil meralara geçecekler.
Matt

2
Evet, bu büyük bir sorundur ve gerçekte hükümet alanının yoğun olarak yaşadığı bir problem. Yönetici olarak başladığım yer, genellikle “döner kapı” olarak anılıyordu. Her şey başa çıkmak zor bir sorundur. Genel olarak bilgi güvencesi kırılması zor bir cevizdir: \
Gravy

@Matt How do we find the top-tier talent we want, but only give them a teeny-tiny workload?Bir dereceye kadar, onlara büyük bir test / AR-GE ortamı vererek, yeni ve harika oyuncaklara erişerek ve iş günlerinin önemli bir bölümünü teknik becerilerini geliştirmek için harcamayı teşvik ederek hafifletebilirsiniz. Etkili bir% 25 iş yükü muhtemelen bunu çok fazla zorluyor, ancak% 50 fiili iş ve% 50 teknik gelişim / Ar - Ge (ücretin normal% 100 ile aynı seviyede olduğu varsayımıyla) hakkında kesinlikle ayın sonunda olacağım. fiili iş "iş".
UmutsuzN00b

11

Bir bina için bir hademe tutmanın zorluğuna benzer olurdu. Hademe tüm anahtarlara sahip olur, herhangi bir kapıyı açabilir, ancak bunun nedeni, hademe işini yapmak için onlara ihtiyaç duymasıdır. Sistem yöneticileri ile aynı. Simetrik olarak, bu eski problemi düşünebilir ve tarihsel olarak güvene verilen yollara bakabilirsiniz.

Kesin bir teknik çözüm bulunmamasına rağmen, hiçbirinin olmaması, hiç denemememiz için bir neden olmamalıdır, kusurlu çözümlerin bir araya getirilmesi biraz harika sonuçlar verebilir.

Güvenin kazanıldığı bir model :

  • Başlamak için daha az izin verin
  • Yavaş yavaş izinleri artırmak
  • Bir bal küpü koyun ve önümüzdeki günlerde olanları izleyin
  • Eğer sysadmin kötüye kullanmayı denemek yerine raporlarsa, bu iyi bir başlangıç

Birkaç idari yetki düzeyi uygulamak :

  • Seviye 1: Daha düşük seviye konfigürasyon dosyalarını değiştirebilir
  • Seviye 2: Daha yüksek seviye yapılandırma dosyalarını değiştirebilir
  • Seviye 3: Daha yüksek seviye konfigürasyon dosyalarını ve işletim sistemi ayarlarını değiştirebilir

Her zaman bir kişinin toplam erişiminin mümkün olmadığı bir ortam oluşturun :

  • Kümelerde split sistemler
  • Farklı gruplara küme yönetici yetkileri verin
  • Minimum 2 grup

Yüksek düzeyli çekirdek değişiklikleri yaparken Two-man kuralını kullanın :

Güven ve doğrula :

  • Her şeyi kaydet
  • Günlük izleme ve uyarı
  • Tüm eylemlerin ayırt edilebilir olduğundan emin olun

Evrak :

  • Yasal sistemin size zarar vermeleri durumunda, dava açmamaları için size dava açabilmeleri için evrakları imzalattırmalarını sağlayın.

Yalnızca her şeyi günlüğe kaydetmekle kalmaz, aynı zamanda bir şeylerin bu günlükleri izlemesi ve uyarması gerekir, ideal olarak insanların tüketmesi kolay bir yoldur.
Aaron,

9

Ev sahiplerini idari erişimi olanlara karşı korumak çok zor. Gibi araçlar iken PowerBroker girişimi bunu yapmak için, maliyet kırabilir başka bir şey hem ekliyor VE sabitleme amaçlı girişimlere karşı engelleri ekledi. Sistem kullanılabilirliği OLACAK bu kadar erken şeyleri korumanın maliyet olarak bu beklenti oluşturacaktır gibi bir şey uygulamak zaman bırakın.

Başka bir olasılık, uygulamanızın bir bulut sağlayıcı aracılığıyla veya yerel olarak barındırılan bir özel bulutta tek kullanımlık ana bilgisayarlarda çalışıp çalışamayacağını görmektir. Biri bozulduğunda, düzeltmek için bir yönetici göndermek yerine, onu atıyor ve yerine otomatik olarak oluşturuyorsunuz. Bu, bu modelde çalışmasını sağlamak için uygulama tarafında oldukça fazla çalışma gerektirecektir, ancak birçok operasyonel ve güvenlik sorununu çözebilir. Kötü yapılırsa, bazı önemli güvenlik problemleri yaratabilir, o nedenle o rotaya giderseniz yardım alabilirsiniz.


