Qual é a melhor maneira de mitigar o NFS e o sudo?

2

Antecedentes: temos 40 estações de trabalho executando o Linux. O NFS é usado extensivamente para armazenamento de dados em massa e diretórios de usuário. Isso permite que os usuários circulem livremente sistemas de arquivos relativamente transparentes.

Este é um ambiente educacional onde pós-docs e estudantes conseguiram um golpe de sorte. Todos ganharam raízes em suas estações de trabalho individuais ao preparar um especialista em tecnologia que acha que as pessoas de TI são más. Se eu sugerir restrições ao chroot ou ao sudo, vou me encontrar trabalhando em um armário de vassouras.

Com isso em mente, qual é a melhor maneira de reduzir algo assim abaixo?

$ hostname
workstation1
$ whoami
john
$ sudo su jane
$ whoami
jane
$ cp -R /home/nfs/jane /mnt/thumbdrive/ 
    
por user225874 12.06.2014 / 05:35

3 respostas

4

Para esclarecer, é 'john' o tecnofóbico? Se sim, altere a configuração su e sudo para sempre solicite a senha do usuário (mesmo se você for root) antes de trocar de usuário.

Se os usuários tiverem impedido o sistema e dado a si mesmos sudo, existem alguns problemas aqui. NFSv3 e AUTH_SYS (o mecanismo básico usado para identificar usuários) são completamente quebrados quando as máquinas clientes não são confiáveis. Você terá que implementar um sistema de autenticação NFS mais strong, como GSS , para evitar o problema.

    
por 12.06.2014 / 09:16
1

Você tem quatro opções, nenhuma das quais é fácil para a situação em que você está.

Corrigir no nível do servidor

Proiba cada estação de trabalho sob a alçada da pessoa que violar sua política de segurança. Qual é o ponto de segurança de outra forma?

Corrigir no nível do cliente

Tire a raiz. Período. Qualquer coisa menor do que isso é um truque de papel fino que será trabalhado o tempo todo.

Queime tudo

Implemente um sistema de arquivos de rede com autenticação baseada no usuário. Este é um redesenho completo que envolve a reconfiguração do servidor e das estações de trabalho. (leia: baixa tração)

Algumas pessoas gostam de ver o mundo queimar, outras não têm escolha

Quando confrontado com um empregador que não quer fazer a coisa certa, às vezes você tem que deixar o fogo se queimar. Se você não tiver permissão para executar sua função de trabalho e organizar a segurança do sistema de arquivos em rede, talvez seja necessário aguardar até que ocorra uma violação de segurança grande o suficiente que possa ser usada para direcionar o ponto para casa.

Isso não é o mesmo que apatia. Um administrador de sistemas apático não se importa. Você faz cuidado, mas ocasionalmente é necessário deixar que seu empregador sinta as consequências naturais de ignorar um problema. É importante distinguir entre os dois, e isso é uma habilidade de carreira. A dor faz parte do processo de cura, às vezes.

Se você conhece alguém que carrega algum peso cujos arquivos estão localizados em um compartilhamento NFS acessível para um desses servidores, você pode ser capaz de fazer o ponto mais cedo com uma demonstração privada. O compartilhamento em questão não precisa ser montado por padrão, bastará que o acesso root em uma dessas estações de trabalho forneça vetor em arquivos com os quais as pessoas não têm interesse em se intrometer.

    
por 12.06.2014 / 06:42
0

O problema não é ser capaz de cp -R ou rm -rf /, o que realmente me assusta é a capacidade de representar os usuários. Você realmente precisa ajustar os sudoers ou, se eles conseguirem acesso root / conhecer a senha / como alterá-la, talvez você possa fazer uma solução feia e usar o CIFS em vez do NFS e forçá-los a fornecer suas credenciais antes de montar diretórios.

O SSO é interrompido, mas fornecer credenciais legítimas várias vezes parece mais seguro do que fornecer credenciais falsificadas após o sudo su poorguy.

    
por 12.06.2014 / 06:34