Linux 및 Windows 용 서버 신임 정보 관리

12

우리는 RHEL, Solaris, Windows 2003 및 Windows 2008 서버가 혼합 된 비교적 작은 규모의 sysadmins입니다. 약 200 대의 서버

rootLinux 및 admnistratorWindows 의 관리자 계정 에는 데이터 센터 위치 및 서버의 다른 문서화 된 속성 몇 가지에 따라 달라지는 암호 체계가 있습니다.

Linux에서 현재 관행은 할 수있는 권한이없는 공유 계정을 만드는 suroot입니다. Windows 기반 시스템에서는 관리자 권한으로 추가 계정을 만듭니다. 이 두 계정은 동일한 비밀번호를 공유합니다.

이것은 매우 비효율적 인 것으로 입증되었습니다. 누군가가 우리 가게를 떠날 때, 우리는 :

  1. 관리자 계정의 비밀번호 체계 변경
  2. 각 서버마다 새로운 관리자 암호를 생성하십시오
  3. 새로운 비 관리자 계정 비밀번호
  4. 모든 서버를 터치하고 비밀번호를 변경하십시오

비슷한 환경에있는 사람이 이러한 자격 증명을보다 정교하게 관리 할 수 ​​있는지 알고 싶었습니다. 관련 정보 :

  • 대부분의 서버는 AD 도메인의 일부이지만 모든 서버가 아닙니다.
  • Puppet을 사용하여 모든 Linux 서버를 관리합니다 (키 인증은 제가 생각했던 옵션이지만 위에서 언급 한 # 3 문제 만 해결합니다).
  • Cobbler를 사용하여 Linux 서버를 프로비저닝합니다.
  • 하드웨어의 약 10 %가 VMWare 전용입니다. 이 경우 서버 구축에 VMWare 템플릿을 사용합니다.

모든 아이디어 나 제안은 크게 감사하겠습니다. 이것은 한동안 머물러있는 문제이며 마침내 해결하고 싶습니다.

linux  windows-server-2008  security  active-directory  puppet 
벨민 페르난데스
소스

답변:

10

내가 가진 몇 가지 제안은 다음과 같습니다.

  • Windows AD 연결 서버는 그룹 정책 기본 설정 (GPP) 또는 컴퓨터 시작 스크립트를 사용하여 그룹 정책을 통해 로컬 관리자 암호를 설정할 수 있습니다. http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/를 참조 하십시오.

  • 필요하지 않은 경우 Windows 서버에서 로컬 계정 작성을 제한하십시오. 가능하면 AD 계정을 사용하십시오.

  • Linux 용 LDAP 컴퓨터를 사용하여 AD에 대한 관리자 계정을 인증하십시오. 이것은 계정 관리를 다소 단순화합니다. 그리고 관리자가 한곳에서 사용 중지하고 액세스 권한을 부여하지 않으면 여가 시간에 Linux 측을 정리할 수 있습니다.

  • 리눅스의 특정 관리자 계정에 / etc / sudoers 파일을 사용하면 관리자는 루트 암호가 필요하지 않습니다. 루트 암호가 거의 필요 없으므로 잠길 수 있기 때문에 인스턴스에서 유용 할 수 있습니다. 업데이트

  • 루트 및 로컬 관리자 비밀번호는 일반적인 지식이 아닌 안전한 비밀번호로 유지하십시오. 일부 비밀번호 금고에는 위임 및 로깅 기능이 있으므로 사용자가 비밀번호에 액세스 할 수없는 경우 비밀번호를 재설정하지 않아도됩니다.

  • 루트 및 관리자 계정에 대한 비밀번호 재설정 프로세스를 자동화하십시오. 이를 위해 Linux와 Windows를 스크립팅 할 수 있으므로 시간을 절약하고 부담을주지 않아도됩니다.

희망이 도움이됩니다.

