GNU/Linux >> Linux の 問題 >  >> Linux

Linux:root を持たない生産的なシステム管理者 (知的財産の保護)?

解決策 1:

これまでに述べたことはすべて良いことですが、不正なシステム管理者を無効にするのに役立つ「簡単な」非技術的な方法が1つあります。これは、昇格されたアクセスに対して2人のシステム管理者が存在することを基本的に要求する4つの目の原則です。

編集:コメントで私が見た2つの最大の項目は、コストと共謀の可能性について話し合っています.これらの問題の両方を回避するために私が考えた最大の方法の 1 つは、実行されたアクションの検証のみに使用されるマネージド サービス会社を使用することです。適切に行うと、技術者はお互いを知りません。 MSP が持っているべき技術的能力を仮定すると、実行されたアクションの承認を得るのに十分簡単です..おそらく、悪意のあるものに対するはい/いいえと同じくらい簡単です.

解決策 2:

システムへの管理者アクセスが本当に必要な場合、そのボックスでのアクティビティを制限するためにできることはほとんどありません。

大多数の組織が行っていることは、信頼し、検証することです - ユーザーにシステムの一部へのアクセスを許可する場合がありますが、名前付きの管理者アカウントを使用します (たとえば、root への直接アクセスは許可しません)。 ) そして、彼らの活動を干渉できないログに監査します。

ここにはバランスをとる行為があります。システムを保護する必要があるかもしれませんが、人々が仕事をすることを信頼する必要もあります。会社が以前に悪意のある従業員に「噛まれた」場合、これは企業の採用慣行が何らかの形で貧弱であり、それらの慣行はおそらく「トップマネージャー」によって作成されたことを示唆している可能性があります.信頼は家庭から始まります。彼らは採用の選択を修正するために何をしていますか?

解決策 3:

あなたが話していることは、「Evil Sysadmin」リスクとして知られています。概要は次のとおりです:

  • システム管理者とは、特権を昇格した人です
  • 優れた「ハッカー」になれるレベルの技術力
  • 異常なシナリオでシステムとやり取りする。

これらの組み合わせにより、悪意のある行為を止めることは本質的に不可能になります。比較する「通常」がないため、監査でさえ難しくなります。 (率直に言って、壊れたシステムは監査も壊れている可能性があります)。

緩和策はたくさんあります:

  • 特権の分離 - root を持つ人間が何でもするのを止めることはできません システム上。ただし、ネットワークを担当するチームを 1 つ作成し、「オペレーティング システム」(または Unix/Windows を個別に) を担当する別のチームを作成することもできます。
  • キットへの物理的なアクセスを、管理者アカウントを取得しない別のチームに制限します...ただし、すべての「手作業」の作業を処理します。
  • 「デスクトップ」と「サーバー」の責任を分離します。データの削除を禁止するようにデスクトップを構成します。デスクトップ管理者は機密情報にアクセスできず、サーバー管理者は機密情報を盗むことができますが、建物の外に持ち出すには苦労する必要があります。
  • アクセス制限システムへの監査 - syslog イベント レベルの監査は、特権アクセスを持たない、比較的改ざんされにくいシステムです。しかし、それを収集するだけでは十分ではありません。監視する必要があります。率直に言って、監査レーダーに表示されない情報を「盗む」方法はたくさんあります。 (密猟者対ゲームキーパー)
  • 「保管中」の暗号化を適用するため、データは「平文」で保存されず、アクセスするにはライブ システムが必要です。これは、物理的にアクセスできる人は、アクティブに監視されていないシステムにアクセスできないこと、およびシステム管理者が作業している「異常な」シナリオでは、データがあまり公開されないことを意味します。 (たとえば、データベースが機能していない場合、データはおそらく読み取れません)
  • 2 人制 - 生産性が損なわれても、士気が低下しても問題ない場合。 (真剣に、私はそれが行われているのを見てきましたが、働き続け、監視されている状態が非常に困難な労働条件になっています)。
  • システム管理者を精査してください - 国によっては、さまざまな記録チェックが存在する場合があります。 (前科のチェック、あなたはするかもしれません 場合によっては、セキュリティ クリアランスを申請できる場合もあります。これにより、審査が開始されます)
  • システム管理者の世話をする - 「信頼できる」人に、信頼していないことを伝えるのは絶対に避けたいことです。そして、士気を高めるので、損をしたくないのは確かです。 悪意のある行動の可能性(または「完全な過失ではないが、警戒を怠る」)。ただし、責任とスキルセットに応じて支払います。そして「特典」について考えてみましょう。これは給与よりも安いですが、おそらくそれ以上の価値があります。無料のコーヒーや週に一度のピザのように。
  • 契約条件を適用してそれを禁止することもできますが、上記には注意してください。

しかし、基本的には、これは信頼の問題であり、技術的な問題ではないことを受け入れる必要があります。この完璧な嵐の結果として、システム管理者は常に潜在的に非常に危険です。

解決策 4:

システム管理者に権限を与えずにシステム管理者に権限を与える方法を考え出すために、非常識な技術的精神のひねりを加えずに(おそらく実行可能ですが、最終的には何らかの形で欠陥が生じるでしょう)。

