适用于 Linux 和 Unix 的特权访问管理

凭据、SSH 密钥、服务帐户、数字签名、文件系统等内容构成了Linux 环境的关键部分,虽然大多数PAM供应商为基于Windows的环境提供无缝的特权访问管理,但它们的通用性不足以为Linux,Unix和*nix环境扩展相同的功能和功能。

Linux 中的root权限是什么

在 Linux 环境中,root 用户是执行管理操作的超级帐户,通常被认为拥有最高权限。具有 root 访问权限的用户具有全面的管理控制,并有权访问特权文件和系统配置。

与在 Windows 环境中与基本用户共享管理员权限类似,root 权限也可以共享给 Linux 环境中的其他用户。在 Linux 环境中具有 root 权限的用户可以完全访问所有服务器和网络角落,包括命令行有限的关键数据库服务器。

在 Linux 环境中,所有用户通常都无法访问网络的这些角落,并且仅根据具体情况与用户共享。随着这些关键root特权的共享,对有限和特定用户的把关共享访问、将共享访问限制为有限的命令使用以及其他必要的长期特权减少会带来安全和操作风险。

在 Linux 环境中强制实施特权访问管理框架可以帮助管理员自动管理敏感的 Linux 资源,并简化特权共享和访问预配的过程。

在 Linux 环境中共享根权限

传统上,su(切换用户)和 sudo(切换用户和 do)是允许用户以 root 权限执行操作的 Linux 命令,su 命令允许用户在用户拥有根凭据时执行根命令。但是,sudo 命令允许用户在不使用根凭据的情况下运行根命令,sudo 通过将当前用户提升为根用户,为根升级提供了更切实的解决方案。当受特权访问管理协议约束时,可以对此类 Linux 根访问规定进行监管、自定义、审核和监视。

为什么要保护 Linux 环境

  • 权限提升攻击
  • 内部威胁
  • 第三方供应商权限滥用

权限提升攻击

本质上,当 Linux 系统上的用户帐户用于执行根操作时,它被称为根权限提升。换句话说,root 账户可能会被滥用,以未经授权访问多个业务关键型应用程序和流程所在的敏感端点和资源。但是,通过适当的访问控制策略和工作流,管理员可以以有时间限制的方式授予并确保对此类关键系统的安全访问权限。

内部威胁

通常情况下,特权滥用攻击伪装成内部人士,这是一个快速增长的趋势,在各种规模的组织层次结构中都很明显。长期特权经常被流氓内部人员武器化,以便从内部控制整个IT生态系统。为了避免这种情况,必须为整个 Linux 网络中共享的权限定义明确的边界。这将有助于消除长期特权,从而减少潜在的流氓内部攻击。

第三方供应商权限滥用

企业 IT 团队通常与第三方组织协作,以获得由审计员、顾问、合作伙伴、维护人员甚至程序员提供的扩展业务解决方案。向此类第三方协作者提供额外的不必要的权限会导致经常被遗忘的常设权限,这种访问预配可能会导致权限滥用攻击。

在这里插入图片描述

如何确保Linux和Unix环境中的特权访问安全性

使用 PAM 解决方案强制实施特权访问安全例程将使 IT 管理员能够对 Linux 特权访问管理实施精细治理,以下是 Linux 特权访问管理如何帮助 IT 团队简化此例程。

  • 安全帐户
  • 自动远程密码重置
  • 无缝权限提升

安全帐户

定期发现并载入整个企业网络中的 Linux 端点,这些机器在单个平台中集中存储和访问,从而提高了孤立的 Linux 网络中端点的可见性,然后可以根据分层需求对这些机器进行组织分组。

自动远程密码重置

载入所有终结点和关联帐户后,可以强制执行密码策略,可以根据内部安全要求使用 PAM 工具设计这些策略,这些工具还附带本机密码生成器,允许在计划和按需基础上无缝和定期轮换密码。此外,PAM 工具提供对所有与密码相关的活动的实时审核,例如密码重置、共享和签出。

无缝权限提升

  • 实时 (JIT) 访问
    借助任何 Linux 特权访问管理框架提供的 JIT 功能,管理员可以允许用户限时共享特权 Linux 帐户。受 JIT 访问权限的此类用户将有权访问特权 Linux 帐户的共享密码,直到规定的时间范围。对端点的访问将终止,并在所述时间到期后立即重置密码,以防止将来发生任何未经授权的访问尝试。
  • 命令控制
    通过命令控制,IT 管理员可以限制用户执行某些特权 SSH 命令,例如用于删除文件的 rm 命令。管理员可以指定一组可以列入允许列表的 Linux 命令,之后仅允许受此类访问限制的用户执行这些特定命令。
    此外,使用命令控制,可以允许 Linux 用户根据需要以提升的权限执行此类敏感命令(如有必要),这允许非根用户帐户执行根操作,而无需实际共享根凭证。
    为了在企业范围内实施此类 Linux 特权访问管理控制,组织倾向于采用 PAM 解决方案。

