GNU/Linux >> Tutoriels Linux >  >> Linux

Linux :des sysadmins productifs sans root (sécurisant la propriété intellectuelle) ?

Solution 1 :

Tout ce qui a été dit jusqu'à présent ici est une bonne chose, mais il existe un moyen "facile" non technique qui aide à nier un administrateur système non autorisé - le principe des quatre yeux qui nécessite essentiellement que deux administrateurs système soient présents pour tout accès élevé.

EDIT :Les deux éléments les plus importants que j'ai vus dans les commentaires concernent le coût et la possibilité de collusion. L'un des principaux moyens que j'ai envisagés pour éviter ces deux problèmes consiste à utiliser une société de services gérés utilisée uniquement pour la vérification des actions entreprises. Si c'était fait correctement, les techniciens ne se connaîtraient pas. En supposant les prouesses techniques qu'un MSP devrait avoir, il serait assez facile d'avoir une approbation des actions prises... peut-être même aussi simple qu'un oui/non à quelque chose d'infâme.

Solution 2 :

Si les gens ont vraiment besoin d'un accès administrateur à un système, vous ne pouvez pas faire grand-chose pour restreindre leurs activités sur cette boîte.

Ce que la majorité des organisations font, c'est faire confiance, mais vérifier - vous pouvez donner aux gens l'accès à certaines parties du système, mais vous utilisez des comptes d'administrateur nommés (par exemple, vous ne leur donnez pas un accès direct à root ), puis auditez leurs activités dans un journal avec lequel ils ne peuvent pas interférer.

Il y a un exercice d'équilibriste ici; vous devrez peut-être protéger vos systèmes, mais vous devez également faire confiance aux gens pour faire leur travail. Si l'entreprise a été autrefois "mordue" par un employé peu scrupuleux, cela pourrait suggérer que les pratiques d'embauche des entreprises sont médiocres d'une certaine manière, et ces pratiques ont vraisemblablement été créées par les "top managers". La confiance commence à la maison; que font-ils pour corriger leurs choix d'embauche ?

Solution 3 :

Ce dont vous parlez est connu sous le nom de risque "Evil Sysadmin". Le long et court de celui-ci est :

  • Un administrateur système est quelqu'un qui a des privilèges élevés
  • Techniquement compétent, à un niveau qui en ferait un bon "hacker".
  • Interagir avec des systèmes dans des scénarios anormaux.

La combinaison de ces éléments rend pratiquement impossible l'arrêt d'une action malveillante. Même l'audit devient difficile, car vous n'avez pas de « normalité » avec laquelle vous comparer. (Et franchement - un système en panne peut aussi avoir un audit en panne).

Il existe de nombreuses mesures d'atténuation :

  • Séparation des privilèges :vous ne pouvez pas empêcher un utilisateur root de faire n'importe quoi sur le système. Mais vous pouvez désigner une équipe responsable du réseau et une autre responsable des "systèmes d'exploitation" (ou Unix/Windows séparément).
  • Limitez l'accès physique au kit à une autre équipe, qui n'obtient pas de comptes d'administrateur... mais s'occupe de tout le travail "manuel".
  • Séparez les responsabilités "bureau" et "serveur". Configurez le bureau pour empêcher la suppression des données. Les administrateurs de bureau n'ont pas la possibilité d'accéder au sensible, les administrateurs de serveur peuvent le voler, mais doivent sauter à travers des cerceaux pour le faire sortir du bâtiment.
  • Audit vers un système à accès restreint - syslog et l'audit au niveau des événements, à un système relativement inviolable auquel ils n'ont pas d'accès privilégié. Mais les collecter ne suffit pas, vous devez les surveiller - et franchement, il existe de nombreuses façons de "voler" des informations qui pourraient ne pas apparaître sur un radar d'audit. (Braconnier contre gardes-chasse)
  • appliquez un chiffrement "au repos", afin que les données ne soient pas stockées "en clair" et nécessitent un système en direct pour y accéder. Cela signifie que les personnes ayant un accès physique ne peuvent pas accéder à un système qui n'est pas activement surveillé, et que dans un scénario "anormal" où un administrateur système travaille dessus, les données sont moins exposées. (par exemple, si la base de données ne fonctionne pas, les données ne sont probablement pas lisibles)
  • Règle des deux :si vous êtes d'accord avec le fait que votre productivité soit paralysée, et votre moral également. (Sérieusement - je l'ai vu faire, et l'état persistant de travail et d'être surveillé rend les conditions de travail extrêmement difficiles).
  • Vérifiez vos administrateurs système :diverses vérifications d'enregistrements peuvent exister selon le pays. (Vérification du casier judiciaire, vous pourriez vous pouvez même demander une habilitation de sécurité dans certains cas, ce qui déclenchera une vérification)
  • Prenez soin de vos administrateurs système :la dernière chose que vous voudriez faire est de dire à une personne "de confiance" que vous ne lui faites pas confiance. Et vous ne voulez certainement pas nuire au moral, car cela augmente le risque d'un comportement malveillant (ou « pas tout à fait de la négligence, mais un manque de vigilance »). Mais payez en fonction de la responsabilité ainsi que des compétences. Et considérez les « avantages » - qui sont moins chers que le salaire, mais qui ont probablement plus de valeur. Comme du café gratuit ou de la pizza une fois par semaine.
  • et vous pouvez également essayer d'appliquer des conditions contractuelles pour l'empêcher, mais méfiez-vous de ce qui précède.

