Vraag Linux: productieve sysadmins zonder root (het beveiligen van intellectueel eigendom)?


Is er een manier om een ​​ervaren Linux-sydmin productief te maken zonder hem volledige root-toegang te geven?

Deze vraag komt vanuit een perspectief van bescherming van intellectueel eigendom (IP), wat in mijn geval volledig code en / of configuratiebestanden is (dat wil zeggen kleine digitale bestanden die gemakkelijk kunnen worden gekopieerd). Onze geheime saus heeft ons meer succesvol gemaakt dan onze kleine afmetingen suggereren. Op dezelfde manier zijn we dat ook een ezel stoot zich geen tweemaal op dezelfde steen van een paar voormalige gewetenloze werknemers (geen sysadmins) die IP probeerden te stelen. De positie van het topmanagement is eigenlijk: "We vertrouwen mensen, maar uit eigenbelang kunnen we het risico niet nemen dat een persoon meer toegang krijgt dan ze absoluut nodig hebben om hun werk te doen."

Op de ontwikkelaar Het is relatief eenvoudig om workflows en toegangsniveaus te partitioneren, zodat mensen productief kunnen zijn, maar alleen zien wat ze moeten zien. Alleen de beste mensen (echte bedrijfseigenaren) hebben de mogelijkheid om alle ingrediënten te combineren en de speciale saus te maken.

Maar ik ben niet in staat geweest om een ​​goede manier te bedenken om dit IP-geheim aan de Linux-beheerderskant te behouden. We maken uitgebreid gebruik van GPG voor code en gevoelige tekstbestanden ... maar wat houdt een admin tegen om (bijvoorbeeld) naar een gebruiker te gaan en op hun tmux- of GNU Screen-sessie te springen en te zien wat ze doen?

(We hebben ook overal een internettoegang uitgeschakeld die mogelijk in contact kan komen met gevoelige informatie. Maar niets is perfect, en er kunnen gaten zijn in slimme sysadmins of fouten aan de kant van de netwerkbeheerder. Of zelfs goede oude USB. natuurlijk vele andere maatregelen, maar die vallen buiten het bestek van deze vraag.)

Het beste dat ik kan verzinnen, is dat ik in principe persoonlijke accounts gebruik sudo, vergelijkbaar met wat wordt beschreven in Meerdere Linux-sysadmins werken als root. Concreet: niemand anders dan de bedrijfseigenaren zou daadwerkelijk directe root-toegang hebben. Andere beheerders hebben een persoonlijk account en de mogelijkheid om sudo in root. Verder zou logboekregistratie op afstand worden gestart en zouden de logboeken naar een server gaan die alleen de eigenaars van het bedrijf konden openen. Het zien van loggen uitgeschakeld was een soort van waarschuwingen.

Een slim systeembeheerder zou waarschijnlijk nog enkele gaten in dit schema kunnen vinden. En dat terzijde, het is stil reagerend liever dan proactieve. Het probleem met ons IP is dusdanig dat concurrenten er heel snel gebruik van kunnen maken en in korte tijd veel schade kunnen aanrichten.

Dus nog beter zou een mechanisme zijn dat beperkt wat de beheerder kan doen. Maar ik erken dat dit een delicaat evenwicht is (met name in het licht van het oplossen van problemen en het oplossen van productieproblemen die moeten worden opgelost nu).

Ik kan het niet helpen, maar vraag me af hoe andere organisaties met zeer gevoelige gegevens dit probleem beheren? Bijvoorbeeld militaire sysadmins: hoe beheren ze servers en gegevens zonder dat ze vertrouwelijke informatie kunnen zien?

Bewerk: In de eerste posting wilde ik preventief ingaan op de opmerkingen over 'sollicitatieprocedures' die aan de oppervlakte komen. Eén, dit hoort een te zijn technisch vraag en aanwervingsmethoden waar IMO meer naar neigt sociaal vragen. Maar, twee, ik zal dit zeggen: ik geloof dat we alles doen wat redelijk is voor het aannemen van mensen: interview met meerdere mensen bij het bedrijf; achtergrond- en referentiecontroles; alle medewerkers ondertekenen talrijke juridische documenten, waaronder een document waarin staat dat ze ons handboek hebben gelezen en begrepen en dat IP-kwesties in detail worden beschreven. Het is nu buiten het bereik van deze vraag / site, maar als iemand "perfecte" aanwervingspraktijken kan voorstellen die 100% van de slechte acteurs filteren, ben ik een en al oor. Feiten zijn: (1) Ik geloof niet dat er zo'n perfect rekruteringsproces is; (2) mensen veranderen - de engel van vandaag kan de duivel van morgen zijn; (3) poging tot codediefstal lijkt enigszins routinematig in deze branche.


