私が参加したとき、すべてのSAはシステムのルートパスワードを記憶する必要がありました。これは面倒で(誰かが会社から離れると、すべてのサーバーにアクセスしてパスワードを変更する必要があり)、安全ではないと感じました。
最後に、sudo
アクセス権を持つ個人アカウントをプッシュするのに十分なプルを取得しました。私はスムーズな移行をしたいので、これは私の最初の計画です:
- SAがパスワードを入力せずに「承認された」コマンドを実行できるようにします。
- 他のすべてのコマンドでは、を使用するたびにパスワードが必要になります
sudo
。私はこのコマンドを監査し、必要と思われる場合は「承認済み」と定義し、セキュリティ上のリスクがある場合は実行されないようにします。
ユーザースペックは次のようになります。
%sysadmins ALL = PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su
質問:でsudo
構成PASSWD
されたコマンドが実行されたときに、どのようにして監査を行うことができますか(電子メールを使用することをお勧めしますが、ログを使用します)。