4

Bu sizin temel tartışmanız: https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

Sorumluluğu, sistem konfigürasyonları ve kurulumları yapmak olan işi olan güvenlik mühendisleri alarak, ancak üretimdeki makinelere hiçbir kimlik bilgisi veya erişim elde edemezsiniz. Ayrıca denetim altyapınızı da yönetiyorlar.

Sistemleri alan ancak SELinux ilkeleri aktif olmadan makineyi ön yükleme anahtarlarına sahip olmayan üretim yöneticileriniz var. Güvenlik, diskte dururken saklanan hassas verilerin şifresini çözecek anahtarları alamazlar ve makinenin kullanımdan kaldırılmasını sağlarlar.

Vault gibi güçlü denetime sahip merkezi bir kimlik doğrulama sisteminden ve kripto işlemlerinden yararlanın. Anahtarları tamamen özel ve okunamaz hale getirmek için Yubikey cihazlarını dağıtın.

Makineler kırılmalar halinde silinir veya operasyon ve güvenlik ile birlikte ve yöneticinin gözetimine ihtiyaç duyulduğunu hissettiğiniz takdirde ele alınır.


2

İşin doğası gereği yöneticiler her şeye erişebilir. Dosya sistemindeki her dosyayı yönetici kimlik bilgileriyle görebilirler. Bu nedenle, dosyaları şifrelemek için bir yönteme ihtiyacınız olacak, böylece yöneticiler onu göremez, ancak dosyalar onu görmesi gereken ekipler tarafından kullanılabilir. Vormetrik Şeffaf Şifrelemeye bakınız ( http://www.vormetric.com/products/transparent-encryption )

İşe yaraması, dosya sistemi ile ona erişen uygulamalar arasında oturmasıdır. Yönetim, "Yalnızca httpd kullanıcısı, web sunucusu arka planını çalıştıran dosyaları şifrelenmemiş dosyaları görebilir" yazan ilke oluşturabilir. Daha sonra kök kimlik bilgilerine sahip bir yönetici dosyaları okumayı deneyebilir ve yalnızca şifreli sürümü alabilir. Ancak web sunucusu ve ihtiyaç duyduğu her araç şifrelenmemiş olarak görür. Hatta yöneticinin dolaşmasını zorlaştırmak için ikiliyi kontrol edebilir.

Tabii ki, denetimin bir yönetici tarafından dosyalara erişmeye çalışması durumunda bir mesajın işaretlenmesi ve insanların bunu bilmesi için etkinleştirmeniz gerekir.


1
O zaman dosyaları kim güncelleyebilir? Nasıl giderler?
Michael Hampton,

3
Artı ... Eğer bu kutuya root olduysam, ihtimalim web sunucusu daemonunu alt edebilirim. Daemon'un yerini almadığımdan emin olmak için ikili karmaları kontrol etse bile, web sunucusunu veriler için görünüşte meşru bir talepte bulunmak için kandırabilirim.
Temel

1
Aslında SysAdmins tüm dosyalara erişemeyebilir - C2 ve daha iyi güvenlikli sistemler yöneticileri engelleyebilir. Erişimi KUVVETLER, ancak bu geri döndürülemez (bunları kullanıcı olarak ayarlayarak) ve izler bırakır (günlük olarak silebilir ancak kolayca değiştiremezler).
TomTom

Bir yönetici httpd 'olabilir' çünkü bu yardımcı olmaz. Yöneticiler / dev / mem ve dolayısıyla tüm anahtarları da okuyabilir.
John Keates

2
@ TomTom: C2'yi sağlayan bir işletim sisteminin olasılığı bir efsanedir. Windows NT4 sertifika aldı, ancak sahte bir geçiş olduğu ortaya çıktı. Zorlama erişimini geri alma yeteneği her zaman mevcuttu ve onu kullandım ve bazı programların dosyalarının tahrif edilmediğini doğrulamak için kullanmaya çalıştığı için çalışmaya bağlı bir prosedürümüz var. onlar.
joshudson

2

Tek pratik yol sudo ile kimin yapabileceğini kısıtlamak. Selinux ile ne istersen yapabileceğini de potansiyel olarak yapabilirsin, ama muhtemelen onu pratik hale getirecek doğru yapılandırmayı bulmak sonsuza dek sürecek.

