适用于 Linux 和 Unix 的特权访问管理

凭据、SSH 密钥、服务帐户、数字签名、文件系统等内容构成了Linux 环境的关键部分,虽然大多数PAM供应商为基于Windows的环境提供无缝的特权访问管理,但它们的通用性不足以为Linux,Unix和*nix环境扩展相同的功能和功能。

Linux 中的root权限是什么

在 Linux 环境中,root 用户是执行管理操作的超级帐户,通常被认为拥有最高权限。具有 root 访问权限的用户具有全面的管理控制,并有权访问特权文件和系统配置。

与在 Windows 环境中与基本用户共享管理员权限类似,root 权限也可以共享给 Linux 环境中的其他用户。在 Linux 环境中具有 root 权限的用户可以完全访问所有服务器和网络角落,包括命令行有限的关键数据库服务器。

在 Linux 环境中,所有用户通常都无法访问网络的这些角落,并且仅根据具体情况与用户共享。随着这些关键root特权的共享,对有限和特定用户的把关共享访问、将共享访问限制为有限的命令使用以及其他必要的长期特权减少会带来安全和操作风险。

在 Linux 环境中强制实施特权访问管理框架可以帮助管理员自动管理敏感的 Linux 资源,并简化特权共享和访问预配的过程。

在 Linux 环境中共享根权限

传统上,su(切换用户)和 sudo(切换用户和 do)是允许用户以 root 权限执行操作的 Linux 命令,su 命令允许用户在用户拥有根凭据时执行根命令。但是,sudo 命令允许用户在不使用根凭据的情况下运行根命令,sudo 通过将当前用户提升为根用户,为根升级提供了更切实的解决方案。当受特权访问管理协议约束时,可以对此类 Linux 根访问规定进行监管、自定义、审核和监视。

为什么要保护 Linux 环境

  • 权限提升攻击
  • 内部威胁
  • 第三方供应商权限滥用

权限提升攻击

本质上,当 Linux 系统上的用户帐户用于执行根操作时,它被称为根权限提升。换句话说,root 账户可能会被滥用,以未经授权访问多个业务关键型应用程序和流程所在的敏感端点和资源。但是,通过适当的访问控制策略和工作流,管理员可以以有时间限制的方式授予并确保对此类关键系统的安全访问权限。

内部威胁

通常情况下,特权滥用攻击伪装成内部人士,这是一个快速增长的趋势,在各种规模的组织层次结构中都很明显。长期特权经常被流氓内部人员武器化,以便从内部控制整个IT生态系统。为了避免这种情况,必须为整个 Linux 网络中共享的权限定义明确的边界。这将有助于消除长期特权,从而减少潜在的流氓内部攻击。

第三方供应商权限滥用

企业 IT 团队通常与第三方组织协作,以获得由审计员、顾问、合作伙伴、维护人员甚至程序员提供的扩展业务解决方案。向此类第三方协作者提供额外的不必要的权限会导致经常被遗忘的常设权限,这种访问预配可能会导致权限滥用攻击。

在这里插入图片描述

如何确保Linux和Unix环境中的特权访问安全性

使用 PAM 解决方案强制实施特权访问安全例程将使 IT 管理员能够对 Linux 特权访问管理实施精细治理,以下是 Linux 特权访问管理如何帮助 IT 团队简化此例程。

  • 安全帐户
  • 自动远程密码重置
  • 无缝权限提升

安全帐户

定期发现并载入整个企业网络中的 Linux 端点,这些机器在单个平台中集中存储和访问,从而提高了孤立的 Linux 网络中端点的可见性,然后可以根据分层需求对这些机器进行组织分组。

自动远程密码重置

载入所有终结点和关联帐户后,可以强制执行密码策略,可以根据内部安全要求使用 PAM 工具设计这些策略,这些工具还附带本机密码生成器,允许在计划和按需基础上无缝和定期轮换密码。此外,PAM 工具提供对所有与密码相关的活动的实时审核,例如密码重置、共享和签出。

无缝权限提升

  • 实时 (JIT) 访问
    借助任何 Linux 特权访问管理框架提供的 JIT 功能,管理员可以允许用户限时共享特权 Linux 帐户。受 JIT 访问权限的此类用户将有权访问特权 Linux 帐户的共享密码,直到规定的时间范围。对端点的访问将终止,并在所述时间到期后立即重置密码,以防止将来发生任何未经授权的访问尝试。
  • 命令控制
    通过命令控制,IT 管理员可以限制用户执行某些特权 SSH 命令,例如用于删除文件的 rm 命令。管理员可以指定一组可以列入允许列表的 Linux 命令,之后仅允许受此类访问限制的用户执行这些特定命令。
    此外,使用命令控制,可以允许 Linux 用户根据需要以提升的权限执行此类敏感命令(如有必要),这允许非根用户帐户执行根操作,而无需实际共享根凭证。
    为了在企业范围内实施此类 Linux 特权访问管理控制,组织倾向于采用 PAM 解决方案。

