16
在我們的管理團隊中,每個人都擁有所有客戶端服務器的root密碼。 但是如果其中一位團隊成員不再與我們合作,我們該怎麼辦? 他仍然有我們的密碼,我們必須改變他們,每次有人離開我們。如何管理服務器的根密碼
現在我們正在使用SSH密鑰而不是密碼,但是這不是有益的,如果我們必須使用比SSH以外的東西。
A
回答
23
我運行的系統有一個sudo -only政策。即根密碼是*(禁用),人們必須使用sudo才能獲得root訪問權限。然後,您可以編輯sudoers文件來授予/撤消人員的訪問權限。它非常細化,並且具有很多可配置性,但具有合理的默認設置,所以它不需要很長時間就可以設置。
4
雖然使用sudo的具體取決於系統的大小的LDAP方法也可能是有益的只有像克里斯政策建議是一個好主意。我們通過一個包含所有root密碼的文件來補充它,但是root密碼非常長且不可取。雖然這可能被認爲是一個安全缺陷,但它允許我們在ldap服務器關閉的情況下仍能登錄。
0
如果您通過證書獲得ssh訪問權限,當您需要執行其他需要密碼的操作時,是否可以通過ssh登錄並通過passwd或sudo passwd更改root密碼?
0
我在我工作的地方使用sudo only策略,但仍保留root密碼。根密碼僅適用於少數員工。我們有一個名爲Password Manager Pro的程序,可以存儲我們所有的密碼,並且還可以提供密碼審覈。這使我們能夠回頭看看哪些用戶訪問了哪些密碼。因此,我們只能更改實際需要更改的密碼。
3
除了sudo的政策,這可能是更好的,沒有任何理由爲什麼每個管理員可能沒有自己的帳戶UID 0,但名字不同,具有不同的密碼,甚至不同的主目錄。只要刪除他們的帳戶,當他們走了。
1
我們只是做它很容易改變我們每次admininster所以當人們離開我們剛剛運行的腳本,機器上的root密碼。我知道不是很聰明,但它工作。在我的時間之前,公司中的每個人都可以訪問所有服務器上的root。幸運的是,我們已經離開了那個。
1
一般來說,如果有人離開我們的團隊,我們不打擾更改root密碼。他們要麼離開公司(並且無法再訪問機器,因爲他們的VPN已被撤銷,他們的徽章可以訪問該建築,並且無法訪問網絡),或者他們在公司內的其他部門並有專業精神不與我們的環境搞砸。
這是安全漏洞嗎?也許。但是,實際上,如果他們想要解決我們的環境問題,那麼在繼續前進之前他們會這麼做的。
到目前爲止,任何人離開誰願意訪問我們的機隊再次一直要求許可,即使他們可以得到在未經允許的。我認爲沒有任何理由妨礙我們完成工作的能力,也就是說,沒有理由相信任何其他人向前和向後的行爲會有所不同。
1
合理強大的root密碼。每個盒子都不同。沒有遠程root登錄,也沒有登錄密碼,只有密鑰。
6
我通常會建議如下:
- 使用空白 root密碼。
- 禁用遠程登錄
- 設置SSH爲無根登錄(或根登錄僅通過公共密鑰)
- 禁用ス通過將該到/ etc/suauth的頂部,以根:「根:ALL:DENY 「
- 啓用在控制檯根登錄只(從tty1-tty8)
- 正常的root訪問權限使用sudo
那麼現在,有了這個設置,所有用戶必須使用sudo進行遠程管理, 安全TTY但是當系統嚴重混亂時,沒有尋找 根密碼來解鎖控制檯。
編輯:其他的系統管理工具,提供自己的登錄信息也需要調整。
0
SSH密鑰沒有真正的選擇。
有關你必須實現自己的解決方案,如果你不希望在每個服務器上的同一個文件的許多服務器的許多authorized_keys文件管理。無論是通過自己的工具,還是像puppet,ansible或類似的配置管理解決方案。
否則一個在bash循環或clush行動就足夠了。除了SSH登錄
什麼:
對於您運行的是登錄爲基礎的服務,使用某種身份驗證與中央後端。 請記住,如果此後端不可用,沒人會做任何工作!
運行羣集服務。 不要使用超級服務後門帳戶進行黑客攻擊,以防萬一發生中斷(例如管理員訪問因錯誤配置而中斷)。無論您監控訪問或配置更改對此帳戶的影響程度如何,這都是「糟糕」(TM)。
而不是讓這個後門正確的,你可能只是羣集應用程序,或者至少有一個備用系統定期鏡像手頭的設置,如果主盒子死亡,然後可以通過路由變化輕鬆激活在網絡中。如果這聽起來太複雜了,那麼您的業務要麼太小,您可以在半天到兩天的停機時間內生活。或者你因爲缺乏知識而真的討厭集羣,並且只是在保存錯誤的東西。
一般來說:如果您確實使用某種Active Directory或LDAP集成無法使用的軟件,則必須跳過鯊魚並手動更改這些密碼。
也是隻能由極少數選定的直接訪問,並且是隻讀的所有其他專門的密碼管理數據庫,是非常好的。不要打擾excel文件,這些缺乏適當的權利管理。在.csv文件上使用版本控制並不會真正在一定的閾值之後削減它。
相關問題
- 1. 如何管理微服務/容器/雲環境中的祕密?
- 2. 如何實現密碼管理器的重置密碼
- 3. 恢復管理員密碼和電子郵件Odoo服務器
- 4. 密碼管理器安全
- 5. PHP源代碼管理服務器
- 6. 如何加密管理員密碼?
- 7. RStudio服務器 - 如何重置密碼?
- 8. 如何在服務器端代碼中管理多種語言?
- 9. IIS管理員可以更改Windows服務帳戶的密碼
- 10. 管理員無法管理sql服務器報告服務
- 11. 服務結構 - 管理機密
- 12. ZF3服務管理器
- 13. 服務器管理問題
- 14. 服務器內存管理
- 15. 管理服務器設計
- 16. 如何加密發送到服務器的密碼
- 17. 廚師服務器12 - 廚師服務器12中管理員用戶的默認密碼是什麼?
- 18. WebLogic管理服務器啓動問題 - 數據源的密碼得到exparied
- 19. 如何解密加密的WordPress管理員密碼?
- 20. 如何重置symfony管理密碼?
- 21. 如何更改sonarqube管理員密碼
- 22. Windows如何管理用戶和密碼?
- 23. 如何重置Django管理員密碼?
- 24. 使用管理服務在wso2中重置用戶密碼
- 25. Couchbase管理密碼與集羣管理員密碼
- 26. 如何在碧玉服務器上啓用URL加密密碼
- 27. ssis連接管理器密碼(「DontSaveSensitive」)
- 28. 設置MySQL根密碼時,無法在'localhost'連接服務器
- 29. 如何管理OSX服務的撤消?
- 30. 如何處理WCF服務中的密碼到期
您多久檢查一次其他uid/gid 0用戶,並且root密碼仍然被禁用? – 2008-10-16 10:09:45
在良好的操作系統上(例如OpenBSD),每天都會收到一封電子郵件,告訴您對各種重要文件(如密碼數據庫(以及審計腳本本身))所做的更改。 :-) – 2008-10-16 10:11:38
順便說一下,審計腳本還會提醒您任何新的setuid程序。 – 2008-10-16 10:12:25