불행히도 제가 작업하는 인프라에는 거의 새로 고쳐지지 않는 정적 루트 비밀번호가 있습니다. 따라서 회사를 떠나는 사람들은 우리의 루트 비밀번호를 갖게 되며 조직 내부의 다른 사람들에게 잠재적으로 유출될 수 있습니다.
그렇다면 해당 문제가 언급된 상태에서 Linux/Unix 플랫폼에서 비밀번호 새로 고침 정책을 실행하는 가장 좋은 방법은 무엇입니까?
각 호스트의 sudoers 파일을 수정하고 루트 비밀번호를 비활성화하는 경우 이러한 sudoers 파일을 어떻게 관리하고 모든 것을 최신 상태로 일관되게 유지합니까?
루트 키만 사용하는 경우 이러한 키를 정기적으로 보호/새로 고치려면 어떻게 해야 합니까?
기본적으로 다른 사람들은 보안을 보장하기 위해 정기적으로 새로 고침을 수행하는 도구를 어떻게 사용하고 있습니까?
답변1
초점을 잘못 맞추신 것 같아요. 모든 직원이 자신의 비밀번호를 가진 자신의 계정을 갖고 퇴사할 때 계정이 비활성화/파기되는 것이 바람직합니다(이 시점에서 루트를 비활성화할 수 있습니다). 일부 중앙 집중식 시스템을 사용하여 모든 클라이언트의 계정을 관리하고 그룹 또는 사용자를 기반으로 각 사용자 권한을 설정합니다.
각 호스트의 sudoers 파일을 수정하고 루트 비밀번호를 비활성화하는 경우 이러한 sudoers 파일을 어떻게 관리하고 모든 것을 최신 상태로 일관되게 유지합니까?
LDAP와 같은 중앙 집중식 계정 관리를 사용합니다.
루트 키만 사용하는 경우 이러한 키를 정기적으로 보호/새로 고치려면 어떻게 해야 합니까?
위 내용대로 따라하시면 더 이상 이런건 필요 없을 것 같죠?
다른 사람들은 보안을 보장하기 위해 정기적으로 새로 고침을 수행하는 도구를 어떻게 사용하고 있습니까?
특정 환경에 대한 보안 정책 작성을 시작해야 할 수도 있습니다. 특정 환경에 적용되지 않는 몇 가지 조언이 있습니다. 중앙 집중식 인증은 해결하는 것보다 더 많은 문제를 일으킬 수 있지만나를 위한더 건전한 해결책처럼 보입니다.