V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zhoudaiyu
V2EX  ›  问与答

如何防止运维内部擅自修改用户密码和 ssh 秘钥?

  •  
  •   zhoudaiyu · 2020-12-11 19:18:41 +08:00 via iPhone · 1542 次点击
    这是一个创建于 1446 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近有几个人要用 root 干活,因此分了他们跳板机的 root 权限,然后拿到 root 搞了一波神操作,由于没有上云,而且机器不归我们管等种种原因,这台机器永远没法登录上去了。请问有什么技术手段或者管理制度能避免这种事情再次发生?

    14 条回复    2020-12-12 19:32:51 +08:00
    felixcode
        1
    felixcode  
       2020-12-11 19:20:49 +08:00 via Android   ❤️ 2
    要给也是给 sudo 权限,而且限定操作范围
    msg7086
        2
    msg7086  
       2020-12-11 19:25:32 +08:00 via Android   ❤️ 1
    可以开除菜鸟,换几个不会把服务器搞炸的来。
    zhoudaiyu
        3
    zhoudaiyu  
    OP
       2020-12-11 19:47:21 +08:00
    @felixcode #1 我们现在有 3 个用户和 3 个组,最低的只能看日志剩下的啥都不行,这种用户密码谁都有;中等的那个可以操作一些非系统级的中间件,非运维得申请单台机器的权限也就是密码,运维谁都可以登录;最高的是 root,非运维不分配 root,运维需要申请,而且只分配跳板机的 root 。这样看只能给中间这种用户加入 sudo 了,那这种用户权限就有点高了,非运维可能搞出事情来,感觉有点难。

    @msg7086 #2 谁都不认这个事,还没有证据
    natashahollyz
        4
    natashahollyz  
       2020-12-11 19:49:13 +08:00 via iPhone
    sudo 一个人一个号不行?
    iphoneXr
        5
    iphoneXr  
       2020-12-11 19:51:29 +08:00 via iPhone
    堡垒机不就是做审计的吗?谁干了什么一清二楚呀
    iphoneXr
        6
    iphoneXr  
       2020-12-11 19:55:02 +08:00 via iPhone
    上个 jumpserver 吧,程序用普通用户跑,谁都没有必要用到 root 了
    zhoudaiyu
        7
    zhoudaiyu  
    OP
       2020-12-11 19:56:15 +08:00
    @natashahollyz #4 运维每个人一个账号么?

    @iphoneXr #5 jumpserver ?我们用的不是这个,很 lj
    zhoudaiyu
        8
    zhoudaiyu  
    OP
       2020-12-11 19:58:54 +08:00
    @iphoneXr #6 确实准备上 jumpserver,但是有的命令确实要 root 才能操作,比如改 hosts 什么的
    felixcode
        9
    felixcode  
       2020-12-11 20:00:25 +08:00 via Android
    @zhoudaiyu
    正常都得一人一个用户,共用帐户没法做审计。用 sudo 限制进行哪些操作,谁用 sudo 运行什么命令都可以有记录。
    natashahollyz
        10
    natashahollyz  
       2020-12-11 20:00:43 +08:00 via iPad
    @zhoudaiyu 一个人一个号防止扯皮啊
    Orzldzx
        11
    Orzldzx  
       2020-12-12 01:23:43 +08:00 via Android
    jumpserver 新版里面可以做命令过滤(可以正则),只要是走 jumpserver 连过去的都可以,包括 root 账号。
    HuHui
        12
    HuHui  
       2020-12-12 12:49:48 +08:00 via iPhone
    没人心疼这台永久失联的机器吗
    zhoudaiyu
        13
    zhoudaiyu  
    OP
       2020-12-12 13:21:17 +08:00 via iPhone
    @Orzldzx 嗯,一般人通过这种过滤就可以防住了,高手除外,但是有命令录屏,到时候拿到证据直接劝退
    julyclyde
        14
    julyclyde  
       2020-12-12 19:32:51 +08:00
    改 hosts 这种操作就不应该存在,更别提授权给别人去做了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1103 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:49 · PVG 03:49 · LAX 11:49 · JFK 14:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.