64
2018-02-01 18:20


oorsprong


het eerste dat me te binnen schoot bij het lezen van je laatste vraag ... Snowden. - Hrvoje Špoljar
Je kunt ver komen met het juiste SELinux-beleid, maar dit zal vrij duur zijn om te implementeren. Aan het eind van de dag, sysadmins moet hebben enige toegang tot het systeem en de bestanden daarop om hun werk te doen. Uw probleem is niet technisch, het zit in het wervingsproces. - Michael Hampton♦
Het leger gebruikt veiligheidsmachtigingen en integriteit van twee personen. Zelfs dan zijn er soms overtredingen. De kansen van beide mensen met snode plannen zijn veel minder. - Steve
De reden dat dit naar een mensenprobleem ruikt, is omdat het een probleem van mensen is. - Sirex
Dit is waar NDA's voor zijn. - Michael Martinez


antwoorden:


Waar u het over hebt, staat bekend als het "Evil Sysadmin" -risico. De lang en kort van het is:

  • Een systeembeheerder is iemand die de bevoegdheden heeft verhoogd
  • Technisch bedreven, tot een niveau dat van hen een goede 'hacker' zou maken.
  • Interactie met systemen in afwijkende scenario's.

De combinatie van deze dingen maakt het in wezen onmogelijk om kwaadaardige acties te stoppen. Zelfs auditing wordt moeilijk, omdat je geen 'normaal' hebt om mee te vergelijken. (En eerlijk gezegd - een gebroken systeem heeft misschien ook een audit gebroken).

Er zijn veel mitigerende stappen:

  • Privilege scheiding - je kunt een man met root niet stoppen om te doen iets op het systeem. Maar u kunt een team verantwoordelijk maken voor netwerken en een ander team dat verantwoordelijk is voor 'besturingssystemen' (of Unix / Windows afzonderlijk).
  • Beperk fysieke toegang tot de kit tot een ander team, die geen beheerdersaccounts krijgen ... maar zorg voor alle 'handen'-werk.
  • Verwijder de verantwoordelijkheid voor 'desktop' en 'server'. Configureer het bureaublad om het verwijderen van gegevens te verhinderen. De desktopbeheerders hebben geen mogelijkheid om toegang te krijgen tot het gevoelige, de serverbeheerders kunnen het stelen, maar moeten door hoepels springen om het uit het gebouw te krijgen.
  • Auditing naar een beperkt toegangssysteem - syslog en controle op gebeurtenisniveau, op een relatief fraudebestendig systeem waarvoor zij geen geprivilegieerde toegang hebben. Maar verzamelen is niet genoeg, je moet het in de gaten houden - en eerlijk gezegd, er zijn een heleboel manieren om informatie te 'stelen' die misschien niet op een auditradar verschijnt. (Stroper versus jachtopziener)
  • 'in rust'-codering toepassen, dus gegevens worden niet' in het niets 'opgeslagen en vereisen toegang tot een live-systeem. Dit betekent dat mensen met fysieke toegang geen toegang hebben tot een systeem dat niet actief wordt gemonitord en dat in een 'abnormaal' scenario waar een sysadmin aan werkt, de gegevens minder worden weergegeven. (bijvoorbeeld als de database niet werkt, zijn de gegevens waarschijnlijk niet leesbaar)
  • Twee mannen regels - als je het goed vindt dat je productiviteit kreupel is, en je moreel ook. (Serieus - ik heb het gezien en de aanhoudende staat van werken en bekeken worden maakt het extreem moeilijke werkomstandigheden).
  • Vet uw sysadmins in - er kunnen verschillende recordschecks zijn, afhankelijk van het land. (Criminal records check, u macht zelfs als je merkt dat je in sommige gevallen een veiligheidsmachtiging kunt aanvragen, die aanleiding geeft tot doorlichting)
  • Zorg voor uw sysadmins - het absolute laatste dat u wilt doen is een 'vertrouwd' persoon vertellen dat u ze niet vertrouwt. En je wilt het moreel zeker niet schaden, omdat dat toeneemt de kans op kwaadwillig gedrag (of 'niet-volledige nalatigheid, maar een afname van de waakzaamheid'). Maar betaal volgens verantwoordelijkheid en vaardigheden. En houd rekening met 'voordelen' - die goedkoper zijn dan het salaris, maar waarschijnlijk meer worden gewaardeerd. Zoals gratis koffie of één keer per week pizza.
  • en u kunt ook proberen om contractvoorwaarden toe te passen om het te blokkeren, maar wees op uw hoede voor het bovenstaande.

