如何防止运维内部擅自修改用户密码和 ssh 秘钥?
資深大佬 : zhoudaiyu 4
最近有几个人要用 root 干活,因此分了他们跳板机的 root 权限,然后拿到 root 搞了一波神操作,由于没有上云,而且机器不归我们管等种种原因,这台机器永远没法登录上去了。请问有什么技术手段或者管理制度能避免这种事情再次发生?
大佬有話說 (14)
如何防止运维内部擅自修改用户密码和 ssh 秘钥?
-
資深大佬 : felixcode要给也是给 sudo 权限,而且限定操作范围
-
資深大佬 : msg7086可以开除菜鸟,换几个不会把服务器搞炸的来。
-
主 資深大佬 : zhoudaiyu@felixcode #1 我们现在有 3 个用户和 3 个组,最低的只能看日志剩下的啥都不行,这种用户密码谁都有;中等的那个可以操作一些非系统级的中间件,非运维得申请单台机器的权限也就是密码,运维谁都可以登录;最高的是 root,非运维不分配 root,运维需要申请,而且只分配跳板机的 root 。这样看只能给中间这种用户加入 sudo 了,那这种用户权限就有点高了,非运维可能搞出事情来,感觉有点难。
@msg7086 #2 谁都不认这个事,还没有证据
-
資深大佬 : natashahollyzsudo 一个人一个号不行?
-
資深大佬 : iphoneXr堡垒机不就是做审计的吗?谁干了什么一清二楚呀
-
資深大佬 : iphoneXr上个 jumpserver 吧,程序用普通用户跑,谁都没有必要用到 root 了
-
主 資深大佬 : zhoudaiyu@natashahollyz #4 运维每个人一个账号么?
@iphoneXr #5 jumpserver ?我们用的不是这个,很 lj
-
主 資深大佬 : zhoudaiyu@iphoneXr #6 确实准备上 jumpserver,但是有的命令确实要 root 才能操作,比如改 hosts 什么的
-
資深大佬 : felixcode@zhoudaiyu
正常都得一人一个用户,共用帐户没法做审计。用 sudo 限制进行哪些操作,谁用 sudo 运行什么命令都可以有记录。 -
資深大佬 : natashahollyz@zhoudaiyu 一个人一个号防止扯皮啊
-
資深大佬 : Orzldzxjumpserver 新版里面可以做命令过滤(可以正则),只要是走 jumpserver 连过去的都可以,包括 root 账号。
-
資深大佬 : HuHui没人心疼这台永久失联的机器吗
-
主 資深大佬 : zhoudaiyu@Orzldzx 嗯,一般人通过这种过滤就可以防住了,高手除外,但是有命令录屏,到时候拿到证据直接劝退
-
資深大佬 : julyclyde改 hosts 这种操作就不应该存在,更别提授权给别人去做了
-