凭据、SSH 密钥、服务帐户、数字签名、文件系统等内容构成了Linux 环境的关键部分,虽然大多数PAM供应商为基于Windows的环境提供无缝的特权访问管理,但它们的通用性不足以为Linux,Unix和*nix环境扩展相同的功能和功能。
Linux 中的root权限是什么
在 Linux 环境中,root 用户是执行管理操作的超级帐户,通常被认为拥有最高权限。具有 root 访问权限的用户具有全面的管理控制,并有权访问特权文件和系统配置。
与在 Windows 环境中与基本用户共享管理员权限类似,root 权限也可以共享给 Linux 环境中的其他用户。在 Linux 环境中具有 root 权限的用户可以完全访问所有服务器和网络角落,包括命令行有限的关键数据库服务器。
在 Linux 环境中,所有用户通常都无法访问网络的这些角落,并且仅根据具体情况与用户共享。随着这些关键root特权的共享,对有限和特定用户的把关共享访问、将共享访问限制为有限的命令使用以及其他必要的长期特权减少会带来安全和操作风险。
在 Linux 环境中强制实施特权访问管理框架可以帮助管理员自动管理敏感的 Linux 资源,并简化特权共享和访问预配的过程。
在 Linux 环境中共享根权限
传统上,su(切换用户)和 sudo(切换用户和 do)是允许用户以 root 权限执行操作的 Linux 命令,su 命令允许用户在用户拥有根凭据时执行根命令。但是,sudo 命令允许用户在不使用根凭据的情况下运行根命令,sudo 通过将当前用户提升为根用户,为根升级提供了更切实的解决方案。当受特权访问管理协议约束时,可以对此类 Linux 根访问规定进行监管、自定义、审核和监视。
为什么要保护 Linux 环境
- 权限提升攻击
- 内部威胁
- 第三方供应商权限滥用
权限提升攻击
本质上,当 Linux 系统上的用户帐户用于执行根操作时,它被称为根权限提升。换句话说,root 账户可能会被滥用,以未经授权访问多个业务关键型应用程序和流程所在的敏感端点和资源。但是,通过适当的访问控制策略和工作流,管理员可以以有时间限制的方式授予并确保对此类关键系统的安全访问权限。
内部威胁
通常情况下,特权滥用攻击伪装成内部人士,这是一个快速增长的趋势,在各种规模的组织层次结构中都很明显。长期特权经常被流氓内部人员武器化,以便从内部控制整个IT生态系统。为了避免这种情况,必须为整个 Linux 网络中共享的权限定义明确的边界。这将有助于消除长期特权,从而减少潜在的流氓内部攻击。
第三方供应商权限滥用
企业 IT 团队通常与第三方组织协作,以获得由审计员、顾问、合作伙伴、维护人员甚至程序员提供的扩展业务解决方案。向此类第三方协作者提供额外的不必要的权限会导致经常被遗忘的常设权限,这种访问预配可能会导致权限滥用攻击。
如何确保Linux和Unix环境中的特权访问安全性
使用 PAM 解决方案强制实施特权访问安全例程将使 IT 管理员能够对 Linux 特权访问管理实施精细治理,以下是 Linux 特权访问管理如何帮助 IT 团队简化此例程。
- 安全帐户
- 自动远程密码重置
- 无缝权限提升
安全帐户
定期发现并载入整个企业网络中的 Linux 端点,这些机器在单个平台中集中存储和访问,从而提高了孤立的 Linux 网络中端点的可见性,然后可以根据分层需求对这些机器进行组织分组。
自动远程密码重置
载入所有终结点和关联帐户后,可以强制执行密码策略,可以根据内部安全要求使用 PAM 工具设计这些策略,这些工具还附带本机密码生成器,允许在计划和按需基础上无缝和定期轮换密码。此外,PAM 工具提供对所有与密码相关的活动的实时审核,例如密码重置、共享和签出。
无缝权限提升
- 实时 (JIT) 访问
借助任何 Linux 特权访问管理框架提供的 JIT 功能,管理员可以允许用户限时共享特权 Linux 帐户。受 JIT 访问权限的此类用户将有权访问特权 Linux 帐户的共享密码,直到规定的时间范围。对端点的访问将终止,并在所述时间到期后立即重置密码,以防止将来发生任何未经授权的访问尝试。 - 命令控制
通过命令控制,IT 管理员可以限制用户执行某些特权 SSH 命令,例如用于删除文件的 rm 命令。管理员可以指定一组可以列入允许列表的 Linux 命令,之后仅允许受此类访问限制的用户执行这些特定命令。
此外,使用命令控制,可以允许 Linux 用户根据需要以提升的权限执行此类敏感命令(如有必要),这允许非根用户帐户执行根操作,而无需实际共享根凭证。
为了在企业范围内实施此类 Linux 特权访问管理控制,组织倾向于采用 PAM 解决方案。
与 Linux 特权访问管理相关的最佳实践
- 维护 Linux 环境中所有当前活动特权帐户的全面记录,并确保在必要时定期更新该记录。
- 将您的特权 Linux 身份(如密码和 SSH 密钥)存储在使用标准化加密算法的安全保管库中。
- 通过实施严格的密码策略、强制实施定期密码重置、生成强 SSH 密钥对以及在单次使用后自动重置此类身份来保护 Linux 端点。
- 遵循最小特权原则,与第三方协作者安全地共享 Linux 环境中的所有端点、应用程序和资源,并确保立即撤销所有常设特权。
- 审核并记录在 Linux 环境中执行的每个操作,无论是用户的 SSH 会话、密码重置还是权限共享。这将帮助管理员进行损害控制和预防,并使他们能够立即执行打破玻璃的措施。
Linux 特权访问管理方案
PAM360 是一站式企业 PAM 解决方案,为有效的 Linux 特权访问管理提供中央控制台,它可帮助 IT 团队自动发现、存储、管理和审核访问特权帐户、SSH 密钥和数字证书。借助 PAM360,IT 管理员可以将 Linux 和 Unix 环境的特权访问管理的整个过程置于自动驾驶状态,并主动应对内部威胁和特权滥用攻击。