Linux：ルートのない生産的なシステム管理者（知的財産の保護）？

完全なrootアクセス権を付与せずに、ベテランのLinux syadminを生産的にする方法はありますか？

この質問は、知的財産（IP）を保護するという観点から来ています。IPは、完全にコードおよび/または構成ファイル（つまり、簡単にコピーできる小さなデジタルファイル）です。私たちの秘密のソースは、私たちの小さなサイズが示唆するよりも私たちをより成功させました。同様に、私たちは、 IPを盗もうとした数人の元悪徳従業員（システム管理者ではない）から、一度は噛まれ、二度恥ずかしがります。トップマネジメントの立場は、基本的に「私たちは人々を信頼しますが、自己利益のために、絶対に仕事をするために必要な以上のアクセスを誰かに与えるリスクは許せません。

で、開発者の側、それは人々が生産することができるように、ワークフローやアクセスレベルを分割するだけで、彼らは見るために必要なもののみを表示することは比較的簡単です。最上の人々（実際の会社の所有者）だけが、すべての材料を組み合わせて特別なソースを作成する能力を持っています。

しかし、Linux管理者側でこのIPの機密性を維持する良い方法を思い付くことができませんでした。コードと機密テキストファイルにGPGを広範囲に使用しています...しかし、管理者が（たとえば）ユーザーにsu 'し、tmuxまたはGNU Screenセッションをホッピングして、彼らが何をしているのかを見ないようにするにはどうすればよいですか？

（また、機密情報と接触する可能性のあるすべての場所でインターネットアクセスが無効になっています。しかし、完璧なものはなく、賢いシステム管理者やネットワーク管理者側のミスに穴が開いている可能性があります。もちろん他にも数多くの対策が講じられていますが、それらはこの質問の範囲を超えています。）

私が思い付くことができる最高のは、基本的にパーソナライズされたアカウントを使用しているにsudoに記載されているものと同様に、ルートとして動作する複数のLinuxシステム管理者。具体的には、会社の所有者以外には、実際には直接ルートアクセス権はありません。他の管理者は、パーソナライズされたアカウントを持ち、root にsudoする機能を持ちます。さらに、リモートロギングが開始され、ログは会社の所有者のみがアクセスできるサーバーに送信されます。ロギングがオフになると、何らかのアラートが発生します。

賢いシステム管理者は、おそらくこのスキームにいくつかの穴を見つけることができます。そして、それはさておき、それはまだ積極的ではなく反応的です。私たちのIPの問題は、競合他社が非常に迅速にIPを利用し、非常に短い順序で多くの損害を引き起こす可能性があることです。

そのため、管理者ができることを制限するメカニズムの方が良いでしょう。しかし、これは微妙なバランスであることを認識しています（特に、今すぐ解決する必要がある生産上の問題のトラブルシューティングと修正の観点から）。

非常に機密性の高いデータを持つ他の組織がこの問題をどのように管理しているのでしょうか？たとえば、軍のシステム管理者：機密情報を見ることなく、サーバーとデータをどのように管理しますか？

編集：最初の投稿で、私は表面化し始めている「雇用慣行」コメントに先手を打って対処するつもりでした。1つは、これは技術的な質問であると想定されており、雇用慣行はIMOが社会的な質問に向かっている傾向があります。しかし、2つ、私はこれを言います：私たちは人々を雇うために合理的であるすべてをしていると信じています：複数のインタビュー会社の人々; バックグラウンドおよび参照チェック。すべての従業員は、IPに関する詳細を記載したハンドブックを読んで理解したと言っているものを含め、多数の法的文書に署名しています。今、この質問/サイトの範囲外ですが、誰かが悪い俳優の100％を除外する「完璧な」雇用慣行を提案できるなら、私はすべて耳です。事実は次のとおりです。（1）完璧な採用プロセスがあるとは思わない。（2）人々は変わる-今日の天使は明日の悪魔になるかもしれない。（3）試行されたコード盗難は、この業界ではやや日常的なことのようです。

