残念ながら、私が働いているインフラストラクチャでは、めったに更新されない静的なルート パスワードが使用されています。そのため、退職する人がルート パスワードを入手し、組織内の他の人に漏洩する可能性があります。
では、その問題を踏まえて、Linux/UNIX プラットフォームでパスワード更新ポリシーを実行する最善の方法は何でしょうか?
各ホスト上の sudoers ファイルを変更し、ルート パスワードを無効にする場合、これらの sudoers ファイルをどのように管理し、すべてを最新かつ一貫した状態に保つのでしょうか?
ルート キーのみを使用している場合、これらのキーを定期的に保護/更新するにはどうすればよいでしょうか?
基本的に、他の人はセキュリティを確保するために、どのようにツールを使用して定期的な更新を実行しているのでしょうか?
答え1
間違った視点で見ていると思います。従業員全員が自分のアカウントとパスワードを持ち、退職時にアカウントが無効化/破棄されることが望ましいです (この時点でルートを無効化できます)。集中型システムを使用して、すべてのクライアントのアカウントを管理し、グループまたはユーザーに基づいて各ユーザーの権限を設定します。
各ホスト上の sudoers ファイルを変更し、ルート パスワードを無効にする場合、これらの sudoers ファイルをどのように管理し、すべてを最新かつ一貫した状態に保つのでしょうか?
LDAP などの集中アカウント管理を使用します。
ルート キーのみを使用している場合、これらのキーを定期的に保護/更新するにはどうすればよいでしょうか?
上記に従っていただければ、もうこれは必要なくなると思いますよ?
セキュリティを確保するために、他の人は定期的に更新を実行するツールをどのように使用していますか?
おそらく、特定の環境向けのセキュリティポリシーを書き始める必要があるでしょう。特定の環境には当てはまらないアドバイスがいくつかあります。集中認証は解決するよりも多くの問題を引き起こす可能性がありますが、私にとってより健全な解決策のように思えます。