我目前正在一家组织实习并做一个项目,说实话这有点挑战,所以我希望你们能帮助我。
背景:
我所在的组织拥有 120 多台服务器的生产环境,其中大部分是 Redhat 和一些 Windows 机器,使用 Puppet 进行管理。Windows 机器基本上只是负载平衡器,因此不在本项目的范围内。现在,每个人都使用 root 帐户登录,这应该不言而喻,出于各种原因,这是一个巨大的问题。
因此,我的项目的目标是设置一个使用现有 Active Directory 用户帐户的身份验证和日志系统,以授予用户对生产环境的访问权限。我选择使用 realmd/sssd 来实现这一点。我的计划是设置两台服务器来处理身份验证和日志,并让其余服务器根据这些服务器进行身份验证,并向它们发送日志。
问题 1:
如前所述,我想设置两台服务器来处理身份验证,我的问题是:如何配置其余服务器以针对这些服务器进行身份验证?例如:如果有人通过 SSH 进入一台机器,该机器应该联系身份验证服务器进行身份验证,如果他们没有将凭据存储在缓存中,则身份验证服务器应该针对 Active Directory 进行身份验证。
问题2:
监控日志的最佳实践和软件是什么?我想要记录登录尝试、成功登录和用户正在执行的命令。
问题 3:
我想管理用户可以在环境中做什么、可以执行哪些命令以及可以访问哪些资源。这方面的最佳实践是什么?
我知道有很多问题,我希望我已经解释清楚了,英语不是我的母语。我完全是独自一人处理这件事,我的经理/同事们也帮不上什么忙。我现在有点迷茫,所以我真的很感激任何意见。
答案1
我建议在所有机器上设置 auditd、beats 和 sssd,而不是创建专用的入口设置。无需为管理流程引入对这些机器的依赖。
Q1:让您的盒子查询 AD 中的用户并直接使用 sssd 对 AD 进行身份验证。
Q2:在所有机器上设置 auditd 以审计用户登录和执行的命令,并设置服务器麋鹿或者格雷洛格或使用Splunk聚合您的日志。使用 Elastic 的节拍将所有类型的日志发送到您最喜欢的日志聚合器。
Q3:身份验证限制可以通过多种方式完成,我使用 LDAP 组成员身份。要限制资源访问,请使用 SELinux 和 sudo。
附注:根据负载平衡需要的协议感知程度,你最好使用HAProxy- 可能想看看那个。
附注(2),来自评论:如果担心 AD 上的负载,则复制(AD 方式或使用激光扫描中心) 和负载平衡 - HAProxy 也可以在这里提供帮助。