あなたが話していることは、「悪のシステム管理者」リスクとして知られています。その長短は次のとおりです。

• sysadminは、昇格された特権を持つ人です。
• 技術的に熟達していて、彼らを良い「ハッカー」にするレベルまで。
• 異常なシナリオでシステムと対話する。

これらのことの組み合わせにより、悪意のあるアクションを止めることは本質的に不可能になります。比較する「通常」がないため、監査でさえ困難になります。（率直に言って、壊れたシステムは監査も壊れている可能性があります）。

多くの緩和ステップがあります：

• 特権の分離-rootを持つ人がシステム上で何かをするのを止めることはできません。ただし、ネットワークを担当するチームと、「オペレーティングシステム」（またはUnix / Windowsを別に）を担当するチームを作成できます。
• キットへの物理的なアクセスを、管理者アカウントを取得していない別のチームに制限します...しかし、すべての「手作業」の作業は処理します。
• 「デスクトップ」と「サーバー」の責任を分離します。データの削除を禁止するようにデスクトップを構成します。デスクトップ管理者は機密情報にアクセスできず、サーバー管理者はそれを盗むことができますが、フープを飛び越えて建物の外に出る必要があります。
• 制限付きアクセスシステムへの監査- syslogおよびイベントレベルの監査、特権アクセスを持たない比較的改ざん防止システムへの監査。しかし、それを収集するだけでは十分ではありません。監視する必要があります。そして、率直に言って、監査レーダーには表示されない情報を「盗む」方法がたくさんあります。（密猟者対ゲームキーパー）
• 「保存」暗号化を適用するため、データは「平文」で保存されず、アクセスするにはライブシステムが必要です。これは、物理的にアクセスできる人はアクティブに監視されていないシステムにアクセスできないことを意味します。また、システム管理者が作業している「異常な」シナリオでは、データはあまり公開されません。（たとえば、データベースが機能していない場合、データはおそらく読み取れません）
• 二人のルール-あなたの生産性が損なわれても大丈夫なら、同様にあなたの士気。（真剣に-私はそれが行われたのを見てきました、そして、仕事と監視の永続的な状態はそれを非常に難しい労働条件にします）。
• システム管理者に問い合わせる-国によっては、さまざまなレコードチェックが存在する場合があります。（刑事レコードがチェック、あなたは可能性があるにも審査をトリガする、あなたはいくつかのケースでは、セキュリティのクリアランスのために適用することができます見つけます。）
• システム管理者の面倒を見る-あなたがしたい絶対最後のことは、あなたが彼らを信頼していないことを「信頼された」人に伝えることです。そして、あなたは確かに士気を傷つけたくありません。なぜならそれは悪意のある行動の可能性を高めるからです（または「まったくの過失ではなく、警戒の滑り」）。ただし、責任とスキルセットに応じて支払います。そして、「特典」を考えてみてください-それは給料よりも安いが、おそらくもっと価値がある。無料のコーヒー、または週に一度のピザが好きです。
• また、契約条件を適用して禁止することもできますが、上記には注意してください。

しかし、基本的には、これは技術的なものではなく、信頼できるものであることを受け入れる必要があります。この完全な嵐の結果として、システム管理者は常にあなたにとって非常に危険な可能性があります。

すべては今のところ、ここで述べた良いものですが、不正なsysの管理者を否定することができます1「簡単」非技術的な方法があります- 4目原則基本的に2つのシステム管理者が任意の高架アクセスのために存在している必要があります。

編集：私がコメントで見た2つの最大の項目は、コストと共謀の可能性について議論しています。これらの問題の両方を回避するために検討した最大の方法の1つは、実行されたアクションの検証にのみ使用されるマネージドサービス会社の使用です。適切に行われれば、技術者はお互いを知りません。MSPが持つべき技術的能力を前提とすると、実行されたアクションを承認するのは十分簡単です。

システムへの管理者アクセスが本当に必要な場合は、そのボックスでの活動を制限するためにできることはほとんどありません。

大部分の組織が行うことは信頼ですが、確認します-システムの一部へのアクセスをユーザーに許可するかもしれませんが、名前付きの管理者アカウントを使用し（たとえば、ルートへの直接アクセスを許可しない）、その後、活動をログに記録して監査します干渉することはできません。