与 Linux 特权访问管理相关的最佳实践

  • 维护 Linux 环境中所有当前活动特权帐户的全面记录,并确保在必要时定期更新该记录。
  • 将您的特权 Linux 身份(如密码和 SSH 密钥)存储在使用标准化加密算法的安全保管库中。
  • 通过实施严格的密码策略、强制实施定期密码重置、生成强 SSH 密钥对以及在单次使用后自动重置此类身份来保护 Linux 端点。
  • 遵循最小特权原则,与第三方协作者安全地共享 Linux 环境中的所有端点、应用程序和资源,并确保立即撤销所有常设特权。
  • 审核并记录在 Linux 环境中执行的每个操作,无论是用户的 SSH 会话、密码重置还是权限共享。这将帮助管理员进行损害控制和预防,并使他们能够立即执行打破玻璃的措施。

Linux 特权访问管理方案

PAM360 是一站式企业 PAM 解决方案,为有效的 Linux 特权访问管理提供中央控制台,它可帮助 IT 团队自动发现、存储、管理和审核访问特权帐户、SSH 密钥和数字证书。借助 PAM360,IT 管理员可以将 Linux 和 Unix 环境的特权访问管理的整个过程置于自动驾驶状态,并主动应对内部威胁和特权滥用攻击。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/118912.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

微信小程序获取用户信息

个人博客 微信小程序获取用户信息 个人微信公众号,求关注,求收藏,求指错。 文章概叙 本文主要讲的是小程序获取用户信息的,更新测试时间是2023-10-25 更改原因 首先,官网上的解释是这样的,为了安全合…

PAM从入门到精通(二十六)

接前一篇文章:PAM从入门到精通(二十五) 本文参考: 《The Linux-PAM Application Developers Guide》 先再来重温一下PAM系统架构: 更加形象的形式: 七、PAM-API各函数源码详解 前边的文章讲解了各PAM-API…

【AI视野·今日Robot 机器人论文速览 第五十七期】Wed, 18 Oct 2023

AI视野今日CS.Robotics 机器人学论文速览 Wed, 18 Oct 2023 Totally 17 papers 👉上期速览✈更多精彩请移步主页 Daily Robotics Papers Underwater and Surface Aquatic Locomotion of Soft Biomimetic Robot Based on Bending Rolled Dielectric Elastomer Actua…

No module named ‘cv2’ 解决方法

目录 解决方案1解决方案2 解决方案1 一般情况下的解决方案 在自己的虚拟环境里面安装就行 pip install opencv-python解决方案2 但是我遇到的情况没有这么简单,我使用了pip list | grep open 搜索含有open字样的opencv的包,结果显示已经安装了 我直接进入我的自定义的虚拟…

亚马逊注册账号时老是显示内部错误

最近你们是否遇到注册亚马逊账号时一直遇到"内部错误"的情况?,这可能是由多种原因引起的。以下是一些可能有助于解决这个问题的步骤: 1、清除缓存和Cookie:有时浏览器缓存和Cookie中的问题可能导致网站错误。可以试试清…

如何在Ubuntu下安装RabbitMQ服务并异地远程访问?

文章目录 前言1.安装erlang 语言2.安装rabbitMQ3. 内网穿透3.1 安装cpolar内网穿透(支持一键自动安装脚本)3.2 创建HTTP隧道 4. 公网远程连接5.固定公网TCP地址5.1 保留一个固定的公网TCP端口地址5.2 配置固定公网TCP端口地址 前言 RabbitMQ是一个在 AMQP(高级消息队列协议)基…

WeakHashMap 源码解析

目录 一. 前言 二. 源码解析 2.1. 类结构 2.2. 成员变量 2.3. 构造方法 2.4. Entry 2.5. 添加元素 2.6. 扩容 2.7. 删除元素 2.8. 获取元素 一. 前言 WeakHashMap,从名字可以看出它是某种 Map。它的特殊之处在于 WeakHashMap 里的entry可能会被GC自动删除…

