Debian - 限制不完全信任的管理员用户的访问

Debian - 限制不完全信任的管理员用户的访问

我是一家小公司的老板,目前管理着大约 15 个基于 Debian 的机器,提供 VoIP 和托管 PBX 服务

公司规模不断扩大,我没有时间管理所有机器

我想聘请系统管理员,但我非常担心将根访问权限授予陌生人。

很多事情都可能出错,他可能会犯错,他可能会安装后门。这和系统损坏无关。管理不善的 VoIP 服务器可能会因工具欺诈、付费号码呼叫等导致重大损失。损失可能高达数百万。

我读过一些帖子,说我必须有一定的信任度,如果有人造成损失,我可以起诉他。但中小企业的情况并非如此。在这种情况下,我的公司将在第一次开庭前破产。

在投反对票之前 - 这个问题肯定不是新的或独特的,但我在 serverfalut 上没有找到最新的信息,可以应用于 Debian 服务器,并且依赖于我的小企业可以负担得起的许可证成本的软件。所以目前我看不到重复的帖子。

无 root 权限可能没有什么用,我无法想象没有 root 权限如何解决任何严重的系统问题。也许我错了?

在这种情况下可以使用什么策略? 有没有什么软件可以提供帮助?

答案1

如果你不信任你的员工,你的公司就永远不会发展。

更直接地回答你的问题;你可以让用户访问提升的权限,而无需向他们提供 root 用户帐户的密码。没有人应该使用 root 用户帐户。甚至你也不行。你要找的是“sudo”。我相信你以前见过。

https://www.sudo.ws/intro.html

步骤1。通过赋予其完全 sudo 权限,为自己创建一个具有 root 权限的管理员帐户。然后使用密码管理器为 root 帐户生成新密码。现在地球上没有人知道该密码。只有在紧急情况下才将其从密码管理器中取出。立即开始使用您的新管理员帐户。

(现在,您帐户的所有操作都可以追溯到您。切勿共享登录信息,因为这样您就无法知道谁做了什么。)

第2步。创建另一个管理员帐户进行测试。使用此帐户证明您有能力授予和拒绝对各种事物的访问权限。您可以使用 sudoers 文件和 ACL 对他们可以执行的 sudo 功能进行有限的控制。这可以像您想要的那样复杂或简单。

步骤3.设想工作角色。设计您的系统,以便您可以授予每个工作角色所有功能的访问权限。然后为每个角色创建测试帐户。登录这些帐户并证明他们可以履行职责。还要证明他们不能做您不希望他们做的事情。

阅读有关 sudo 和 sudoers 文件的信息: https://wiki.debian.org/sudo

一旦你理解了用户方案,可以考虑使用像 puppet 这样的系统来自动配置你的系统。Puppet 很复杂。如果你雇佣了一个知道如何使用 puppet 的人,那么这个人很可能比你更了解 Linux 管理。相信那个人。一个 puppet 大师可以自动保持你所有系统的配置同步。给这个人足够的报酬,他们可能是你在很长一段时间内唯一需要的员工。

https://puppet.com/products/puppet-enterprise

注意:考虑聘请一位精通 Linux 的网络安全专家。听起来你需要一些帮助来保护你的系统。

相关内容