使用域用户kerberos票证的Linux根
我们刚刚将一组Centos6 6/7主机从纯基于OpenLDAP的身份验证迁移到IPA和Kerberos。令我们惊讶的是,IPA注册主机上的本地根用户可以使用‘su’成为IPA用户。
如果选择的IPA用户当前已登录,“本地根”可以使用IPA用户Kerberos凭据作为IPA用户在域中的主机上移动。Kerberos票证转发允许本地根用户在字段中允许的任何主机上使用IPA用户身份,直到它不能再续签Kerberos票证(默认为7天)。
感觉像是后退了一步。我们有开发人员需要测试vm的根
如果IPA管理员碰巧登录到测试VM中,那么开发人员可以将sudo su登录到IPA管理,然后使用Kerberos委托登录到IPA服务器。然后,他们可以对IPA服务器进行更改,所有这些都不需要IPA用户的密码。
我可以看到Linux安全模型是如何允许这样做的,但它感觉像是一种有缺陷的情况。
是否有任何方法安全地拥有本地管理员而不是域管理员?(即使它只适用于Centos7主机)。Centos6在这里的路上)
回答 1
Server Fault用户
发布于 2019-11-10 04:46:06
嗯,是的。PAM允许root做它想做的任何事情,包括假定其他用户的身份。
如果一个ipa管理员碰巧被登录到测试vm中,那么开发人员可以对ipa管理做sudo su,然后使用kerberos委托登录到ipa服务器。
别干那事。为身份服务使用一个单独的管理帐户,并禁止它登录到任意的应用程序主机。这是一个好主意,就像不使用Windows AD DS域管理帐户和你的日常驱动程序一样,只是不要。
也许使用基于freeipa主机的访问控制来防止身份管理员接触应用程序主机,反之亦然。
此外,只给您信任的人根,所有帐户都可以登录到主机。这可能意味着用特权较低的用户和脚本替换根访问,以作为root来执行特定的事情。或者,为不受信任的根用户提供不带IPA的网络断开连接的主机。不太方便,但没有Kerberos,他们就不能在系统上传递车票。
https://serverfault.com/questions/991238
复制相似问题
腾讯云开发者
