sudo configuration & log สำหรับผู้รับเหมา

สัปดาห์หน้าฉันจะมีผู้รับเหมาติดตั้งเว็บแอปพลิเคชันบนเซิร์ฟเวอร์ของเรา ฉันสร้างบัญชีเพื่อให้พวกเขาสามารถเข้าถึงเซิร์ฟเวอร์ของเราผ่าน SSH

ระบบคือ CentOS โดยพื้นฐานนอกเหนือจากการดำเนินงานของผู้ใช้ขั้นพื้นฐานแล้วพวกเขาจำเป็นต้องสามารถ:

ติดตั้ง librairies ใหม่ผ่าน yum
แก้ไขห้องสมุดที่มีอยู่
แก้ไขการกำหนดค่า apache

ฉันจึงต้องการให้พวกเขาเข้าถึง sudo โดยมีข้อ จำกัด บางประการ ตัวอย่างเช่นฉันไม่ต้องการให้พวกเขาสามารถแก้ไขไฟล์ sudoers บันทึกเป็นคนอื่นหรือปิดเซิร์ฟเวอร์ ยิ่งกว่านั้นเนื่องจากฉันต้องรับผิดชอบต่อการใช้งานเซิร์ฟเวอร์นี้ในองค์กรที่ฉันอยู่ในทางที่ผิดฉันต้องการบันทึกทุกคำสั่งที่ได้รับการดำเนินการเพื่อให้ฉันสามารถพิสูจน์ได้ว่าฉันไม่รับผิดชอบหากมีสิ่งผิดปกติเกิดขึ้น

ฉันควรดำเนินการอย่างไร

— Julien Bourdon
แหล่งที่มา

จากมุมมองด้านความปลอดภัยฉันไม่แน่ใจว่าคุณสามารถให้ใครบางคนสามารถติดตั้งซอฟต์แวร์หรือแก้ไขไลบรารีและไม่ให้กุญแจแก่พวกเขาทั้งปราสาท พวกเขาสามารถติดตั้งซอฟต์แวร์ที่เป็นอันตรายหรือแก้ไข glibc หรือคล้ายคลึงกันซึ่งทั้งสองอย่างจะอนุญาตให้ยกระดับสิทธิ์โดยไม่ จำกัด การดำเนินการทั้งสองนี้จะต้องได้รับการตรวจสอบโดยผู้ใช้ที่เชื่อถือได้และมีความสามารถ

— Darth Android

ใช่ แต่ฉันเชื่อใจผู้รับเหมาเพียงว่าฉันต้องให้การรับประกันกับบริการเครือข่ายขององค์กรของฉัน (มหาวิทยาลัยขนาดใหญ่) ฉันเดาว่าเราจะทำทุกอย่างด้วยการแชร์หน้าจอและพิมพ์คำสั่งผู้ใช้ขั้นสูงด้วยตัวเอง สิ่งที่เกี่ยวกับการเข้าสู่ระบบว่า

— Julien Bourdon

คุณไม่ควรให้พวกเขาเข้าถึง sudo หากคุณต้องมีความรับผิดชอบและไม่สามารถรับผิดชอบได้ง่าย บางทีถ้าคุณล็อคมันลงไปที่ "sudo service apache2 reload" โดยเฉพาะและปล่อยให้พวกเขารันคำสั่งนั้นด้วยคำสั่งเหล่านั้น

สำหรับการแก้ไขการกำหนดค่าใช้สิทธิ์ acl / filesystem เพื่อให้พวกเขามีสิทธิ์เข้าถึงเพื่อเขียนไปยังไฟล์การกำหนดค่าเฉพาะที่ควรเปลี่ยน การให้พวกเขาsudoเข้าถึงโปรแกรมแก้ไขหมายความว่าพวกเขาสามารถแก้ไข / แก้ไขไฟล์ใด ๆ ในระบบรวมถึงsudoตัวมันเองหรือเปลี่ยนแปลงการsudoกำหนดค่าเพื่อไม่ให้บันทึกสิ่งใด ๆ

หากพวกเขาสามารถติดตั้งซอฟต์แวร์พวกเขาสามารถติดตั้งซอฟต์แวร์ที่เป็นอันตราย อย่าปล่อยให้พวกเขาทำสิ่งนี้มีคนที่คุณสามารถรับผิดชอบต่อความผาสุกของระบบได้

