不幸的是,我工作的基礎設施具有很少刷新的靜態根密碼。因此,離開公司的人將擁有我們的 root 密碼,並且該密碼可能會洩漏給組織內部的其他人。
那麼針對這個問題,在 linux/unix 平台上執行密碼刷新策略的最佳方法是什麼?
如果是修改每個主機上的 sudoers 檔案並停用 root 密碼,那麼如何管理這些 sudoers 檔案並保持所有內容最新且一致?
如果只是使用根密鑰,可以採取什麼措施來定期保護/刷新這些密鑰?
基本上,其他人如何使用工具進行定期刷新以確保安全?
答案1
我認為你正在尋找錯誤的焦點。最好是每個員工都有自己的帳戶和密碼,並且在他們離開時帳戶被停用/銷毀(此時您可以停用 root)。使用一些集中式系統來管理所有客戶的帳戶並根據群組或使用者設定每個使用者的權限。
如果是修改每個主機上的 sudoers 檔案並停用 root 密碼,那麼如何管理這些 sudoers 檔案並保持所有內容最新且一致?
使用集中式帳戶管理,例如 LDAP。
如果只是使用根密鑰,可以採取什麼措施來定期保護/刷新這些密鑰?
如果你按照上面的方法去做的話,我想就沒有這個必要了,對吧?
其他人如何使用工具進行定期刷新以確保安全?
也許您應該開始為您的特定環境編寫安全策略。有一些建議可能不適用於您的特定環境。集中式認證帶來的麻煩可能比它解決的問題還要多,但是為我似乎是更明智的解決方案。