強力なアクセス制御を備えたサーバーでは、許可されたすべてのキーにパスワード保護が付いていることを保証できますか。
パスワードで保護されていないキーへのアクセスを拒否する方法はありますか。ユーザーがエージェントを使用するかどうかは気にしません (エージェントがパスワードを保証するキーである場合を除く)。使用されるすべてのキーがパスワードで保護されていることを確認したいと思います。
ライトをありがとう。
答え1
簡単に答えると、それはできません。
(ユーザーがキーボードの横の紙にパスワードを書かないように制御することもできません)
推測と長い答え:
リレーホストからのパスワードなしの SSH 認証を使用する必要がある場合があります。
- 中央アカウントによるユーザーログ(アクティブディレクトリなど)
- ユーザーにはリレーホスト上でのルートアクセス権がありません。
これには、商用ソリューションを使用する(お金をかける)か、独自のソリューションを構築する(安全でない/テストされていないアクセス プロトコルを想定)かのいずれかが含まれます。
2つのセキュリティ
アクセス制御には主に 2 つの目的があります。
- 何らかの基準に準拠する(セキュリティ監査を通過する)
- 効果的なアクセス制御(侵入を防止し、阻止する)
商用ソリューションは、ユーザーがいつ、どこから接続したか、ユーザーの種類は何か、接続時間に関する統計情報などを記録する最初のソリューションを提供できます。
自分で「もの」を開発することもできますが(私は顧客のためにそうしました)、ソリューションを設定するには時間とお金をかける必要があります。
前述の両方のソリューションを使用すると、セキュリティ監査に合格/交渉することができます。
アクセスを本当に制御したい場合は、交代制で勤務し、アクセスを監視し、アラートや攻撃を理解して対応できる、知識豊富なセキュリティ チームを編成する必要があることに注意してください。