Maar behoorlijk fundamenteel - je moet accepteren dat dit een vertrouwenszaak is, geen technische zaak. Je sysadmins zullen altijd potentieel zeer gevaarlijk voor je zijn, als gevolg van deze perfecte storm.


19
2018-02-02 10:04



Ik draag af en toe de hoed van het sysadmin. Ik heb het nodig gevonden om krachtige hulpmiddelen te laten rondslingeren waar ik ze kan tegenkomen, waarvan sommige met hun ontworpen doel systeemtoegangscontroles omzeilen (voor het geval iemand er toch in slaagt iedereen uit een werkstation te vergrendelen). Vanwege de aard van hun werking is auditing verzwakt of ineffectief. - joshudson
Ja. Om alle redenen kunnen slotenmakers legitiem inbraken in uw huis, misschien moeten sysadmins inbraak in het netwerk. - Sobrique
@Sobrique: er is iets dat ik nog steeds niet begrijp: waarom we horen over malafide sysadmins die veel gegevens opscheppen en niet over malafide meiden die hetzelfde doen (ze konden het doen in de tijd dat alles op papier stond). - user2284570
Volume - terabytes aan hardcopy is groot. En schade. Sabotage van een it-systeem kan een bedrijf letterlijk verwoesten. - Sobrique


Alles wat hier tot nu toe is gezegd is goed, maar er is een 'gemakkelijke' niet-technische manier die een kwaadwillende sys-beheerder ontkent: de vier ogen principe wat in principe vereist dat er twee sysadmins aanwezig zijn voor elke verhoogde toegang.

BEWERK: De twee grootste items die ik in opmerkingen heb gezien zijn het bespreken van de kosten en de mogelijkheid van collusie. Een van de grootste manieren die ik heb overwogen om beide problemen te vermijden, is het gebruik van een bedrijf met beheerde services dat alleen wordt gebruikt om de genomen maatregelen te verifiëren. Goed gedaan, de techneuten kennen elkaar niet. Ervan uitgaande dat de technische bekwaamheid die een MSP zou moeten hebben zou gemakkelijk genoeg zijn om een ​​teken te hebben van de genomen maatregelen .. misschien zelfs zo simpel als een ja / nee tegen iets snode.


51
2018-02-01 19:52



@Sirex: Ja, dat is het probleem met beveiliging - het heeft altijd een prijs. - sleske
Nee, ik heb in vrij kleine (100-1000 persoon) organisaties gewerkt die precies dat deden. Ze accepteerden alleen dat hun sysadmin-activiteit tussen de vier en tien keer zoveel geld zou kosten als het anders zou doen, en ze betaalden. - MadHatter
Dit is het enige echte antwoord. Onze kit bevindt zich op sommige veilige gov't-locaties en (naast andere stappen) gebruiken we deze aanpak om ervoor te zorgen dat niemand toegang heeft tot een verhoogde terminal. Er wordt een gedetailleerd verzoek voor werk gedaan, veel mensen tekenen zich af (50+, zucht), dan komen twee admins samen en doen de verandering. Het minimaliseert risico's (en ook domme fouten). Het is duur en een enorme pijn om iets voor elkaar te krijgen, maar dat is de prijs van beveiliging. Re: 50+ ondertekenaars, inclusief netwerkteam, DC-team, projectmanagers, beveiliging, opslag, pen-tester, softwareleverancier, etc. - Basic
Je zou waarschijnlijk moeite hebben om te huren, ja. Het zou voor mij een instant showstopper zijn, omdat ik graag dingen gedaan wil krijgen en het mijn werkplezier zou verlammen. - Sirex
Houd er rekening mee dat de verhoogde kosten niet van toepassing zijn op elke sysadmin-actie. Het is echter van toepassing op zowel de verhoogde acties zelf als hun voorbereiding. IOW, je kunt niet zeggen: "sysadmin werkt 40 uur per week, waarvan er 4 zijn verhoogd, dus de kostenstijging zou slechts 10% bedragen". Positief is dat de regeling ook normale, eerlijke fouten opvangt. Dat scheelt geld. - MSalters


Als mensen echt beheerderstoegang tot een systeem nodig hebben, is er weinig dat u kunt doen om hun activiteiten in die box te beperken.