Gizlilik anlaşmaları. Bir sysadmin almak, bir NDA imzalamak zorundalar, sözlerini yerine getirirlerse onları mahkemeye götürürler. Bu onların sırlarını çalmalarını engellemeyebilir , ancak bunu yaparak neden oldukları zararlar mahkemede geri kazanılabilir.

Askeri ve hükümet sistem yöneticileri, malzemenin ne kadar hassas olduğuna bağlı olarak farklı sınıflarda güvenlik mesafeleri almak zorundadır. Boşluk alabilen birinin hırsızlık veya hile yapma olasılığı daha düşüktür.


Buradaki düşünce, 1) bu açıklığı elde etmek ve devam ettirmek gölgeli işler yapma becerilerini sınırlar; 2) yüksek güvenlik mesafeleri gerektiren işler daha iyi ödeme yaparlar; bu, mevcut işvereninizi sevip beğenmediğinize bakılmaksızın bu yeterliliği korumak için güçlü bir teşvik anlamına gelir .
Shadur

Yine, OP, özellikle önleyici tedbirler istediğini söyledi - tabii, onları daha sonra NDA ihlali için dava edebilirsiniz, ancak bir sysadmin size ima ettiği zararları telafi etmek için yeterli para kazanma ihtimaline yol açıyor mu?
Shadur

Siz sadece sysadmin’den kaynaklanan kayıpları değil aynı zamanda bu sırlardan kim veya başka bir iş para kazanıyorsa da kazanıyorsunuz.
Michael Martinez,

Bu, başlamak için çok gizli bir ortamdır. Öyleyse kötü sysadmin'in gizli sosu çaldığını, kimin sattığını takip etmenin temelde imkansız olduğunu söyleyin. Ya bazı kodları çalarsa, iyi şartlarda bırakırsa, bir rakibe kod satarsa? Aniden karımız aşındı, ama nasıl olduğunu bilmiyoruz (burası finans, isimsiz bir pazar yeri).
Matt,

@Matt Bu, sorumlu olmayanlar için olduğu kadar sorumlu bir risktir. Gizli soslu insanlar, birisinin olacağı gibi çaldıklarında, bir başkası için endişeleniyorlar.
Michael Martinez

1

Riski azaltmanın bir başka yolu (yerine daha önce belirtilenlerin yanında kullanın), sistem yöneticilerinize iyi para ödemenizdir. Onlara o kadar iyi ödeyiniz ki, IP adresinizden çalmak ve sizi terk etmek istemezler.


2
Nereden geldiğini anlıyorum ama sanırım çoğumuzun bundan daha fazla profesyonel ahlakı var. Müşterilerimin sırlarını çalmıyorum ama bu, ihtiyacımı hissetmediğim için bana yeterince para ödedikleri için değil, çünkü bunu yapmak yanlış olacak; Sanırım burada böyle hisseden tek kişi ben değilim.
MadHatter

1
Evet, Ben Franklin'in bir keresinde yazdığı gibi, "Asla birisini seni öldürmenin maliyetinden daha fazla suçlama." Fakat tam tersi.
Bruce Ediger

Birine bütünlüğüne rüşvet veremezsin. Bu işe yaramayacak. Akıllı bir adamın bir zamanlar dediği gibi: Ne tür bir kişi olduğunuzu belirledik, şimdi sadece fiyatın üzerinde duruyoruz. Ama birisini sadakatle hak ederek kazanabilirsiniz. Ödeme bunun bir parçası, ama bir sürü şey var. Özerklik ve ustalık - özgürlük ve eğitim ve gelişim kazandırır. Sorun şu ki, cezbedici olmak onlara baskı yapmak olabilir, bu yüzden başıboş değiller ve daha sonra bunu düzeltmeleri için onlara rüşvet verebilirler. Ancak tüm küfürlü ilişkiler gibi, geri tepecektir.
Sobrique

2
Daha yeni yazdım, başka bir yol, iyi bir yol değil. Birisi yeni sysadmin kiralarken, güven olması gerektiğini düşünüyorum. Çünkü sysadmin - CEO ve CFO'nun yanında - şirketi dakikalar içinde yok edebilecek biri. İyi yönetici küçük para için çalışmayacak (ya da biriniz?) Ve az para için çalışacak olan sysadmin daha tehlikelidir.
Ondra Sniper Flidr

1

Bu sorunun, örneğin, daha fazla ayrıntı olmadan tam olarak cevaplanmasının mümkün olmayabileceğini düşünüyorum:

Kaç tane sistem yöneticisinin "sınırlı" kalmasını beklersiniz?

İnsanların "sysadmin" erişimi için neye ihtiyacı var?

