访问权限升级需要多个系统管理员授权

Question 1

也许您可以通过使用令牌设置根帐户来滥用 securid 令牌。然后将令牌交给“部分信任的人 1（经理）”，将 PIN 交给“部分信任的人 2（管理员）”。部分信任的人 2 必须给信任的人 1 打电话，并询问他令牌上显示的号码。这样，1 和 2 必须一起登录。我对依赖它有点谨慎，尽管您可以在办公室的门上放 2 把锁，并将钥匙发给半信任的各方，他们再次需要一起打开办公室才能进入安全工作站？

如果某些操作系统中内置了可以实现此功能的功能，我不会感到惊讶，但你可能需要加入一个组织，在这个组织里你需要经常敬礼并说“先生”，然后才能使用它们。

设计/构建了这样一个系统的人的博客文章很有趣： Rick (Crypto)Smith 博士博客

Answer

也许您可以通过使用令牌设置根帐户来滥用 securid 令牌。然后将令牌交给“部分信任的人 1（经理）”，将 PIN 交给“部分信任的人 2（管理员）”。部分信任的人 2 必须给信任的人 1 打电话，并询问他令牌上显示的号码。这样，1 和 2 必须一起登录。我对依赖它有点谨慎，尽管您可以在办公室的门上放 2 把锁，并将钥匙发给半信任的各方，他们再次需要一起打开办公室才能进入安全工作站？

如果某些操作系统中内置了可以实现此功能的功能，我不会感到惊讶，但你可能需要加入一个组织，在这个组织里你需要经常敬礼并说“先生”，然后才能使用它们。

设计/构建了这样一个系统的人的博客文章很有趣： Rick (Crypto)Smith 博士博客

Question 2

默认情况下没有这样的事情，但 SELinux 和 Posix ACL 可能能够通过拒绝所有人 root 来利用，除非存在多个令牌（或文件、进程或其他任何东西）并且由适当的人拥有。有点像更复杂的使用信号量。

查看这篇文章Linux 杂志关于取消 root 权限。

顺便说一句，如果您不知道的话，您正在干涉深度魔法。

Answer

默认情况下没有这样的事情，但 SELinux 和 Posix ACL 可能能够通过拒绝所有人 root 来利用，除非存在多个令牌（或文件、进程或其他任何东西）并且由适当的人拥有。有点像更复杂的使用信号量。

查看这篇文章Linux 杂志关于取消 root 权限。

顺便说一句，如果您不知道的话，您正在干涉深度魔法。

访问权限升级需要多个系统管理员授权

答案1

答案2

相关内容