我们有一个使用我们的Active Directory设置的LDAP服务器。 当用户login到以root用户身份安装的LDAP客户机的Linux机器上时,他们可以在不需要该用户密码的情况下直接访问任何Active Directory帐户。 这是一个很大的安全风险,有谁知道这是为什么或如何防止这种情况?
不幸的是,防止根访问不是一种select,因为某些用户在某些情况下需要它。
这是标准的Unixdevise,你不能真正阻止root做任何他想做的事情。
一个更安全的devise会让用户使用sudo和sudoconfiguration来允许用户只执行他们需要执行的特定任务。 不受限制的sudo应限制在维护服务器所需的特定IT人员,而实际的root密码应保存在某个安全的地方。
这是它应该如何工作。
但是,您可以阻止或限制root访问权限。 我与医疗系统合作,并接受各种监pipe和合规任务。 我们的审计人员对LDAP身份validation感到满意,但我们更愿意启用sudo访问来处理可能需要root升级权限的常规用户。
我的同事能够find解决访问LDAP用户帐户没有密码问题的根的解决scheme。 /etc/pam.d/su中有一个名为pam_rootok.so的参数。 这需要用#注释掉。 在注释掉之后,当尝试执行su时,会提示root用户input密码。