Debian - ограничение доступа для не полностью доверенных администраторов
Я владелец небольшой компании, в настоящее время управляю примерно 15 коробками на основе Debian, предоставляю услуги VoIP и размещенные АТС
Компания растет, у меня меньше времени, чтобы управлять всеми этими машинами
Я бы хотел нанять системного администратора, но я боюсь дать root-доступ незнакомцу.
Многие вещи могут пойти не так, он может ошибаться, он может установить черные ходы. Это не о сломанной системе. Неправильно управляемый VoIP-сервер может привести к значительным потерям из-за мошенничества с инструментами, звонков на премиальные номера и так далее. Потеря может идти в миллионах.
Я прочитал посты, в которых говорится, что я должен иметь уровень доверия, и если кто-то нанесет ущерб, то я могу подать на него в суд. Но это не относится к SMB. В такой ситуации моя компания обанкротится до первого судебного заседания.
Перед повторным голосованием - эта проблема, безусловно, не является новой или уникальной, но я не нашел в серверной информации недавнюю информацию, которая может быть применена к серверам Debian и зависит от программного обеспечения с лицензионными затратами, которые может позволить мой малый бизнес. Так что в настоящее время я не вижу дубликатов темы.
Доступ без рута, вероятно, не будет продуктивным, я не могу представить решение каких-либо серьезных системных проблем без рута. Может я не прав?
Какие стратегии можно использовать в этой ситуации? Есть ли какое-нибудь программное обеспечение, которое могло бы помочь?
1 ответ
Если вы не можете доверять своим сотрудникам, ваша компания никогда не будет расти.
Чтобы ответить на ваш вопрос более прямо; вы можете предоставить пользователю доступ к повышенным привилегиям, не предоставляя им пароль для учетной записи root. Никто не должен использовать учетную запись пользователя root. Даже ты. То, что вы ищете, называется "sudo". Я уверен, что вы видели это раньше.
https://www.sudo.ws/intro.html
Шаг 1. Создайте для себя учетную запись администратора с привилегиями root, предоставив ей все полномочия sudo. Затем сгенерируйте новый пароль для учетной записи root, используя менеджер паролей. Теперь никто на Земле не знает этот пароль. Только вытащите его из менеджера паролей в чрезвычайной ситуации. Начните использовать новую учетную запись администратора сегодня.
(Теперь все действия, выполненные с вашей учетной записью, отслеживаются вами. Никогда не делитесь логинами, потому что тогда вы не можете сказать, кто что сделал.)
Шаг 2. Создайте еще одну учетную запись администратора для тестирования. Используйте эту учетную запись, чтобы доказать свою способность разрешать и запрещать доступ к различным вещам. Вы можете иметь конечный контроль над тем, какие функции sudo они могут выполнять, используя файл sudoers и ACL. Это может быть так сложно или так просто, как вы хотите.
Шаг 3. Представьте себе рабочие места. Разработайте свою систему, чтобы вы могли предоставить доступ ко всем функциям каждой рабочей роли. Затем создайте тестовые учетные записи для каждой из этих ролей. Войдите в систему и докажите, что они могут выполнять свои обязанности. Докажите также, что они не могут делать то, чего вы от них не хотите.
Читайте sudo и файл sudoers: https://wiki.debian.org/sudo
После того, как вы обманули схему пользователя, рассмотрите возможность использования системы, подобной puppet, для автоматической настройки ваших систем. Кукольный это сложно. Если вы нанимаете кого-то, кто знает, как использовать марионетку, этот человек, вероятно, будет лучше понимать администрирование Linux, чем вы. Доверься этому человеку. Один хозяин марионеток может автоматически синхронизировать конфигурации всех ваших систем. Хорошо заплатите этому человеку, и он может быть единственным сотрудником, который вам нужен в течение длительного времени.
https://puppet.com/products/puppet-enterprise
ПРИМЕЧАНИЕ. Рассмотрите возможность найма специалиста по кибербезопасности, специализирующегося на Linux. Похоже, вам нужна помощь для защиты ваших систем.