Temos um servidor LDAP configurado com o nosso Active Directory. Quando os usuários fazem login em uma máquina Linux com o cliente LDAP instalado como root, eles podem entrar em qualquer conta do Active Directory sem precisar da senha desses usuários. Este é um grande risco de segurança, alguém sabe por que isso é ou como evitar isso?
Evitar o acesso root não é uma opção, infelizmente, como é exigido por alguns usuários em alguns casos.
Este é o design padrão do Unix e você não pode impedir que o root faça o que ele quiser.
Um design mais seguro permitiria que os usuários usem sudo e, para a configuração do sudo, permitir que os usuários executem apenas as tarefas específicas que precisam executar. sudo irrestrito deve ser limitado a uma equipe de TI específica que precise dela para manter os servidores, e a senha raiz real deve ser mantida em algum lugar seguro.
É assim que deve funcionar.
Você CAN impede ou restringe o acesso root, no entanto. Eu trabalho com sistemas de saúde e estou sujeito a todos os tipos de tarefas regulatórias e de conformidade. Nossos auditores estão satisfeitos com a autenticação LDAP, mas preferimos ativar acesso sudo para lidar com usuários comuns quem pode precisar de privilégios de escalonamento de raiz na ocasião.
Meu colega conseguiu encontrar uma solução para a raiz acessando contas de usuário LDAP sem problema de senha. Existe um parâmetro em /etc/pam.d/su chamado pam_rootok.so . Isso precisa ser comentado com # . Depois disso, o root será solicitado a fornecer a senha do usuário ao tentar su-lo.
Tags su ldap active-directory