버니 화이트
소스
내 LDAP 문제는 한 가지 실패입니다. Puppet을 통해 계정을 관리하고 싶습니다. 그리고 당신의 제안에 감사드립니다. 감사합니다 @Bernie!
벨민 페르난데스
1
@Beaming Active Directory를 사용하는 경우 하나 이상의 도메인 컨트롤러 (단일 실패 지점 없음)를 가질 수 있으며 DNS 도메인 이름 (예 : domain.com)을 지정하여 LDAP 쿼리에 대한 모든 도메인 컨트롤러를 가져옵니다. 또는 ldap.domain.com과 같이 LDAP에 두세 가지만 응답하도록하려면 특정 DC를 가리 키도록 A DNS 레코드를 설정할 수 있습니다. Puppet을 사용하지는 않았지만 사용자 관리를 쉽게하기위한 핵심은 가능한 한 단일 소스가 아닙니다. 원하는 경우 Puppet이 백엔드 LDAP 서버에 연결할 수 있습니다.
Bernie White
AD가 여기에가는 길이라고 동의했습니다. 2 개 이상의 도메인 컨트롤러를 사용하면 AD가 완전히 다운 될 가능성이 적지 만, 더 큰 문제가있을 수 있습니다. 다른 모든 방법이 실패 할 경우 Linux 서버의 로컬 루트 계정을 마지막 복원 수단으로 사용하십시오.
EEAA
2
@ Bernie-당신의 3 점에 관한. sudo를 사용할 때 아무도 루트 비밀번호를 알 필요가 없습니다. sudo 항목에 "NOPASSWD"를 지정하면 사용자는 자신의 비밀번호 를 입력 필요가 없습니다 . 이것은 루트 암호와 아무 관련이 없습니다.
EEAA
@ErikA +1 매우 그렇습니다. 이 질문에 대한 답변이 도움이되지 않으므로 NOPASSWD에 대한 언급이 제거되었습니다.
Bernie White
2

FreeIPA 가 당신을 위해 노력하고 있는지 볼 수 있습니다 .

중앙 위치에서 호스트에 대한 사용자 액세스를 관리 할 수 ​​있습니다. 다른 사람들이 제안한 것처럼 sudo가 루트 레벨 액세스에 적합한 지 확인할 수 있습니다. Freeipa는 LDAP에서 sudoers를 지원하므로 각 서버 나 꼭두각시 등을 통해 유지 관리 할 필요가 없습니다.

Freeipa는 Linux, Solaris 및 Windows 클라이언트를 지원합니다. 특정 AD 기능이 손실 될 수 있으며 Windows 클라이언트에 어떤 다른 제한이 있는지 잘 모르겠습니다.

복제 기능이 있으므로 SPOF를 피할 수 있습니다. 백엔드는 LDAP이므로 백업 스크립트와 같이 사람들이 LDAP에 사용하는 많은 도구를 재사용 할 수 있습니다.

호스트 기반 액세스 제어를 지원하므로 "사용자 X는 Y 서버에만 로그인 할 수 있습니다"라고 말할 수 있습니다.

또한 AD 동기화를 제공 합니다 . 저는 Windows 사용자가 아니므로 그게 무슨 뜻인지 전혀 모릅니다.

지금은 아님
소스
1

표준 관리자 계정을 사용하지 마십시오. Windows 측면에서 관리자 액세스 권한이 필요한 각 사용자에 대한 사용자 계정과 관리자 계정을 만듭니다. 모든 도구를 사용하여 UNIX와 동기화 할 수 있습니다.

누군가 나가면 사용자와 관리자 계정 만 삭제하면됩니다.

표준 관리자 계정을 보호하려면 실제로 길고 복잡한 암호를 입력 한 다음 한 사람이 절반 만 사용하도록하십시오. 전체 계정을 사용해야하는 경우 나머지 절반을 가진 사람을 찾아야합니다.

그것은 내가 생각할 수있는만큼 안전합니다.

무력
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.