3 votes

Steven avatar

Pourquoi la racine locale peut-elle se substituer à n'importe quel utilisateur LDAP ?

Demandé el 8 de Mai, 2013
Quand la question a-t-elle été
4037 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un serveur LDAP configuré avec notre Active Directory. Lorsqu'un utilisateur se connecte à une machine Linux avec le client LDAP installé en tant que root, il peut se connecter à n'importe quel compte Active Directory sans avoir besoin du mot de passe de cet utilisateur. Il s'agit d'un risque de sécurité important. Quelqu'un sait-il pourquoi ou comment l'empêcher ?

Empêcher l'accès à la racine n'est malheureusement pas une option car elle est requise par certains utilisateurs dans certains cas.

Demandé el 8 de Mai, 2013 par Steven

Réponses

Trop de publicités?

5voto

Michael Hampton avatar
Michael Hampton Points 232226

C'est la conception standard d'Unix et vous ne pouvez pas vraiment empêcher root de faire ce qu'il veut.

Pour une conception plus sûre, les utilisateurs devraient utiliser sudo et pour la configuration sudo afin de permettre aux utilisateurs d'effectuer uniquement les tâches spécifiques dont ils ont besoin. Sans restriction sudo devrait être limité au personnel informatique spécifique qui en a besoin pour la maintenance des serveurs, et le mot de passe racine réel devrait être conservé dans un endroit sûr.

Répondu el 8 de Mai, 2013 par Michael Hampton (232226 Points )

0 votes

Avatar de Steven

Ah ok. Je voulais également mentionner que nous utilisons un EMC VNX 5100, mais je ne suis pas sûr que cela soit pertinent. Je suppose que ma question est la suivante : pourquoi un compte racine local a-t-il accès aux comptes d'utilisateurs AD via LDAP ?

Commenté el 8 de Mai, 2013 par Steven

0 votes

Avatar de ewwhite

Parce que c'est comme ça que ça marche. Les privilèges de Root priment sur l'authentification LDAP dans ce cas. Votre contrôle compensatoire serait de limiter l'accès de ROOT.

Commenté el 8 de Mai, 2013 par ewwhite

0 votes

Avatar de Michael Hampton

C'est vrai, c'est inhérent à la conception du système d'exploitation. Windows ne permet pas cela ce qui explique probablement votre confusion.

Commenté el 8 de Mai, 2013 par Michael Hampton
Afficher 4 autres commentaires

1voto

ewwhite avatar
ewwhite Points 193555

C'est comme ça que c'est censé fonctionner.

Usted CAN empêcher ou restreindre l'accès à la racine, cependant. Je travaille avec des systèmes de santé et je suis soumis à toutes sortes de tâches de réglementation et de conformité. Nos auditeurs sont satisfaits de l'authentification LDAP, mais ils préfèrent que nous activions l'option accès sudo pour gérer les utilisateurs réguliers qui peuvent avoir besoin de privilèges d'escalade root à l'occasion.

Répondu el 8 de Mai, 2013 par ewwhite (193555 Points )

0 votes

Avatar de Steven

Il semble donc que ce soit la seule solution dans notre cas. Merci pour votre contribution. Je vais continuer à faire un peu plus de recherche et poster une mise à jour si je trouve quelque chose.

Commenté el 8 de Mai, 2013 par Steven

1voto

Steven avatar
Steven Points 63

Mon collègue a pu trouver une solution au problème de l'accès de l'utilisateur root aux comptes utilisateurs LDAP sans mot de passe. Il existe un paramètre dans /etc/pam.d/su appelé pam_rootok.so . Cela doit être commenté par # . Après avoir commenté cet élément, root sera invité à saisir le mot de passe de l'utilisateur lorsqu'il tentera de se connecter à lui.

Répondu el 15 de Mai, 2013 par Steven (63 Points )

2 votes

Avatar de Michael Hampton

Ce n'est pas infaillible ; il est assez trivial d'utiliser un fichier su ou équivalent qui ne s'embarrasse pas de PAM et qui utilise donc la sémantique originale, ou simplement écrire un bout de code C trivial qui appelle setuid() y luego fork() s un Shell. Sans oublier que root peut simplement éditer /etc/pam.d/su et rétablir cette ligne.

Commenté el 15 de Mai, 2013 par Michael Hampton

0 votes

Avatar de Steven

J'ai également pensé à cela après coup, il semble donc que l'utilisation de sudo soit toujours la plus sûre dans notre scénario puisque rien n'empêche vraiment root de rééditer le paramètre...

Commenté el 15 de Mai, 2013 par Steven

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X