我运行着 10 台 Linux 机器,它们正在执行不同类型的工作。这些机器配置为使用 LDAP 身份验证,因此当在 slapd 中配置一个用户时,他可以在所有机器上登录。为了便于维护,我想在 slapd 中创建一个 root 帐户,以便在安装应用程序等时可以使用它而不是本地 root 帐户。但我不确定如何执行此操作。创建名为 root 且 gid/uid 为 0 的用户就足够了吗?是否应该以某种方式禁用本地 root?
我完全清楚,从安全角度来看这通常不是一个好主意,但如前所述,这是一个特殊情况。
答案1
拥有 UID=0/GID=0 的帐户就足够了。
离开当地根单独使用用户帐户,因为如果 LDAP 服务器或网络发生问题,您将需要“紧急访问”。此外,我建议 LDAP 服务器本身不要依赖 LDAP 进行身份验证(先有鸡还是先有蛋的情况)。
确保您也使用 SSL/TLS。
我也强烈建议不要这样做。
答案2
在 LDAP 中使用 sudo 而不是 root 帐户。这也会让您记录他们以 root 身份执行的操作。
并且+1使用puppet来管理服务器并让puppet维护所有服务器上/etc/sudoers的本地副本。
答案3
有了 10 台服务器,我会考虑设置 Puppet 并使用它来管理应用程序和配置。
这不太容易出错并且可以创建可重复的配置。