Cómo no permitir el uso de una cuenta raíz LDAP

tag-icon tag-icon authentication pam ldap
Cómo no permitir el uso de una cuenta raíz LDAP

Soy responsable de un par de servidores en mi universidad. Todas estas máquinas están configuradas para comunicarse con el servidor LDAP de mi departamento para permitir inicios de sesión de usuarios centralizados. En este servidor LDAP hay un usuario llamado root:

# getent passwd | grep root
root:x:0:0:root:/root:/bin/bash
root:x:0:0:Netbios Domain Administrator:/home/root:/bin/false

Recientemente, tuve problemas con la rootcuenta en uno de los servidores de los que soy responsable: Mi intento de conexión SSH se autenticó exitosamente contra el rootusuario local, pero el directorio de inicio se tomó del LDAP como /home/root. Además, descubrí que uno puede autenticarse como root con las rootcredenciales de LDAP en cualquier servidor, es decir, si rootfalla la autenticación contra el local, se intenta el LDAP rooty, dada la contraseña correcta, el usuario inicia sesión como superusuario.

Creo que esto no es muy seguro y rootdebería eliminarse la ambigüedad de las dos cuentas. Sin embargo, según nuestro departamento de TI, LDAP rootes necesario.

¿Cómo puedo filtrar la rootcuenta de LDAP para no permitir la autenticación? Estoy usando pam_ldap.soy también algunas directivas ldap en /etc/nsswitch.conf.

Respuesta1

Hay muchas maneras, aquí hay un par de sencillas:

  • en /etc/ssh/sshd_configcambio PermitRootLogina no (esto suele ser una buena idea, luego confíe en su/ sudopara la administración). Por supuesto, esto sólo afecta a SSH.
  • en los diversos archivos de configuración de PAM, use el pam_listfilemódulo para permitir o denegar explícitamente ciertas cuentas (debe hacerse para cada servicio)
  • en los distintos archivos de configuración de PAM, configure el pam_ldapmódulo pam_min_uiden 1 (o superior) para que el root no pueda iniciar sesión (es necesario hacerlo para cada servicio)
  • modifique el filtro de búsqueda PAM LDAP ( pam_filter) para excluir usuarios (p. ej. pam_filter (uidNumber>=1), o puede modificar la base/alcance

Cualquiera de los dos últimos podría ser la mejor opción para usted. También es posible que deba realizar algunos ajustes en la configuración de PAM local para que una cuenta raíz local pam_unix pueda funcionar correctamente si pam_ldapfalla (por ejemplo, realizar pedidos y ser necesario/requisito/suficiente).

información relacionada