新手投资如何分配股票仓位?诺奖得主的秘诀是什么?| 附代码【邢不行】

2023年6月22日,诺贝尔经济学奖得主哈里.马克维茨于美国去世,享年95岁。 作为现代金融先驱者,马科维茨不仅是将数学引入金融的第一人,更用数学解释了分散投资的重要性。 更令人惊叹的是,过去十几年中如果按他的理论在中…

docker部署prometheus+grafana服务器监控(一)

docker-compose 部署prometheusgrafana Prometheus Prometheus 是有 SoundCloud 开发的开源监控系统和时序数据库,基于 Go 语言开发。通过基于 HTTP 的 pull 方式采集时序数据,通过服务发现或静态配置去获取要采集的目标服务器,支持多节点工…

18.2 使用NPCAP库抓取数据包

NPCAP 库是一种用于在Windows平台上进行网络数据包捕获和分析的库。它是WinPcap库的一个分支,由Nmap开发团队开发,并在Nmap软件中使用。与WinPcap一样,NPCAP库提供了一些API,使开发人员可以轻松地在其应用程序中捕获和处理网络数据…

【Redis系列】在Centos7上安装Redis5.0保姆级教程!

哈喽, 大家好,我是小浪。那么最近也是在忙秋招,很长一段时间没有更新文章啦,最近呢也是秋招闲下来,当然秋招结果也不是很理想,嗯……这里就不多说啦,回归正题,从今天开始我们就开始正…

Elasticsearch:使用 Open AI 和 Langchain 的 RAG - Retrieval Augmented Generation (三)

这是继之前文章: Elasticsearch:使用 Open AI 和 Langchain 的 RAG - Retrieval Augmented Generation (一) Elasticsearch:使用 Open AI 和 Langchain 的 RAG - Retrieval Augmented Generation (二&…

配置Sentinel 控制台

1.遇到的问题 服务网关 | RuoYi 最近调试若依的微服务版本需要用到Sentinel这个组件,若依内部继承了这个组件连上即用。 Sentinel是阿里巴巴开源的限流器熔断器,并且带有可视化操作界面。 在日常开发中,限流功能时常被使用,用…

uni-app配置微信开发者工具

一、配置微信开发者工具路径 工具->设置->运行配置->小程序运行配置->微信开发者工具路径 二、微信开发者工具开启服务端口

YB5302是一款工作于2.7V到6.5V的PFM升压型双节锂电池充电控制集成电路

YB5302 锂电输入升压型双节锂电池充电芯片 概述: YB5302是一款工作于2.7V到6.5V的PFM升压型双节锂电池充电控制集成电路。YB5302采用恒流和准恒压模式(Quasi-CVT™)对电池进行充电管理,内部集成有基准电压源,电感电流检测单元,电池电压检测电…

Remote Local File Inclusion (RFI/LFI)-文件包含漏洞

文件包含是一种功能,在各种开发语言中都提供了内置的文件包含函数。在PHP中,例如,可以使用include()和require()函数来引入另一个文件。这个被引入的文件可以当作PHP代码执行,而忽略其后缀本身。 // if( count( $_GET ) ) if( isset( $file ) )include( $file ); else {he…

易点易动固定资产管理系统:高效盘点海量固定资产的得力助手

固定资产是企业重要的财务资源之一,盘点是保证固定资产准确性和完整性的关键环节。然而,对于拥有海量固定资产的企业来说,传统的手工盘点方式效率低下且容易出错。为了解决这一难题,易点易动固定资产管理系统应运而生。本文将深入…

虹科 | 解决方案 | 非道路移动机械诊断方案

虹科Pico汽车示波器为卡车、拖拉机、叉车、船只、联合收割机、挖掘机开发了专用的测试附件和软件测试菜单,比如 24 V 电池、Bosch Denoxtronic、J1939 通信、发动机和液压传动系统以及部件测试等。我们为从事重型车辆和非道路移动机械的维护与诊断的朋友&#xff0c…

Java New对象分配内存流程

一、流程图 二、流程介绍 1、进行逃逸分析,判断是否能够分配到栈上: Y: 如果能分配到栈上,则进行分配。等方法出栈时,对象内存销毁,可有效减少GC的次数。 N:无法分配到栈上,则判断是…

VMware创建Linux虚拟机之(三)Hadoop安装与配置及搭建集群

Hello,world! 🐒本篇博客使用到的工具有:VMware16 ,Xftp7 若不熟悉操作命令,推荐使用带GUI页面的CentOS7虚拟机 我将使用带GUI页面的虚拟机演示 虚拟机(Virtual Machine) 指通过…