Wat de meerderheid van de organisaties doet is Vertrouwen, maar verifiëren - u kunt mensen toegang geven tot delen van het systeem, maar u gebruikt benoemde beheerdersaccounts (u geeft ze bijvoorbeeld geen directe toegang tot wortel) en vervolgens hun activiteiten controleren op een logboek waar ze zich niet mee bemoeien.

Er is hier een evenwichtsoefening; je moet mogelijk je systemen beschermen, maar je moet ook mensen vertrouwen om hun werk te doen. Als het bedrijf voorheen "gebeten" was door een gewetenloze werknemer, zou dit kunnen suggereren dat de wervingspraktijken van bedrijven op de een of andere manier slecht zijn, en die praktijken werden vermoedelijk gecreëerd door de "topmanagers". Vertrouwen begint thuis; wat doen zij om hun rekruteringskeuzes te verbeteren?


27
2018-02-01 19:18



Dit is een goede observatie: dankzij goede auditing kunnen mensen hun werk doen en toch verantwoordelijk blijven voor hun acties. - Steve Bonds
Correct gebruik van auditd en syslog kan ook een lange weg gaan. Die gegevens kunnen worden gevolgd door een groot aantal beveiligingshulpmiddelen om vreemd of duidelijk slecht gedrag te zoeken. - Aaron
Het echte probleem met auditing is dat er veel lawaai is. Na enkele maanden zal niemand naar de logboeken kijken, behalve wanneer er iets is gebeurd. - TomTom
Ik ben het met TomTom eens, het is een probleem om de verhouding signaal-ruis te krijgen in beveiligingslogboeken, maar je moet nog steeds inloggen, denk ik. @Sobrique Ik zou echter willen zeggen dat 'evil sysadmins' vooral een aanwervend probleem zijn in plaats van een technologieprobleem; je moet beide kanten van de kloof dichten, dus ik zou van dag tot dag 'best practice' vereisen en de aanwervingsprocessen verbeteren, '4 ogen' overwegen voor echt geheime sausdingen waar Tim naar zinspeelde, evenals zift logs - Rob Moir
Een klein beetje, maar houd in gedachten over een 'werkcyclus' een eerdere goede trouwe acteur kan een kwaadwillende worden. Dat is meer over de vrijheid van meningsuiting en het moreel dan het inhuren van praktijken per se. De dingen die iemand een goed systeembeheerder maken, zouden hen ook tot een goede hacker maken. Dus misschien op dat punt - is het inhuren van middelmatige sysadmins de weg vooruit? - Sobrique


Zonder jezelf in een waanzinnige technische hersenkraai te veranderen om te proberen een manier te bedenken om een ​​systeembeheerder de macht te geven zonder ze macht te geven (het is waarschijnlijk uitvoerbaar, maar zou op de een of andere manier gebrekkig zijn).

Vanuit het oogpunt van bedrijfspraktijken zijn er een aantal eenvoudige oplossingen. Geen goedkope oplossingen, maar eenvoudig.

U zei dat de stukjes IP waarover u zich zorgen maakt verdeeld zijn en dat alleen mensen aan de top de macht hebben om ze te zien. Dit is in wezen jouw antwoord. U zou meerdere beheerders moeten hebben, en GEEN van hen zou een admin op voldoende systemen moeten zijn om de complete afbeelding samen te stellen. Je hebt natuurlijk minstens 2 of 3 beheerders nodig voor elk stuk, voor het geval een admin ziek is of een auto-ongeluk heeft of zoiets. Misschien zelfs hen wankelen. stel dat je 4 beheerders hebt en 8 stukjes informatie. admin 1 kan toegang krijgen tot systemen die stuk 1 en 2 hebben, admin 2 kan in stukken 2 en 3 komen, admin 3 kan 3 en 4 bereiken en admin 4 kan 4 en 1 bereiken. Elk systeem heeft een back-upbeheerder, maar geen admin kan het complete plaatje compromitteren.

