服务器一多,就需要制定相应的策略来统一管理这些服务器账号。
主要考虑到账号安全、人事调动、人员权限的管理和控制。
转载本站文章请注明出处:黄海兵haibing.org

主要有以下几种方法:
1、跳转机
其它服务器只允许通过跳转机登录,通过控制跳转机的权限来进行控制。
比如跳转机的账号密码定期更新,发送到相关人员邮箱中。
2、堡垒机
升级版的跳转机。
有软件,也有硬件的。一般审计功能都很完善了。
3、LDAP管理
可以给不同人员分配不同账号进行管理,需要有人专门管理分配账号,人事变动后即时更改密码等。
4、一次性密码
有下面三种方法参考:
a.利用脚本定时生成密码并更改用户密码,发送新密码到相关管理员邮箱
b.用户原密码不变,利用otpw工具定期生成一次性密码列表,发送给相关管理员使用
c.使用Google身份验证器或洋葱令牌生成一次性密码使用
5、固定密码+动态码
安全性高,但需要安装插件和使用UKEY来发送动态码,可能需要找第三方开发
6、利用批量分发软件进行管理,如puppet

各公司可根据自己的环境来选择不同的策略,可互相结合,灵活使用。
转载本站文章请注明出处:黄海兵haibing.org

详细介绍:

1、跳转机
可能通过在跳转机上安装Lshell工具来达到限制用户使用目录,限制使用命令等功能。
还能记录历史命令达到审计的功能。
不过这种没办法用RDP、VNC转到WINDOWS,也没有详细的报表记录,只一个相对简单的跳转机功能。

2、堡垒机
升级版的跳转机。
有分软件和硬件。
软件类的有国外的Shell Control Box,国内的碉堡堡垒机
硬件类的就很多了,华为、华三、天融信等都有这类的产品,也叫运维审计系统。

有一款开源的跳板机(堡垒机):Jumpserver。没用过,不知道好不好用。
3、LDAP管理
可用LINUX下的openLDAP,或者直接用WIN的AD域。
我个人是推荐使用WIN的AD域来统一管理win服务器和其它各种linux/unix服务器账号。
详细设置见我另一篇文章:http://haibing.org/?p=199

 

我这里主要讲第四种方法(一次性密码)里的a、b两种的配置和使用。
觉得这两种可能会使用的比较多。

3:a 定时生成密码发送邮箱

可以共用一份邮箱列表,各服务器通过这份列表获取邮箱地址,根据不同的权限、职责,用脚本定期生成随机密码发送给不同的管理员邮箱。
有人员变动,只要维护这份邮箱列表即可。
设置一个管理用户,只有这个用户能su/sudo。
这个方法应该算是最简单的。

参考脚本范例:
#cat chpasswd.sh
#!/bin/bash
email=$mail //自己通过各自的方法去获取邮箱地址
password=$(openssl rand -base64 8|tr -d “=”)
echo $password | passwd admin –stdin > /dev/null
echo $password|mail -s “admin password” $email

crontab 设置,每天下班前修改一次密码,并把密码发送给管理员:
# crontab -l
0 18 * * * /sh/chpasswd.sh

3:b otpw的配置和使用
otpw主要有以下几个优点:

1、前缀密码+一次性随机码,相当于双重加密。就算随机码列表泄露,没有前缀密码也是无用
2、如果一次没登录成功,会启用三重随机码,要破解那是非常困难
3、用户目录下保存密码的文件可通用,适合批量部署

本文隐藏内容需付费查看, 点击文章最后链接付费查看

前往文库查看全文(文库文章最后有提供lshell的下载地址):
https://max.book118.com/html/2019/0916/5104100212002130.shtm
(只要使用游客身份扫码付款下载即可,不用注册没有其它任何手续)

1 对 “Linux服务器账号管理策略”的想法;

发表评论