ビジネス プラクティスの観点からは、一連の単純なソリューションがあります。安価なソリューションではありませんが、シンプルです。

あなたが懸念している IP の断片は分割されており、トップにいる人だけがそれらを見る力を持っているとおっしゃいました。これは本質的にあなたの答えです。複数の管理者が必要であり、全体像をまとめるのに十分な数のシステムの管理者であってはなりません。もちろん、管理者が病気や交通事故などに遭った場合に備えて、各部分に少なくとも 2 人または 3 人の管理者が必要です。たぶんそれらをずらします。 4 人の管理者と 8 つの情報があるとします。 admin 1 はピース 1 と 2 を持つシステムにアクセスでき、admin 2 はピース 2 と 3 にアクセスでき、admin 3 はピース 3 と 4 にアクセスでき、admin 4 は 4 と 1 にアクセスできます。各システムにはバックアップ管理者がいますが、バックアップ管理者はいません。管理者は全体像を危うくすることができます。

軍が同様に使用する 1 つの手法は、データの移動を制限することです。機密性の高い領域では、ディスクを書き込むことができるシステムが 1 つしかない場合や、USB フラッシュ ドライブを使用するシステムが 1 つしかない場合があり、他のすべてのシステムは制限されます。そして、そのシステムを使用する能力は非常に限られており、情報漏えいにつながる可能性のあるものにデータを置くことを誰かが許可する前に、上層部による特定の文書化された承認が必要です.同様に、異なるシステム間のネットワーク トラフィックがハードウェア ファイアウォールによって制限されていることを確認します。ファイアウォールを制御するネットワーク管理者は、ルーティングしているシステムにアクセスできないため、特に情報にアクセスすることはできません。また、サーバー/ワークステーション管理者は、システムとの間で送受信されるすべてのデータが暗号化されるように構成されていることを確認します。ネットワーク管理者がネットワークを盗聴してデータにアクセスできないようにします。

すべてのラップトップ/ワークステーションは暗号化されたハード ドライブを備えている必要があり、各従業員は夜の終わりにドライブ/ラップトップをロックする必要がある個人用ロッカーを持っている必要があります。

各サーバーは、それぞれのロックされた部屋ではないにしても、少なくともロックされた独自のラックに配置して、各サーバーを担当する管理者のみがサーバーにアクセスできるようにする必要があります.

次に、傷つける/助けることができる練習があります。限定契約。新しい才能を引き付け続けるのに十分な金額を支払うことができると思われる場合は、事前に決められた期間 (つまり、6 か月、1 年、2 年) だけ各管理者を維持するというオプションを使用すると、誰かが持つ期間を制限できます。 IP のすべての部分をまとめようとします。

私の個人的な設計は、次のようなものになります...データをいくつもの断片に分割します。たとえば、数字の 8 を取得するために、8 つの git サーバーがあり、それぞれに独自の冗長ハードウェアのセットがあり、それぞれが管理します別の管理者のセット

IP に接続するすべてのワークステーションの暗号化されたハードドライブ。ユーザーがプロジェクトを配置できる唯一のディレクトリであるドライブ上の特定の「プロジェクト」ディレクトリを使用します。毎晩の終わりに、安全な削除ツールを使用してプロジェクトディレクトリをサナタイズする必要があり、その後ハードドライブが削除され、施錠されました (念のため)。

プロジェクトの各ビットには異なる管理者が割り当てられているため、ユーザーは、割り当てられているワークステーション管理者とのみ対話し、プロジェクトの割り当てが変更された場合、データが消去され、新しい管理者が割り当てられます。彼らのシステムには書き込み機能がなく、セキュリティ プログラムを使用して、USB フラッシュ ドライブを使用して許可なくデータを転送することを防止する必要があります。

これからあなたが望むものを取りなさい。

解決策 5:

それは、ビルの用務員を雇うという課題に似ています。管理人はすべての鍵を手に入れ、どのドアも開けることができますが、その理由は、管理人が仕事をするために鍵が必要だからです。システム管理者と同じです。対称的に、この古くからの問題を考えて、歴史的に信頼が与えられた方法を見ることができます。

完璧な技術的解決策はありませんが、何も試さない理由はありません。不完全な解決策の集合体は、いくぶん素晴らしい結果をもたらす可能性があります。

信頼を得るモデル :

  • 最初から許可を少なくする
  • 権限を徐々に増やします
  • ハニーポットを設置して、今後の動向を監視してください
  • システム管理者が悪用しようとするのではなく報告するのであれば、それは良いスタートです

いくつかのレベルの管理権限を実装する :

  • レベル 1:構成ファイルの下位層を変更できます
  • レベル 2:構成ファイルのわずかに上位層を変更できる
  • レベル 3:構成ファイルと OS 設定のわずかに上位の層を変更できます

1 人で完全にアクセスできない環境を常に作る :

  • システムをクラスタに分割
  • さまざまなグループにクラスタ管理者権限を与える
  • 最低 2 グループ

高レベルのコア変更を行うときは 2 人ルールを使用してください :

  • https://en.wikipedia.org/wiki/Two-man_rule
  • コアの変更には cluster1 と cluster2 の管理者が必要

信頼と検証 :

  • すべてを記録
  • ログの監視とアラート
  • すべての行動が識別できるようにする

書類 :

  • 書類に署名してもらうことで、法制度が彼らを傷つけた場合に訴えることができるようになります。そうすることで、そうしない動機がより高まります

Linux
  1. Linux – Gnomeはルート権限なしでどのように再起動しますか?

  2. Linux –別々のオペレーティングシステムをインストールせずに2つのアカウントを完全に分離しますか?

  3. ファイル linux への同時アクセス

  1. Linuxの権限101

  2. rootログインを許可せずにLinuxでsshを介してZFS送受信

  3. apt-get、dpkg、またはルート アクセスなしで .deb をローカルにインストールする方法は?

  1. root アクセスなしで zsh をインストールしますか?

  2. sudo なしで Linux のシリアル番号を抽出する

  3. root アクセスなしで、参照 BLAS とリンクされている場合は、調整された BLAS で R を実行します