pam – FreeIPA:阻止本地root访问用户帐户
发布时间:2021-03-16 12:25:02 所属栏目:Linux 来源:Managing access to multiple li
导读:在提出这个问题之后,我一直在试用FreeIPA作为基于这个问题的中央认证来源: Managing access to multiple linux system 我遇到的一个问题是,如果为用户提供本地root权限,他们可以依次登录FreeIPA目录中的任何用户.即使该用户无法通过HBAC规则访问该特定计
|
在提出这个问题之后,我一直在试用FreeIPA作为基于这个问题的中央认证来源: Managing access to multiple linux system 我遇到的一个问题是,如果为用户提供本地root权限,他们可以依次登录FreeIPA目录中的任何用户.即使该用户无法通过HBAC规则访问该特定计算机. 示例场景: > FreeIPA客户机PC1. 我能找到的唯一信息是在/etc/pam.d/su中注释掉这一行: auth sufficient pam_rootok.so 现在,如果他试图:su alice,请求本地root用于Alice的密码 但是,如果Bob具有root访问权限,则可以轻松启用上述PAM / su行. FreeIPA是否应该阻止Alice的帐户访问PC1,无论是通过直接登录尝试还是本地root suing?如何防止本地root作为任何FreeIPA用户登录? 解决方法我将其归类为Linux“客户端”系统与FreeIPA之间的“安全漏洞”.虽然不一定是“bug”,但它将本地root帐户的能力扩展到超出本地O / S实例的能力(它应该“不应该”).这个问题是关于UNIX及其工作原理的重复陈述是不正确的.虽然“root”帐户能够创建任何帐户ID的本地化版本并且能够创建“su”,但使用FreeIPA允许本地root帐户获取和访问本地实例外部存在的资源(尽管已经特别配置)不是’可用它’. 这是FreeIPA实施的一个问题,允许本地“root”帐户逃避其边界…… (编辑:温州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