Mais assez fondamentalement - vous devez accepter qu'il s'agit d'une question de confiance, pas d'une question technique. Vos administrateurs système seront toujours potentiellement très dangereux pour vous, à la suite de cette tempête parfaite.

Solution 4 :

Sans vous mettre dans une tournure d'esprit technique insensée pour essayer de trouver un moyen de donner un pouvoir à un administrateur système sans lui donner de pouvoir (c'est probablement faisable, mais serait finalement défectueux d'une certaine manière).

Du point de vue de la pratique commerciale, il existe un ensemble de solutions simples. Pas de solution bon marché, mais simple.

Vous avez mentionné que les éléments de propriété intellectuelle qui vous préoccupent sont divisés et que seules les personnes au sommet ont le pouvoir de les voir. C'est essentiellement votre réponse. Vous devez avoir plusieurs administrateurs, et AUCUN d'entre eux ne doit être administrateur sur suffisamment de systèmes pour constituer une image complète. Vous auriez bien sûr besoin d'au moins 2 ou 3 administrateurs pour chaque pièce, au cas où un administrateur serait malade ou dans un accident de voiture ou quelque chose du genre. Peut-être même les décaler. disons que vous avez 4 administrateurs et 8 éléments d'information. l'administrateur 1 peut accéder aux systèmes qui ont les pièces 1 et 2, l'administrateur 2 peut accéder aux pièces 2 et 3, l'administrateur 3 peut accéder aux 3 et 4 et l'administrateur 4 peut accéder aux 4 et 1. Chaque système a un administrateur de sauvegarde, mais non l'administrateur est capable de compromettre l'image complète.

Une technique que l'armée utilise également est la limitation des données mobiles. Dans une zone sensible, il peut n'y avoir qu'un seul système capable de graver un disque ou d'utiliser une clé USB, tous les autres systèmes sont restreints. Et la possibilité d'utiliser ce système est extrêmement limitée et nécessite une approbation documentée spécifique par les supérieurs hiérarchiques avant que quiconque ne soit autorisé à mettre des données sur tout ce qui pourrait entraîner une fuite d'informations. De la même manière, vous vous assurez que le trafic réseau entre différents systèmes est limité par des pare-feu matériels. Vos administrateurs réseau qui contrôlent les pare-feu n'ont pas accès aux systèmes qu'ils acheminent, ils ne peuvent donc pas accéder spécifiquement aux informations, et vos administrateurs de serveur/poste de travail s'assurent que toutes les données vers et depuis un système sont configurées pour être cryptées, donc que vos administrateurs réseau ne peuvent pas exploiter le réseau et accéder aux données.

Tous les ordinateurs portables/postes de travail doivent avoir des disques durs cryptés, et chaque employé doit avoir un casier personnel dans lequel il doit verrouiller les disques/ordinateurs portables à la fin de la nuit pour s'assurer que personne n'arrive tôt/ne parte tard et n'ait accès à quelque chose ils ne sont pas censés le faire.

Chaque serveur devrait à tout le moins être dans son propre rack verrouillé, sinon sa propre salle verrouillée, afin que seuls les administrateurs responsables de chaque serveur y aient accès, car en fin de compte, l'accès physique l'emporte sur tout.

