Un*x에서는 여러 사람들이 작업을 할 때 로그인하는 하나의 사용자 ID를 갖는 것이 좋은 생각입니까?
종종 저는 Linux나 BSD 시스템에 소프트웨어나 다른 것을 설치합니다. 저는 24년 동안 소프트웨어를 개발해왔기 때문에 기계가 원하는 대로 작동하도록 만드는 방법을 알고 있지만, 누군가가 보안에 정말로 관심을 갖는 다중 사용자 설치를 유지 관리하는 책임을 맡은 적이 없습니다. 그래서 내 의견은 검증되지 않은 것 같습니다.
지금 저는 많은 사람들이 단일 사용자 ID로 로그인하여 작업을 수행하는 서버가 있는 회사에 있습니다. 거기에 소프트웨어를 설치하고 있어요. 이는 실제로 공용 서버가 아니며 VPN을 통해서만 액세스할 수 있지만 그럼에도 불구하고 많은 사람들이 맞춤형 소프트웨어에 대한 테스트를 실행하는 데 사용합니다. 스테이징 서버입니다.
나는 최소한 단일 사용자를 사용하면 감사 추적이 모호해진다고 생각하며 이는 좋지 않습니다. 그리고 사람들이 서버에 자신만의 공간을 갖고 있지 않기 때문에 이는 우아하지 않습니다.
그러나 사용자 ID가 많을수록 사용자 ID가 손상되어 공격자가 액세스 권한을 얻을 가능성이 더 커질 수 있습니다.
?
답변1
별도의 UID를 사용하십시오. 동일한 UID를 가진 여러 사용자가 있으면 누가 누구인지 알 수 없습니다. UID에서 로그 이름으로의 역방향 조회는 신뢰할 수 없게 됩니다.
귀하의 요구 사항에 대한 한 가지 표준 솔루션은 를 설치하고 사용하는 것입니다 sudo. sudo를 사용하면 원하는 사용자나 사용자 그룹에 다른 사용자로 프로그램을 실행할 수 있는 권한을 부여할 수 있습니다. 이 sudoers파일을 사용하면 누가 무엇을 할 수 있는지에 대해 상당한 유연성을 얻을 수 있습니다. 를 사용하여 수행된 작업 sudo은 일반적으로 기록됩니다.
일부 배포판에서는 루트를 잠그고 sudo사용자가 루트로 수행해야 하는 작업을 수행할 수 있도록 허용합니다.
su사용자가 를 실행하도록 허용 하거나 -i옵션을 사용하여 다른 사용자가 되는 것이 가능하고 일반적입니다 . 이렇게 하면 감사 추적이 다소 줄어들지만 프로세스 회계와 연결하면 매우 좋은 감사 추적을 얻을 수 있습니다.
일반적으로 루트 액세스 권한이 있는 사람은 누구나 감사 추적 문제를 해결할 수 있다는 점을 기억하십시오. 신뢰할 수 없는 사람에게 루트 액세스 권한을 부여하지 마십시오.
답변2
말씀하신 것처럼 감사 목적으로 이는 매우 이상적이지 않습니다. 여러 사용자 ID를 가지면 다음을 볼 수 있습니다.WHO하고있다무엇무엇에시간. 그렇다고 해서 완벽하다는 말은 아닙니다. 서로에게 자신의 자격 증명을 알려주거나 다른 사용자가 자격 증명을 훔치는 것을 실제로 막을 수 있는 것은 없습니다.
사용자 정의 소프트웨어를 만드는 경우 잠재적으로 끔찍한 일 중에서 루트 디렉터리에서 무엇을 하는지 궁금해하는 사람이 가장 큰 위험을 안겨줍니다 rm -rf(그러나 백업은 테스트했습니다...).오른쪽?)
답변3
나는 그것이 당신의 이익이 무엇인지에 전적으로 달려 있다고 생각합니다. 계정을 정리하고 권한을 설정하는 데 시간이 걸릴 것입니다. 그리고 신중하게 설정하면 사용자 그룹을 설정할 수 있으므로 일부 계정도 해킹을 당할 수 있습니다. 시스템의 나머지 부분에 꼭 영향을 미치는 것은 아니지만 이는 보안의 일부이므로 필요한 사항에 집중해야 합니다.
가장 좋은 방법은 2~3개의 그룹과 각 그룹에 하나의 사용자 ID를 생성하여 최소한 그룹을 관리할 수 있도록(각 사용자에 대한 별도의 사용자 ID보다 시간과 노력이 덜 소요됨) 약간의 기능을 제공하는 것이라고 생각합니다. 권한 및 감사.