我多次注意到,当公司中有 Linux 系统时,它通常有一个用户帐户,每个需要对系统进行更改的人都会使用该帐户。因此,随着时间的推移,就无法了解谁做了什么,以及向谁询问系统更改。
在系统上拥有多个用户帐户并将这些帐户提供给实际用户是一种好的做法吗?这样你就能看到哪些用户更改了配置或添加了新文件?是否有一些 Linux 工具可以简化用户管理,例如 GUI 工具?也许有一些工具可以审核系统上某些可配置位置的更改?
谢谢
答案1
在实践中:
- 在重要的系统上,只有极少数人有权进行更改,并且无论如何都应跟踪此类更改(票证)
如果每个用户都使用个人凭证登录(即使只是
su在会话的其余时间以 root 身份登录),您可以:- 至少知道谁访问了系统,
- 更重要的是,删除某人的访问权限而不影响其他人(无需更改通用密码(*))
这意味着您要么拥有单独的 ID+密码(然后使用
su),要么使用 SSH 密钥(在这种情况下,root 用户可以接受单独的 SSH 密钥)。
(*) 我曾经在一个项目中工作,该项目有 40 个人使用同一个用户 ID,三次无效登录尝试后系统会自动暂停。这导致一片混乱……