Por que a raiz local é capaz de su para qualquer usuário LDAP?

3

Temos um servidor LDAP configurado com o nosso Active Directory. Quando os usuários fazem login em uma máquina Linux com o cliente LDAP instalado como root, eles podem entrar em qualquer conta do Active Directory sem precisar da senha desses usuários. Este é um grande risco de segurança, alguém sabe por que isso é ou como evitar isso?

Evitar o acesso root não é uma opção, infelizmente, como é exigido por alguns usuários em alguns casos.

    
por Steven 08.05.2013 / 18:20

3 respostas

5

Este é o design padrão do Unix e você não pode impedir que o root faça o que ele quiser.

Um design mais seguro permitiria que os usuários usem sudo e, para a configuração do sudo, permitir que os usuários executem apenas as tarefas específicas que precisam executar. sudo irrestrito deve ser limitado a uma equipe de TI específica que precise dela para manter os servidores, e a senha raiz real deve ser mantida em algum lugar seguro.

    
por 08.05.2013 / 18:24
1

É assim que deve funcionar.

Você CAN impede ou restringe o acesso root, no entanto. Eu trabalho com sistemas de saúde e estou sujeito a todos os tipos de tarefas regulatórias e de conformidade. Nossos auditores estão satisfeitos com a autenticação LDAP, mas preferimos ativar acesso sudo para lidar com usuários comuns quem pode precisar de privilégios de escalonamento de raiz na ocasião.

    
por 08.05.2013 / 18:30
1

Meu colega conseguiu encontrar uma solução para a raiz acessando contas de usuário LDAP sem problema de senha. Existe um parâmetro em /etc/pam.d/su chamado pam_rootok.so . Isso precisa ser comentado com # . Depois disso, o root será solicitado a fornecer a senha do usuário ao tentar su-lo.

    
por 15.05.2013 / 03:28