Identity management pro servery

Vojta

Identity management pro servery
« kdy: 23. 10. 2014, 08:38:54 »
Ahoj, sháním radu ohledně centrálního identity managementu.

Jsem administrátorem několika linux serverů. Přístupy na server ověřuji pomocí Kerbera.
Z auditního nálezu vyplývá, že není bezpečné trvale disponovat privilegovanými účty.
Proto bych chtěl na cílových serverech přidat skupinu, jejíž členové by měli neomezený přístup definovaý v sudoers. Něco jako "%admin ALL=(ALL) ALL"
Ve výchozím stavu by měl administrátor serveru pouze základní administrativní oprávnění, například procházení logů apod. Toto by se definovalo také v sudoers.
Sháním Identity Manager s webovým rozhraním, umožňující vzdálené přiřazení uživatele do dané skupiny.
Testoval jsem například IPA server, ale ten toto patrně neumožňuje (nebo jsem nepřišel na to jak).

Jak to řešíte ve firmách vy?
Děkuji
« Poslední změna: 23. 10. 2014, 22:50:12 od Petr Krčmář »


Re:Identity Management
« Odpověď #1 kdy: 23. 10. 2014, 10:48:56 »
Proc vyzadujes webovy rozhrani? Imho by bohate stacilo dobre vymyslet politiky, podle nich nastavit prava skupinam v sudoers a pridani uzivatele do skupiny je pak jeden prikaz - nevidim moc duvod, proc mitna jeden prikaz webovy rozhrani...

P.S. osobne si myslim, ze sudo s pravama ke vsemuneresi vubec nic, ale jestli je motivaci zavdecit se auditu, tak to je pak potreba, to je jasny.

Kolemjdoucí

Re:Identity Management
« Odpověď #2 kdy: 23. 10. 2014, 12:51:25 »
Z auditního nálezu vyplývá, že není bezpečné trvale disponovat privilegovanými účty.

Jak to řešíte ve firmách vy?

Po návštěvě auditorů se vše vrací zpět jak to bylo před návštěvou :)
Schválně se zkus zeptat jak si představují administraci serverů bez práva root a budou blábolit nesmysly. Procházení logů není administrace, ale monitoring.

Standardně se to řeší tak, že heslo na root mají pouze vybraní lidé a ostatní administrátoři mají přístup k právům root přes sudoers. Motivace k tomuto počínání není bezpečnost, ale lenost měnit hesla na root pokaždé když nějaký administrátor opustí firmu.

Re:Identity Management
« Odpověď #3 kdy: 23. 10. 2014, 13:01:58 »
ale lenost měnit hesla na root pokaždé když nějaký administrátor opustí firmu.
Vy jste ještě neobjevili přihlašování certifikátem? ;)

Kolemjdoucí

Re:Identity Management
« Odpověď #4 kdy: 23. 10. 2014, 13:12:13 »
Stává se, že certifikát nelze použít a je nutno napsat heslo na root z klávesnice. Jistě na to přijdete sám kdy se tak děje.


Re:Identity Management
« Odpověď #5 kdy: 23. 10. 2014, 15:37:35 »
Stává se, že certifikát nelze použít a je nutno napsat heslo na root z klávesnice. Jistě na to přijdete sám kdy se tak děje.
Počkej, žerty stranou, to by mě fakt zajímalo, v jaké situaci nejdou použít certifikáty a zároveň jde použít sudo. Napadá mě jenom případ, že by šlo o virtuál (-> nedá se použít USB token) a nejelo tam ssh (buď schválně, nebo kvůli závadě), takže by bylo potřeba se hlásit přes KVMko do konzole.

Nebo ještě jsem slyšel historku o přístupu k systémům nejmenovaného operatárora, kde se muselo snad přes nějakou VPNku dostat na web, kde v  javě běžel KVM plugin :)

Oboje by šlo ještě řešit pomocí OTP, to by asi pořád bylo lepší než sudo.

Kolemjdoucí

Re:Identity Management
« Odpověď #6 kdy: 23. 10. 2014, 16:07:46 »
Fyzický přístup, KVM, iLO, iDRAC a virtualizační konzole.

Re:Identity Management
« Odpověď #7 kdy: 23. 10. 2014, 16:50:17 »
Fyzický přístup, KVM, iLO, iDRAC a virtualizační konzole.
No takže prostě pro případ, že nejede sshčko, páč tohle snad normálně nepoužívate, ne?

