Leider hat die Infrastruktur, in der ich arbeite, statische Root-Passwörter, die sehr selten aktualisiert werden. Personen, die das Unternehmen verlassen, haben also unsere Root-Passwörter und diese können möglicherweise an andere innerhalb der Organisation weitergegeben werden.
Was ist also vor diesem Hintergrund die beste Methode zum Ausführen einer Richtlinie zur Kennwortaktualisierung auf Linux-/UNIX-Plattformen?
Wenn die Sudoers-Dateien auf jedem Host geändert und Root-Passwörter deaktiviert werden müssen, wie verwalten Sie diese Sudoers-Dateien und halten alles auf dem neuesten Stand und konsistent?
Wenn nur Root-Schlüssel verwendet werden, was kann getan werden, um diese Schlüssel regelmäßig zu schützen/aktualisieren?
Wie verwenden andere grundsätzlich Tools, um regelmäßige Aktualisierungen durchzuführen und so die Sicherheit zu gewährleisten?
Antwort1
Ich denke, Sie suchen mit dem falschen Fokus. Es ist wünschenswert, dass jeder einzelne dieser Mitarbeiter sein eigenes Konto mit eigenem Passwort hat und die Konten deaktiviert/vernichtet werden, wenn sie das Unternehmen verlassen (Sie können root an dieser Stelle deaktivieren). Verwenden Sie ein zentrales System, um die Konten aller Kunden zu verwalten und die Berechtigungen jedes Benutzers basierend auf Gruppen oder Benutzern festzulegen.
Wenn die Sudoers-Dateien auf jedem Host geändert und Root-Passwörter deaktiviert werden müssen, wie verwalten Sie diese Sudoers-Dateien und halten alles auf dem neuesten Stand und konsistent?
Verwenden Sie eine zentrale Kontoverwaltung wie LDAP.
Wenn nur Root-Schlüssel verwendet werden, was kann getan werden, um diese Schlüssel regelmäßig zu schützen/aktualisieren?
Wenn Sie die oben genannten Schritte befolgen, ist dies meiner Meinung nach nicht mehr erforderlich, oder?
Wie nutzen andere Tools, um regelmäßige Aktualisierungen durchzuführen und so die Sicherheit zu gewährleisten?
Vielleicht sollten Sie anfangen, eine Sicherheitsrichtlinie für Ihre spezifische Umgebung zu schreiben. Es gibt mehrere Ratschläge, die möglicherweise nicht auf Ihre spezifische Umgebung zutreffen. Die zentralisierte Authentifizierung verursacht möglicherweise mehr Kopfschmerzen als sie löst, aberFür michscheint die vernünftigere Lösung zu sein.