Her şeyden önce sudo ile neler yapabileceğinizi unutmayın. Sudo ile, yalnızca tek bir komut (veya "mount -r" ile başlayan komutlar gibi, ancak diğer komutlara izin verilmez) kullanılan varyasyonları çalıştırmak için yükseltilmiş izinlere izin verebilirsiniz. SSH tuşlarıyla, bir kişinin yalnızca belirli bir komutu çalıştırmasına izin veren kimlik bilgileri atayabilirsiniz ("sudo mount -r / dev / sdd0 / media / backup" gibi). Bu nedenle, hemen hemen her kimsenin (SSH anahtarına sahip), başka bir şey yapmadan, başka bir işlemi yapmasına izin vermeden, belirli işlemleri yapabilmeleri için nispeten kolay bir yol var.

Teknisyenlerin kırılan şeyleri düzeltmelerini istiyorsanız, işler biraz daha zorlaşıyor. Bu genellikle daha yüksek miktarda izin ve belki de çok çeşitli komutları çalıştırmak ve / veya çeşitli dosyalara yazmak için erişim gerektirebilir.

CPanel (birkaç ISS tarafından kullanılan) veya bulut tabanlı sistemler gibi web tabanlı sistemlerin yaklaşımını göz önünde bulundurmanızı öneririm. Makinenin tamamında, makinenin tamamında sorunların giderilmesiyle ilgili problemler çıkarabilirler. Bu nedenle, kişi, makineye geçen (veya makineyi iyi bilinen bir resme geri yükleyen), kişiye çok veri okumak için gerekli erişimi sağlamadan veya küçük değişiklikler yapmadan (küçük bir düzeltme yapmak gibi) bir komut çalıştırabilir. yetkisiz bir arka kapı tanıtımıyla). O zaman, görüntüleri yapan insanlara güvenmeniz gerekir, ancak daha küçük şeyleri yapmak için kaç kişiye güvenmeniz gerektiğini azaltırsınız.

Nihayetinde, sistemi tasarlamaya yardım eden ve en üst düzeyde faaliyet gösteren sıfır olmayan bazı insanlara belirli bir güven sağlanması gerekmektedir.

Büyük şirketlerin yaptığı bir şey, çok sayıda makine tarafından uzaktan erişilebilen verileri depolayan SQL sunucuları gibi şeylere güvenmektir. Daha sonra, daha fazla sayıda teknisyen bazı makinelerde tam root erişimine sahipken, SQL sunucularına root erişimine sahip olmayabilir.

Başka bir yaklaşım başarısız olamayacak kadar büyük olmaktır. Büyük militanların ya da dev şirketlerin asla güvenlik olaylarının olmadığını düşünmeyin. Ancak, nasıl yapılacağını biliyorlar:

  • kurtarmak, geri kazanmak, iyileşmek, kurtulmak,
  • zararı sınırlayın (değerli şeyleri ayırarak)
  • dava tehditleri dahil, karşı önlemler alınması
  • İstenmeyen basıya maruz kalmayı sınırlamaya yardımcı olacak süreçlere ve gelişmekte olan olumsuz hikayelerin dönüşünü nasıl etkileyecek planlarına sahip olmak.

Temel varsayım, meydana gelen hasarın sadece iş yapmalarının bir risk ve maliyeti olduğudur. Operasyona devam etmeyi umuyorlar ve yıllar içinde devam eden gelişmeler ve gelişmeler, tek bir olayın uzun vadede uzun vadeli değerlerini gerçekten etkilemesinin ne kadar zarar vereceğini sınırlayacaktır.



0

Kök yönetim makinesini iki anahtarla kilitlenmiş odanın içine yerleştirin ve iki yönetici için yalnızca bir tane verin. Yöneticiler her zaman birlikte çalışacak ve birbirlerinin faaliyetlerini gözlemleyecektir. Root olarak giriş yapmak için özel anahtarı içeren tek makine olmalı.

Bazı faaliyetler kök haklarına ihtiyaç duymayabilir, bu nedenle çalışmanın sadece bir kısmı "çift programlama" için o odaya gitmeyi gerektirebilir.

Ayrıca, hiç kimsenin yalnız çalışmadığından (bu kadarının kolayca görülebildiğinden) daha emin olmak için o odadaki video kayıt etkinliklerini de yapabilirsiniz. Ayrıca, çalışma yerinin her iki kişi için ekranın kolayca görülebildiğinden emin olun (belki büyük yazı tipli büyük TV ekranı).

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.