หากพวกเขาสามารถแก้ไขไลบรารีพวกเขาสามารถแก้ไขไลบรารีหลักและฉีดโค้ดที่เป็นอันตราย อย่าปล่อยให้พวกเขาทำสิ่งนี้มีคนที่คุณสามารถรับผิดชอบต่อความผาสุกของระบบ (ถ้าต้องทำ)

sudo ตัวเองสามารถกำหนดค่าให้เข้าสู่ระบบทุกคำสั่งเพื่อ syslog และคุณสามารถตั้งค่า syslog เพื่อส่งต่อรายการบันทึกไปยังเซิร์ฟเวอร์ที่ปลอดภัยผ่านเครือข่ายเพื่อให้รับผิดชอบต่อการบันทึก

ฉันอาจจะไม่ให้เขาsudoเข้าถึง แต่กำหนดค่าระบบเช่นว่าเขาอยู่ในกลุ่มที่สามารถเขียนไปยังไฟล์การตั้งค่า apache และ webroot

เขาจะต้องมีวิธีบอก apache เพื่อโหลดการกำหนดค่าใหม่ดังนั้นคุณอาจดูเป็น ssh-key ซึ่งไม่ได้รับอนุญาตให้ดรอปไปยัง shell แต่ทริกเกอร์service apache2 restartเมื่อมีคนเข้าสู่ระบบด้วย ทางเลือกอื่นคือใช้โปรแกรม setuid ซึ่งไม่มีอินพุตและรีสตาร์ท apache หรือเขาสามารถ ping คุณผ่านอีเมลหรือ IM เมื่อต้องการโหลดใหม่

สำหรับการติดตั้งแพกเกจฉันขอให้เขาส่งรายการให้คุณหลังจากนั้นค่อยดูรายการติดตั้ง จากมุมมองด้านความปลอดภัยคนที่รับผิดชอบ (คุณ) ควรจะดาวน์โหลด / รวบรวม / แก้ไขไลบรารีใด ๆ ที่ต้องได้รับการแก้ไข

sudo ควรทำการบันทึกทุกคำสั่งไปยัง syslog แล้ว (อย่างน้อยก็ทำตามค่าเริ่มต้นใน Ubuntu ถ้าฉันจำได้อย่างถูกต้องอาจจะแตกต่างจากการตั้งค่าของคุณ) ดังนั้นคุณควรตรวจสอบว่ามันไม่คำนึงถึงอะไรและเพิ่มความรับผิดชอบ ไปยังเซิร์ฟเวอร์ syslog ระยะไกลซึ่งสามารถรักษาความปลอดภัยได้

หากคุณเชื่อใจผู้รับเหมาโดยทั่วไปแล้วอาจมีไม่มากนักที่คุณต้องกังวล แต่ถ้าคุณต้องสามารถรับผิดชอบเขาได้คุณจำเป็นต้องดูจาก "สิ่งที่เลวร้ายที่สุดที่เขาสามารถทำได้กับ Priviledge X " จุดยืน

— Darth Android
แหล่งที่มา

คำตอบที่สมบูรณ์มาก ขอบคุณมาก. ฉันมีรายการของไลบรารีที่จำเป็นแล้วและฉันกำลังติดตั้งตามต้องการ สำหรับโปรแกรมปะแก้นั้นเป็นเพียงแอปพลิเคชั่นเฉพาะ (MapServer) ฉันจะสมัครด้วยตัวเองหลังจากตรวจสอบแล้ว ฉันตัดสินใจที่จะไม่ปล่อยให้พวกเขามีsudoสิทธิ์เข้าถึงและเพียงให้พวกเขาเข้าถึงไฟล์กำหนดค่าโฮสต์เสมือนที่พวกเขาต้องการเช่นเดียวกับไดเรกทอรีที่พวกเขาสามารถติดตั้ง libs และแอปพลิเคชันของพวกเขา

— Julien Bourdon

.bash_historyเท่าที่บันทึกเป็นห่วงฉันจะตรวจสอบ ใช่มันสามารถลบได้ แต่เนื่องจากพวกเขาไม่สามารถเข้าถึงรูตได้อีกต่อไปจึงควรมีการแก้ไข ขอบคุณสำหรับservice apache2 restartแนวคิดการเข้าถึง ssh ฉันไม่รู้ว่ามันเป็นไปได้

— Julien Bourdon