Een techniek die het leger ook gebruikt, is de beperking van bewegende gegevens. In een gevoelig gebied is er misschien maar één systeem dat een schijf kan branden of een USB-flashstation kan gebruiken, alle andere systemen zijn beperkt. En de mogelijkheid om dat systeem te gebruiken is uiterst beperkt en vereist specifieke gedocumenteerde goedkeuring door hogere ups voordat iemand gegevens mag plaatsen over iets dat kan leiden tot het morsen van informatie. Tegelijkertijd zorgt u ervoor dat netwerkverkeer tussen verschillende systemen wordt beperkt door hardwarefirewalls. Uw netwerkbeheerders die de firewall beheren, hebben geen toegang tot de systemen die ze leiden, dus ze kunnen niet specifiek toegang krijgen tot informatie en uw server- / werkstationbeheerders zorgen ervoor dat alle gegevens van en naar een systeem zijn geconfigureerd om te worden gecodeerd, dus dat uw netwerkbeheerders niet op het netwerk kunnen tikken en toegang krijgen tot de gegevens.

Alle laptops / werkstations moeten gecodeerde harde schijven hebben en elke medewerker moet een persoonlijk kluisje hebben dat nodig is om de stations / laptops aan het einde van de nacht te vergrendelen om ervoor te zorgen dat niemand vroeg komt / te laat weggaat en toegang krijgt tot iets dat is niet de bedoeling.

Elke server zou op zijn minst in een eigen afgesloten rack moeten zijn, zo niet een eigen afgesloten ruimte, zodat alleen de beheerders die verantwoordelijk zijn voor elke server er toegang toe hebben, aangezien fysieke toegang aan het einde van de dag alles overtreft.

Vervolgens is er een oefening die kan pijn doen / helpen. Beperkte contracten. Als u denkt dat u genoeg kunt betalen om nieuw talent te blijven aantrekken, kunt u de optie om alleen elke beheerder voor een vooraf bepaalde tijdsperiode (IE 6 maanden, 1 jaar, 2 jaar) te houden, toestaan ​​om te beperken hoe lang iemand zou hebben om te proberen alle stukjes van je IP samen te stellen.

Mijn persoonlijke ontwerp zou iets zijn in de trant van ... Splits je gegevens in zoveel stukken, laten we zeggen voor het nummer 8, je hebt 8 git-servers, elk met hun eigen set redundante hardware, elk beheerd door een andere reeks admins.

Versleutelde hardrives voor alle werkstations die het IP zullen raken. met een specifieke "project" -directory op de schijf die de enige map is waar gebruikers hun projecten in mogen plaatsen. Aan het einde van elke nacht moeten ze hun projectdirectory's saneren met een veilige verwijderingshulpprogramma, waarna harde schijven worden verwijderd en opgesloten (alleen maar om veilig te zijn).

Aan elk bit van het project is een andere admin toegewezen, dus een gebruiker zou alleen communiceren met de werkstationbeheerder waaraan ze zijn toegewezen, als hun projecttoekenning verandert, hun gegevens worden gewist, krijgen ze een nieuwe beheerder toegewezen. Hun systemen zouden geen brandmogelijkheden moeten hebben en zouden een beveiligingsprogramma moeten gebruiken om te voorkomen dat USB-flashstations gegevens zonder toestemming kunnen overbrengen.

neem hiervan af wat je wilt.


18
2018-02-01 23:28



Bedankt, veel goede dingen daar, en veel we doen. Hoewel ik het idee van meerdere admins leuk vind, zijn we niet echt groot genoeg om dat nodig te hebben. Ik alleen echt nodig hebben een admin, dus als ik er vier had, zouden ze zich over het algemeen verveeld voelen. Hoe vinden we het toptalent dat we willen, maar geven ze slechts een piepkleine workload? Ik vrees dat slimme mensen zich snel zullen vervelen en naar groenere weiden zullen gaan. - Matt
Ja, dat is een groot probleem, en feitelijk lijdt het overheidsterrein zwaar. De plaats waar ik mijn start als beheerder kreeg, werd vaak 'de draaideur' genoemd. Het geheel is een moeilijk probleem om mee om te gaan. Informatiebeveiliging is in het algemeen een behoorlijk moeilijke noot om te kraken: \ - Gravy
@Mat How do we find the top-tier talent we want, but only give them a teeny-tiny workload? Tot op zekere hoogte kun je dit beperken door hen ook een grote test- / R & D-omgeving te geven, toegang te krijgen tot het coole nieuwe speelgoed en ze aan te moedigen om grote delen van hun werkdag te besteden aan het ontwikkelen van hun technische vaardigheden. Een effectieve werkdruk van 25% duwt daar waarschijnlijk te ver op, maar ik zou absoluut stom zijn voor een baan die 50% effectief werk en 50% technische ontwikkeling / R & D is (ervan uitgaande dat beloning op hetzelfde niveau ligt als een normale ~ 100% " werkelijke werk "baan). - HopelessN00b


Het zou vergelijkbaar zijn met de uitdaging om een ​​conciërge voor een gebouw aan te nemen. De conciërge krijgt alle sleutels, kan elke deur openen, maar de reden is dat de conciërge ze nodig heeft om de klus te klaren. Hetzelfde met systeembeheerders. Symmetrisch kan men denken aan dit eeuwenoude probleem en kijken naar manieren waarop vertrouwen historisch wordt toegekend.