与 Linux 特权访问管理相关的最佳实践

  • 维护 Linux 环境中所有当前活动特权帐户的全面记录,并确保在必要时定期更新该记录。
  • 将您的特权 Linux 身份(如密码和 SSH 密钥)存储在使用标准化加密算法的安全保管库中。
  • 通过实施严格的密码策略、强制实施定期密码重置、生成强 SSH 密钥对以及在单次使用后自动重置此类身份来保护 Linux 端点。
  • 遵循最小特权原则,与第三方协作者安全地共享 Linux 环境中的所有端点、应用程序和资源,并确保立即撤销所有常设特权。
  • 审核并记录在 Linux 环境中执行的每个操作,无论是用户的 SSH 会话、密码重置还是权限共享。这将帮助管理员进行损害控制和预防,并使他们能够立即执行打破玻璃的措施。

Linux 特权访问管理方案

PAM360 是一站式企业 PAM 解决方案,为有效的 Linux 特权访问管理提供中央控制台,它可帮助 IT 团队自动发现、存储、管理和审核访问特权帐户、SSH 密钥和数字证书。借助 PAM360,IT 管理员可以将 Linux 和 Unix 环境的特权访问管理的整个过程置于自动驾驶状态,并主动应对内部威胁和特权滥用攻击。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/170534.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

wf-docker集群搭建(未完结)

系列文章目录 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 系列文章目录前言一、redis集群二、mysql集群三、nacos集群1. 环境要求2. 拉取镜像2.1. 拉取镜像方式配置集群2.2. 自定义nacos镜像配置集群 3 自定义…

基于PHP的图像分享社交平台

有需要请加文章底部Q哦 可远程调试 基于PHP的图像分享社交平台 一 介绍 此图像分享社交平台基于原生PHP开发,数据库mysql,前端bootstrap。平台角色分为用户和管理员。用户可注册登录,发布图像,修改个人信息,评论图像…

分享一下门店服务预约系统怎么做

随着科技的不断发展,越来越多的企业开始注重提高服务质量和效率。其中,门店服务预约系统成为了许多企业的选择。本文将探讨门店服务预约系统的意义、设计思路、实现方法、系统测试以及拓展案例,并总结门店服务预约系统设计和实现的重要性。 一…

国腾GM8775C完全替代CS5518 MIPIDSI转2 PORT LVDS

集睿致远CS5518描述: CS5518是一款MIPI DSI输入、LVDS输出转换芯片。MIPI DSI 支持多达4个局域网,每条通道以最 大 1Gbps 的速度运行。LVDS支持18位或24位像素,25Mhz至154Mhz,采用VESA或JEIDA格 式。它只能使用单个1.8v电源&am…

更改idea的JDK版本

有时候我们需要更改 idea 的 JDK 版本,这里告诉大家更改的方法,非常简单快捷,而且也不需要去找 JDK 的资源 1.在 idea 的左上角找到 File 选择 Peoject Structure 2.在页面左上角找到 Project ,点击 SDK 的框,选择 A…

RISC-V架构——中断委托和中断注入

1、中断委托 1.1、中断委托的作用 (1)默认情况下,所有的陷入(中断和异常)都是在M模式下处理,然后再返回到发生陷入前的模式; (2)所有陷入都在M模式处理会涉及到模式切换…

将自己本地项目上传到git,增加IDEA操作

文章目录 一、初始化git仓库二、gitee创建仓库三、输入自己仓库的地址四、在添加所修改的文件可能的错误 五、合并需上传文件六、上传参考文档 一、初始化git仓库 在自己的项目中,命令行中输入 git init二、gitee创建仓库 新建仓库 设置仓库参数,设置…

智安网络|探索语音合成技术的未来:揭秘人工智能配音技术的背后

随着人工智能技术的迅猛发展,配音行业也迎来了人工智能配音技术的崭新时代。人工智能配音技术通过语音合成和自然语言处理等技术手段,实现了逼真的语音合成,为影视、广告和游戏等领域带来了新的可能性。 第一部分:语音合成技术的…

Linux创建临时文件mkstemp()tmpfile()

