안타깝게도 제가 작업하는 인프라에는 거의 새로 고쳐지지 않는 정적 루트 비밀번호가 있습니다. 따라서 퇴사하는 사람이 우리의 루트 비밀번호를 갖게 되고, 그 비밀번호는 조직 내 다른 사람에게 유출될 수 있습니다.
그렇다면 이 질문을 해결하기 위해 Linux/Unix 플랫폼에서 비밀번호 새로 고침 정책을 구현하는 가장 좋은 방법은 무엇입니까?
각 호스트에서 sudoers 파일을 수정하고 루트 비밀번호를 비활성화하는 경우 이러한 sudoers 파일을 어떻게 관리하고 모든 것을 최신 상태로 일관되게 유지합니까?
루트 키만 사용하는 경우 이러한 키를 주기적으로 보호/새로 고치려면 어떤 단계를 수행할 수 있습니까?
기본적으로 다른 사람들은 어떻게 도구를 사용하여 안전을 유지하기 위해 주기적으로 새로 고침을 수행합니까?
답변1
초점을 잘못 보신 것 같아요. 각 직원이 자신의 계정과 비밀번호를 가지고 있고 직원이 떠날 때 계정이 비활성화/파기되는 것이 가장 좋습니다(이 시점에서 루트를 비활성화할 수 있습니다). 일부 중앙 집중식 시스템을 사용하여 모든 고객의 계정을 관리하고 그룹 또는 사용자를 기반으로 각 사용자의 권한을 설정합니다.
각 호스트에서 sudoers 파일을 수정하고 루트 비밀번호를 비활성화하는 경우 이러한 sudoers 파일을 어떻게 관리하고 모든 것을 최신 상태로 일관되게 유지합니까?
LDAP와 같은 중앙 집중식 계정 관리를 사용합니다.
루트 키만 사용하는 경우 이러한 키를 주기적으로 보호/새로 고치려면 어떤 단계를 수행할 수 있습니까?
위의 방법대로 하면 굳이 그럴 필요는 없을 것 같죠?
다른 사람들은 안전을 유지하기 위해 정기적으로 새로 고침하는 도구를 어떻게 사용합니까?
특정 환경에 대한 보안 정책 작성을 시작해야 할 수도 있습니다. 일부 권장 사항은 특정 환경에 적용되지 않을 수 있습니다. 중앙 집중식 인증은 해결하는 것보다 더 많은 문제를 일으킬 수 있지만나를 위한더 똑똑한 솔루션인 것 같습니다.