Hoewel er geen strakke technische oplossing is, zou het feit dat er geen is geen reden moeten zijn dat we het niet proberen, een samenvoeging van imperfecte oplossingen kan enigszins geweldige resultaten opleveren.

Een model waar vertrouwen wordt verdiend:

  • Geef om te beginnen minder machtigingen
  • Vergroot geleidelijk de rechten
  • Zet een honeypot en controleer wat er de komende dagen gebeurt
  • Als de sysadmin dit meldt in plaats van te proberen het te misbruiken, is dat een goed begin

Implementeer verschillende niveaus van bestuurlijke bevoegdheden:

  • Niveau 1: Kan configuratiebestanden van lagere rang wijzigen
  • Niveau 2: Kan enigszins hogere configuratiebestanden aanpassen
  • Niveau 3: Kan enigszins hogere configuratiebestanden en OS-instellingen wijzigen

Maak altijd een omgeving waarin totale toegang door één persoon niet mogelijk is:

  • Splits systemen in clusters
  • Geef clusterbeheermachtigingen aan verschillende groepen
  • Minimaal 2 groepen

Gebruik de tweepaardsregel bij het uitvoeren van kernaanpassingen op hoog niveau:

Vertrouw en verifieer:

  • Log alles in
  • Log monitoring en alarmering
  • Zorg ervoor dat alle acties te onderscheiden zijn

Papierwerk:

  • Laat ze papierwerk ondertekenen zodat het juridische systeem je kan helpen door ze aan te klagen als ze je pijn doen geeft meer motivatie om dit niet te doen

11
2018-02-02 03:39



Log niet alles, maar er moet iets op die logboeken worden gecontroleerd en gewaarschuwd, idealiter op een manier die voor de mens eenvoudig te consumeren is. - Aaron


Het is heel moeilijk om hosts te beveiligen tegen mensen met administratieve toegang. Terwijl tools zoals PowerBroker poging om dit te doen, de kosten voegen beide iets toe dat kan breken EN het toevoegen van barrières aan pogingen om het te repareren. Uw systeembeschikbaarheid ZULLEN laten vallen wanneer je zoiets implementeert, dus stel die verwachting al vroeg in als de kosten om dingen te beschermen.

Een andere mogelijkheid is om te zien of uw app kan worden uitgevoerd op wegwerphosts via een cloudprovider of in een lokaal gehoste privécloud. Wanneer er een breekt, gooit u deze weg in plaats van een beheerder op te sturen om een ​​vervanging te maken. Dit vergt nogal wat werk aan de applicatiezijde om ze in dit model te laten draaien, maar het kan een heleboel operationele en beveiligingsproblemen oplossen. Als het slecht gebeurt, kan het een aantal belangrijke beveiligingsproblemen veroorzaken, dus zorg voor ervaren hulp als u die route aflegt.


9
2018-02-01 18:36





Dit is je baseline-discussie: https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

U verdeelt uw verantwoordelijkheid door beveiligingsingenieurs te hebben wiens taak het is om systeemconfiguraties en installaties te maken, maar zij krijgen geen inloggegevens of toegang tot machines in productie. Ze voeren ook uw auditinfrastructuur uit.

U hebt productiebeheerders die de systemen ontvangen maar niet de sleutels hebben om de machine op te starten zonder dat het SELinux-beleid actief is. Beveiliging krijgt niet de sleutels voor het ontsleutelen van gevoelige gegevens die in rust zijn opgeslagen op de schijf, omdat ze een kapotte machine hebben die uit dienst is gehaald.

Maak gebruik van een gecentraliseerd authenticatiesysteem met sterke auditing zoals gewelf en maak gebruik van zijn crypto-operaties. Deel Yubikey-apparaten uit om de toetsen absoluut privé en onleesbaar te maken.

Machines worden ofwel weggevaagd bij breuk of behandeld door ops en beveiliging samen, en als u het nodig hebt om toezicht op de leiding te hebben.


4
2018-02-03 18:49