Ensuite, il y a une pratique qui peut soit blesser/aider. Contrats limités. Si vous pensez que vous pouvez payer suffisamment pour continuer à attirer de nouveaux talents, l'option de ne garder un administrateur que pendant une période de temps prédéterminée (c'est-à-dire 6 mois, 1 an, 2 ans) vous permettrait de limiter le temps qu'une personne aurait pour tenter de rassembler tous les éléments de votre IP.

Ma conception personnelle serait quelque chose dans le sens de ... Divisez vos données en autant de morceaux, disons que pour avoir un numéro 8, vous avez 8 serveurs git, chacun avec son propre ensemble de matériel redondant, chacun administré par un autre ensemble d'administrateurs.

Disques durs cryptés pour tous les postes de travail qui toucheront l'IP. avec un répertoire "projet" spécifique sur le lecteur qui est le seul répertoire dans lequel les utilisateurs sont autorisés à placer leurs projets. À la fin de chaque nuit, ils doivent désinfecter leurs répertoires de projet avec un outil de suppression sécurisé, puis les disques durs sont retirés et enfermé (juste pour être sûr).

Chaque partie du projet a un administrateur différent qui lui est attribué, de sorte qu'un utilisateur n'interagirait qu'avec l'administrateur du poste de travail auquel il est affecté, si son affectation de projet change, ses données sont effacées, un nouvel administrateur lui est attribué. Leurs systèmes ne doivent pas avoir de capacités de gravure et doivent utiliser un programme de sécurité pour empêcher l'utilisation de clés USB pour transférer des données sans autorisation.

tirez-en ce que vous voulez.

Solution 5 :

Ce serait semblable au défi d'embaucher un concierge pour un immeuble. Le concierge obtient toutes les clés, peut ouvrir n'importe quelle porte, mais la raison en est que le concierge en a besoin pour faire son travail. Idem avec les administrateurs système. Symétriquement, on peut penser à ce problème séculaire et regarder comment la confiance est accordée historiquement.

Bien qu'il n'y ait pas de solution technique claire, le fait qu'il n'y en ait pas ne devrait pas être une raison pour laquelle nous n'en essayons pas, une agrégation de solutions imparfaites peut donner des résultats assez bons.

Un modèle où la confiance se mérite :

  • Donner moins d'autorisations pour commencer
  • Augmenter progressivement les autorisations
  • Mettez un pot de miel et surveillez ce qui se passe dans les prochains jours
  • Si l'administrateur système le signale au lieu d'essayer d'en abuser, c'est un bon début

Mettre en place plusieurs niveaux de pouvoirs administratifs :

  • Niveau 1 :peut modifier le niveau inférieur des fichiers de configuration
  • Niveau 2 :peut modifier un niveau légèrement supérieur de fichiers de configuration
  • Niveau 3 :peut modifier un niveau légèrement supérieur de fichiers de configuration et de paramètres du système d'exploitation

Créez toujours un environnement où l'accès total par une seule personne n'est pas possible :

  • Systèmes divisés en clusters
  • Accorder des pouvoirs d'administration de cluster à différents groupes
  • Minimum 2 groupes

Utilisez la règle des deux hommes lorsque vous effectuez des modifications de base de haut niveau :

  • https://en.wikipedia.org/wiki/Two-man_rule
  • Exiger un administrateur du cluster 1 et du cluster2 pour les modifications principales

Faire confiance et vérifier :

  • Tout consigner
  • Surveillance et alerte des journaux
  • Assurez-vous que toutes les actions peuvent être distinguées

Papiers :

  • Demandez-leur de signer des documents pour que le système judiciaire puisse vous aider en les poursuivant s'ils vous blessent, ce qui les incitera davantage à ne pas le faire

Linux
  1. Linux - Comment Gnome redémarre-t-il sans privilèges root ?

  2. accès simultané au fichier linux

  3. ZFS envoie/reçoit sur ssh sous Linux sans autoriser la connexion root

  4. Installation de logiciels sous Linux sans privilèges root

  5. Comment connaître les autorisations d'un utilisateur spécifié sur Linux avec un accès root ?

Comment ajouter des référentiels à Red Hat Linux avec et sans proxy

Comment étendre la partition racine XFS sans LVM sous Linux

HOWTO :Exécuter Linux sur Android sans racine

Commandes Linux fréquemment utilisées par les administrateurs système Linux - Partie 1

Comment installer localement .deb sans accès apt-get, dpkg ou root ?

Liaison aux ports inférieurs à 1024 sans accès root