我们有一个具有 sudo 访问权限的公共超级用户帐户(“cmn_usr”),以及没有 sudo 访问权限的单独普通用户帐户(“nml_usr”)。目前,普通用户可以直接以超级用户(“cmn_usr”)身份登录,也可以切换为超级用户(“cmn_usr”)。出于安全原因,我们希望禁用超级用户(“cmn_usr”)的直接登录,并且应该受到保护,同时仍允许普通用户(“nml_usr”)在需要时切换到它。
虽然我在线研究了可能的解决方案,但似乎没有一个解决方案符合我们组织的 IT 安全最佳实践。如果有关禁用特权帐户直接登录同时促进用户切换的类似问题已在此处通过 IT 批准的答案得到解决,我对冗余表示歉意,如果您能指导我,我将不胜感激
非常感谢。哈里哈拉苏丹 C
答案1
sudo是你的解决方案;sudo su不是。
我们有一个具有 sudo 访问权限的公共超级用户帐户(“cmn_usr”),以及没有 sudo 访问权限的单独普通用户帐户(“nml_usr”)。
为了良好的安全实践,您不应共享“cmn_usr”帐户。如果您这样做,则没有可审核的操作日志。为每个管理员提供自己的登录名。
目前普通用户可以直接以超级用户(“cmn_usr”)身份登录
如上所述,这应该是一个安全问题。
出于安全原因,我们希望禁用超级用户(“cmn_usr”)的直接登录,并且应该受到保护,同时仍允许普通用户(“nml_usr”)在需要时切换到它
您建议的解决方案是要求“nml_usr”帐户(我真的希望这是一个集合而不是单个帐户)成为“cnm_usr”,以便它们可以成为root来执行特权操作?这看起来很奇怪。
首先,停止使用su.它会查看目标用户的 shell,由于您已正确禁用它,因此会阻止它执行任何有用的操作。
允许您的普通用户sudo -u cmn_usr -s。然后允许“cmn_usr” sudo -s。达到要求。
但我仍然不明白为什么你允许的“nml_usr”帐户集不能仅仅sudo {privileged action}使用它。您会在日志中获得一个可审核的条目,记录谁(哪个用户帐户)做了什么(“特权操作”)。