두 대의 서버가 있다고 가정해 보겠습니다.ㅏ그리고두번째
ㅏ: 심각한 봉쇄. TOTP(Google Authenticator), 비밀번호 및 유효한 공개 키가 필요합니다. 서버에서는 사용자가 adm 계정(username-adm)을 사용하여 B에 로그인할 수 있습니다. 이러한 계정에는 원격 시스템에 비밀번호가 없는 sudo가 있습니다.
두번째: 여러 곳에서 로그인할 수 있으며, 비밀번호와 유효한 사용자만 필요합니다.
이제 우리는 원한다장애를 입히다adm 계정에 대한 로컬 로그인입니다. 의미 그들은할 수 없다서버 B에 로그인사용자그런 다음 전환사용자 관리자.
나는 이것을 다음과 같이 달성할 수 있다고 생각합니다(우리는 PAM과 LDAP를 사용합니다).
/etc/sudoers.d
+it-org-adm-group ALL=(ALL) NOPASSWD: ALL
/etc/security/access.d
+:@it-org-adm-group : SERVER-A-IPV4 SERVER-A-IPV6
문제는 sudo가 pam 스택을 평가한다는 것입니다!이는 로컬 로그인을 명시적으로 허용하지 않는 한 이러한 사용자에 대해 sudo가 작동하지 않음을 의미합니다.
/etc/security/access.d
+:@it-org-adm-group : SERVER-A-IPV4 SERVER-A-IPV6 LOCAL
그럼 예방할 수 있는 방법은 없을까요?특정 그룹~에서현지의로그인했지만 sudo를 허용하시겠습니까? 다른 사용자는 사용자 또는 다른 사용자를 자유롭게 전환할 수 있어야 합니다(올바른 자격 증명이 있다고 가정). PAM은 서버 제품군에 긴밀하게 통합되어 있으므로 PAM을 사용해야 합니다.