Kolemjdoucí

Re:Identity Management
« Odpověď #8 kdy: 23. 10. 2014, 17:08:32 »
No takže prostě pro případ, že nejede sshčko

Bingo

Vojta

Re:Identity Management
« Odpověď #9 kdy: 23. 10. 2014, 19:29:56 »
Webové rozhraní pro osoby, které budou mít právo udělit konkrétní práva administrátorům na určeném serveru.

Řešení, jakým jsou certifikáty, neodpovídá zadáni. Řeší jen autentizaci, kterou, jak jsem psal, řeším Kerberosem.

Upřesním, jak by mělo vypadat workflow.
1. Produkční incident/change a potřeba privilegovaného účtu na konkrétmín stroji
2. Žádost o privilegovaný účet na serveru/skupině serverů
3. Schválení žádosti o privilegovaný účet na konkrétním serveru po dobu nutnou k nápravě/úpravě
4. Nastavení oprávnění například přiřazením do skupiny
5. Po vypršení času uvedeným v žádosti, přenastavení oprávnění účtu do výchozího stavu

Aktuálně mám otestované dva produkty a ani jeden zcela neřeší mé požadavky.
Prvním je komerční PIM od CyberArk, druhým je IPA na RHEL6.


Re:Identity Management
« Odpověď #10 kdy: 23. 10. 2014, 20:10:19 »
Webové rozhraní pro osoby, které budou mít právo udělit konkrétní práva administrátorům na určeném serveru.
A ty osoby, které mají mít právo rozhodovat o přístupu k serveru neumí spustit
Kód: [Vybrat]
# ssh bigboss@server1 "usermod -Gwebadmins lojza"
a potřebují na to webové udělátko, které se zase bude muset zabezpečovat?

Řešení, jakým jsou certifikáty, neodpovídá zadáni. Řeší jen autentizaci, kterou, jak jsem psal, řeším Kerberosem.
Jasně, to byla jenom drobná offtopic konverzace s Kolemjdoucím.

j

Re:Identity management pro servery
« Odpověď #11 kdy: 24. 10. 2014, 09:35:56 »
...
Jak to řešíte ve firmách vy?
Děkuji

Mimochodem, co budes delat, kdyz se neco podela ve 3 rano? Budes cekat do rana, nez se sejde vedeni a schvali napravu? To je taky predpokladam duvod, proc chces web - nebot schvalovani provadi BFUcko, pro ktery je shell sprosty slovo? A co budes delat v situaci, kdy jedina moznost bude ke stroji fyzicky prijit? To prijde pan generalni a bude rucabo na konzoli zadavat cosi, aby moh admin stroj uvest do chodu? A zaroven to znamena, ze v dotycne firme nikdo, vcetne adminu, nema pristup k zelezu? Protoze pokud ma, tak si stejne muze delat co chce?

Ne ze bych nechapal voco go, jen se te snazim upozornit, jaky aspekty sebou administrace nese, a ze podobny zabezpecovani sebou nese i velmi neprijemne dusledky, ktere mohou firmu ve finale stat vic, nez co ji to potencielne prinese.

Re:Identity management pro servery
« Odpověď #12 kdy: 24. 10. 2014, 09:41:25 »
nebot schvalovani provadi BFUcko, pro ktery je shell sprosty slovo?
Pokud nekdo takovej ma rozhodovat o tom, jestli Franta Vomacka potrebuje nebo nepotrebuje root přístup na server db-a123b.nasefirma.cz, tak to je dost zajímavý samo o sobě :)

Genunix

Re:Identity management pro servery
« Odpověď #13 kdy: 24. 10. 2014, 10:07:28 »
Myslím, že není dostupného nic lepšího než FreeIPA :-)
U nás ve firmě to používáme pro řízení přístupu ke všem systémům.

Vojta

Re:Identity management pro servery
« Odpověď #14 kdy: 24. 10. 2014, 11:05:32 »
Citace
Mimochodem, co budes delat, kdyz se neco podela ve 3 rano?
Pokud ještě nebudu vzhůru, vzbudí mne někdo ze Service Desku. Připojím se pomocí VPN do firmy, zažádam o přístup na server, který mi následně schválí vyzvednutí roota  či jiného NPA z uložiště hesel. To je běžná praxe ve velkých firmách. Myslíte si, že administrátoři v bankách disponují privilegovanými účty bez omezení? Nikoliv.
Pokud neznáte odpověď na mou otázku, prosím neodpovídejte.