不幸的是,我工作的基础设施具有很少刷新的静态根密码。因此,离开公司的人将拥有我们的 root 密码,并且该密码可能会泄露给组织内部的其他人。
那么针对这个问题,在 linux/unix 平台上执行密码刷新策略的最佳方法是什么?
如果是修改每个主机上的 sudoers 文件并禁用 root 密码,那么如何管理这些 sudoers 文件并保持所有内容最新且一致?
如果只是使用根密钥,可以采取什么措施来定期保护/刷新这些密钥?
基本上,其他人如何使用工具进行定期刷新以确保安全?
答案1
我认为你正在寻找错误的焦点。最好每个员工都有自己的帐户和密码,并且在他们离开时帐户被禁用/销毁(此时您可以禁用 root)。使用一些集中式系统来管理所有客户的帐户并根据组或用户设置每个用户的权限。
如果是修改每个主机上的 sudoers 文件并禁用 root 密码,那么如何管理这些 sudoers 文件并保持所有内容最新且一致?
使用集中式帐户管理,例如 LDAP。
如果只是使用根密钥,可以采取什么措施来定期保护/刷新这些密钥?
如果你按照上面的方法去做的话,我想就没有这个必要了,对吧?
其他人如何使用工具进行定期刷新以确保安全?
也许您应该开始为您的特定环境编写安全策略。有一些建议可能不适用于您的特定环境。集中式认证带来的麻烦可能比它解决的问题还要多,但是为我似乎是更明智的解决方案。