슈퍼유저(일반 슈퍼유저 계정)를 비활성화하여 직접 로그인하세요. 다른 사용자(Sudo 액세스 권한 없음)는 슈퍼유저로 전환해야 합니다.

슈퍼유저(일반 슈퍼유저 계정)를 비활성화하여 직접 로그인하세요. 다른 사용자(Sudo 액세스 권한 없음)는 슈퍼유저로 전환해야 합니다.

sudo 액세스 권한이 있는 공개 수퍼유저 계정("cmn_usr")과 sudo 액세스 권한이 없는 별도의 일반 사용자 계정("nml_usr")이 있습니다. 현재 일반 사용자는 슈퍼유저("cmn_usr")로 직접 로그인하거나 슈퍼유저("cmn_usr")로 전환할 수 있습니다. 보안상의 이유로 우리는 슈퍼유저("cmn_usr")에 대한 직접 로그인을 비활성화하고 필요할 경우 일반 사용자("nml_usr")가 이 로그인으로 전환할 수 있도록 허용하면서 보호해야 합니다.

온라인에서 가능한 솔루션을 조사했지만 우리 조직의 IT 보안 모범 사례를 충족하는 솔루션은 없는 것 같았습니다. 사용자 전환을 촉진하면서 권한 있는 계정에 대한 직접 로그인을 비활성화하는 것에 대한 유사한 질문이 여기에서 IT 승인 답변으로 해결된 경우 중복된 점에 대해 사과드리며 안내해 주시면 감사하겠습니다.

매우 감사합니다. 하리하라 술탄 C

답변1

sudo그것은 당신의 해결책 sudo su이 아닙니다.

sudo 액세스 권한이 있는 공개 수퍼유저 계정("cmn_usr")과 sudo 액세스 권한이 없는 별도의 일반 사용자 계정("nml_usr")이 있습니다.

올바른 보안을 위해 "cmn_usr" 계정을 공유하면 안 됩니다. 이렇게 하면 작업에 대한 감사 가능한 로그가 없습니다. 각 관리자에게 자신의 로그인 정보를 제공하십시오.

현재 일반 사용자는 슈퍼유저("cmn_usr")로 직접 로그인할 수 있습니다.

위에서 언급했듯이 이는 보안 문제여야 합니다.

보안상의 이유로 우리는 슈퍼유저("cmn_usr")에 대한 직접 로그인을 비활성화하고 필요할 경우 일반 사용자("nml_usr")가 이 로그인으로 전환할 수 있도록 허용하면서 보호해야 합니다.

귀하가 제안하는 해결책은 권한 있는 작업을 수행하기 위해 루트가 될 수 있도록 "nml_usr" 계정(단일 계정이 아니라 컬렉션이었으면 좋겠습니다)을 "cnm_usr"로 요구하는 것입니다. 이상한 것 같습니다.

먼저 사용을 중지합니다 su. 대상 사용자의 셸을 조사합니다. 올바르게 비활성화했기 때문에 유용한 작업을 수행할 수 없습니다.

일반 사용자를 허용합니다 sudo -u cmn_usr -s. 그런 다음 "cmn_usr" 을 허용하십시오 sudo -s. 요구 조건을 충족하다.

그런데 왜 당신이 허용한 "nml_usr" 계정 세트를 그냥 sudo {privileged action}사용할 수 없는지 아직도 이해가 되지 않습니다. 누가(어떤 사용자 계정) 무엇을("권한 있는 작업") 수행했는지에 대한 감사 가능한 항목이 로그에 표시됩니다.

관련 정보