我们将在几周后让一位系统管理员离职。他可以访问我们整个基础设施,所以我们必须重置所有设备的密码。不过,这将非常耗时,因为我们必须重置的服务器和设备数量太多。有些东西与 Windows 域相关联,所以这很容易,但根据是否有任何服务以该用户身份运行,这很成问题。
有没有办法轻松撤销该用户对所有内容的访问权限?我想我要求的是跨平台单点登录...也许 RADIUS 可以做到这一点?或者有没有像 RSA SecureID 这样的交钥匙解决方案?你们用过什么?
答案1
当我离开上一份工作时,他们也经历了同样的过程。我设法获得了我们几乎所有的 root 密码。有一个小型项目来规划我可以访问的所有内容,我给了他们我知道我可以访问的列表。整个最后一周,随着各种密码、ACL 和组成员身份的更改,我的权限不断减少。电信公司的人恶狠狠地瞪着我,因为他们已经很久没有更改密码了,而且不得不在每台设备上都更改密码(有些需要现场访问);至少他们抓住了这个机会,同时部署了一个中央密码系统。在我最后一天,我被要求花时间尝试进入某些东西,看看他们是否得到了所有东西。事实上,他们做到了。
在系统管理员的世界中,权力的礼貌转移应该是这样的。
答案2
我们通过 Radius 使用 SecurID 来控制网络的所有外部访问。这意味着限制远程接入点的数量(有人有模拟线路吗?)并确保剩下的(1)使用 SecurID 解决方案作为身份验证因素(用于 SSH、RDP、Webmail 等)或(2)位于终止程序清单上(在插入 DSL 的“停电时”盒上旋转密码等)。
这样,从外部访问就得到了保护,您需要在内部处理所有静态密码的轮换、用户帐户的清理等工作。
关于“取决于是否有任何服务以该用户身份运行”——最佳做法是,出于这个原因,任何服务都不要在人类用户帐户的上下文中运行。立即审核您的cron、at等作业,并将您可以转移至非人类服务帐户。
设置您的环境以优雅地处理这类事情并不是一件容易的事,而且很可能不是您可以在接下来的几周内安排好的事情。
答案3
记录所有具有静态 root 密码的系统,记录它们使用的密码(希望这些密码足够独特,以便您无需透露即可识别它们),以及上次更改密码的日期。如果可以,请切换到使用几个不同级别的“root”密码 - 如果这些设备使用具有有限用途的唯一密码,则不一定需要更改未用于面向外部的设备的小级别密码。
这对于管理者来说还有一个重要的教训:不要激怒你的 IT 员工,因为他们实际上掌握着业务的关键良好的招聘政策 - 招聘你可以信任的员工,在雇佣关系结束后不会滥用他们的知识 - 通常比技术解决方案更容易(也更好)。
答案4
即使使用某种类型的单点登录机制也无法避免您必须经历的练习。单点登录是一个抽象层,它本质上将各种单独的凭据集抽象为单个凭据(从用户的角度来看),但它不会将各种实体“合并”为单个实体。如果您有 Windows 登录名和 Linux 登录名,并使用单点登录允许用户进行一次身份验证以访问两个系统,那么当用户离开时,您仍然需要处理两个登录。对于普通用户来说,单点登录会很有效,但对于管理员或有经验的用户来说,他们会知道如何绕过单点登录机制进入系统(路由器、服务器等)。如果我可以直接通过 telnet 连接到路由器,为什么要通过单点登录机制呢?