有些程序需要创建一些临时文件,仅供其在运行期间使用,程序终止后即行删除。 很多编译器程序会在编译过程中创建临时文件。GNU C 语言函数库为此而提供了一系列库函数。(之所以有“一系列”的库函数,部分原因是由于这些函数分别继…

LabVIEW在 XY Graph中选择一组点

LabVIEW在 XY Graph中选择一组点 问题:有一个包含许多点的XY Graph,在程序开发中,对于显示XY Graph中的多个点,如何进行选取。最好能像图像处理中的ROI一样,并且它们的颜色可以更改,可以在其中选择一些ROI…

【Docker】Docker数据的存储

默认情况下,在运行中的容器里创建的文件,被保存在一个可写的容器层里,如果容器被删除了,则对应的数据也随之删除了。 这个可写的容器层是和特定的容器绑定的,也就是这些数据无法方便的和其它容器共享。 Docker主要提…

Loop Copilot:AI驱动,小白也能自己生成音乐?

01 项目介绍 Loop Copilot是一个使用自然语言生成音乐的系统。它不仅允许你使用自然语言来生成你想要的音乐风格、节奏或旋律,还支持通过多轮对话对已生成的音乐进行进一步的编辑和修改。包括对生成的音乐进行编辑修改、添加或删除乐器、加入音效等。 02 工作流程…

(三)(Driver)驱动开发之双机调试环境搭建及内核驱动的运行

文章目录 1. 驱动开发环境搭建2. 驱动开发新建项目及项目属性配置和编译3. 双机调试环境搭建3.1 安装虚拟机VMware3.2 配置Dbgview.exe工具3.3 基于Windbg的双机调试 4. 内核驱动的运行4.1 临时关闭系统驱动签名校验4.2 加载驱动 1. 驱动开发环境搭建 请参考另一篇:https://bl…

Stable Diffusion WebUI扩展canvas-zoom详细讲解

canvas-zoom这是什么? 这是一个针对画布做一些操作的工具,比如缩放等。 下面来详细说一下这些操作的热键。 重要的热键: 缩放(Alt+滚轮)、移动画布 (F)、全屏 (S) 和重置缩放 (R) (1)Shift + wheel - 缩放画布 按住Shift + 滚轮之后,一点反应都没有,之后按…

上海市道路数据,有63550条数据(shp格式和xlsx格式)

数据地址: 上海市道路https://www.xcitybox.com/datamarketview/#/Productpage?id391 基本信息. 数据名称: 上海市道路数据 数据格式: Shpxlsx 数据时间: 2020年 数据几何类型: 线 数据坐标系: WGS84坐标系 数据来源:网络公开数据 数据字段&am…

lv8 嵌入式开发-网络编程开发 20 域名解析与http服务实现原理

目录 1 域名解析 2 如何实现万维网服务器&#xff1f; 2.1 HTTP 的操作过程 2.2 万维网服务器实现 1 域名解析 域名解析gethostbyname函数 主机结构在 <netdb.h> 中定义如下&#xff1a; struct hostent {char *h_name; /* 官方域名 */char **h_alias…

设计模式(五)—— 建造者模式/生成器模式

先简单记一下&#xff0c;以后再来认真写 还是造房子那个例子&#xff0c;一个房子分为①打地基 ② 砌墙 ③封顶三步&#xff0c;如果不用设计模式去写的话。就是一个超类&#xff0c;然后多个子类继承超类去重写 但是这样有两个缺点&#xff1a; &#xff08;1&#xff09;产…

【Python3】【力扣题】169. 多数元素

【力扣题】题目描述&#xff1a; 众数&#xff1a;一组数据中出现次数最多的数据。 【Python3】代码&#xff1a; 1、解题思路&#xff1a;哈希表。使用哈希映射存储各元素以及出现的次数&#xff0c;哈希映射中的键值对中的键为元素、值为该元素出现次数。 知识点&#xff1…

postman打开后,以前的接口记录不在,问题解决

要不这些文件保存在C:\Users\{用户名}\AppData\Roaming\Postman 比如&#xff0c;你目前使用的window登录用户是abc&#xff0c;那么地址便是C:\Users\abc\AppData\Roaming\Postman 打开后&#xff0c;这个目录下会有一些命名为backup-yyyy-MM-ddThh-mm-ss.SSSZ.json类似的文…

数据结构和算法概述

什么是数据结构&#xff1f; 官方解释&#xff1a; 数据结构是一门研究非数值计算的程序设计问题中的操作对象&#xff0c;以及他们之间的关系和操作等相关问题的学科。 大白话&#xff1a; 数据结构就是把数据元素按照一定的关系组织起来的集合&#xff0c;用来组织和存储…