ここにはバランスを取る行為があります。システムを保護する必要があるかもしれませんが、人々も自分の仕事をすることを信頼する必要があります。会社が以前は悪徳な従業員に「噛まれた」場合、これは企業が何らかの方法で雇用慣行が貧弱であり、それらの慣行はおそらく「トップマネージャー」によって作成されたことを示唆するかもしれません。信頼は自宅で始まります。雇用の選択肢を修正するために何をしているのでしょうか？

非常識な技術的思考に身を委ねることなく、システム管理者に権限を付与せずに権限を付与する方法を試そうと思いつきます（おそらく実行可能ですが、最終的に何らかの形で欠陥が生じます）。

ビジネス慣行の観点からは、簡単なソリューションのセットがあります。安価なソリューションではありませんが、シンプルです。

あなたが心配しているIPの断片は分割されており、最上位の人々だけがそれらを見る力を持っていると述べました。これは基本的にあなたの答えです。複数の管理者がいる必要があり、それらのどれもが全体像をまとめるのに十分なシステムの管理者であってはなりません。もちろん、管理者が病気になったり、車の事故などが起こったりした場合、少なくとも2つまたは3人の管理者が必要になります。たぶんそれらをずらします。4人の管理者と8つの情報があるとします。管理者1はピース1と2を持つシステムにアクセスでき、管理者2はピース2と3に、管理者3は3と4に、管理者4は4と1にアクセスできます。各システムにはバックアップ管理者がいますが、管理者は全体像を危うくすることができます。

軍隊が使用する1つの手法は、データの移動の制限です。デリケートな領域には、ディスクを書き込むことができる単一のシステムしか存在しない場合があります。または、USBフラッシュドライブを使用すると、他のすべてのシステムが制限されます。そして、そのシステムを使用する能力は非常に限られており、情報漏えいにつながる可能性のあるものにデータを置くことを許可される前に、上級者による特定の文書化された承認が必要です。同じトークンに沿って、異なるシステム間のネットワークトラフィックがハードウェアファイアウォールによって制限されるようにします。ファイアウォールを制御するネットワーク管理者は、ルーティングしているシステムにアクセスできないため、特に情報にアクセスすることはできません。サーバー/ワークステーション管理者は、システムとの間のすべてのデータが暗号化されるように設定されていることを確認し、

すべてのラップトップ/ワークステーションには暗号化されたハードドライブがあり、各従業員は夜遅くにドライブ/ラップトップをロックして個人がロッカーを持っている必要があります。想定されていません。

各サーバーは、少なくとも1つのロックされた部屋にある必要があります。1日の終わりには物理アクセスがすべてに勝るので、各サーバーを担当する管理者のみがアクセスできます。

次に、傷つける/助けることができるプラクティスがあります。限られた契約。新しい才能を惹きつけ続けるのに十分な支払いができると思う場合、各管理者を所定の期間（IE 6か月、1年、2年）だけ保持するオプションにより、誰かが持つ期間を制限することができますIPのすべての部分をまとめようとします。

私の個人的なデザインは次のようなものになります...データをいくつに分割しても、たとえば8台のgitサーバーがあり、それぞれが独自の冗長ハードウェアのセットを持ち、それぞれが管理している異なる管理者のセット。

IPにアクセスするすべてのワークステーションの暗号化されたハードドライブ。ユーザーがプロジェクトを置くことができる唯一のディレクトリであるドライブ上の特定の「プロジェクト」ディレクトリを使用します。毎晩の終わりに、安全な削除ツールでプロジェクトディレクトリをサナタイズする必要があります。ロックされています（安全のためだけです）。

プロジェクトの各ビットには異なる管理者が割り当てられているため、ユーザーは、割り当てられているワークステーション管理者とのみ対話します。プロジェクトの割り当てが変更され、データが消去され、新しい管理者が割り当てられます。それらのシステムには書き込み機能がなく、セキュリティプログラムを使用して、USBフラッシュドライブが許可なくデータを転送するのを防ぐ必要があります。

これからあなたがするものを取る。

それは、建物の管理人を雇うという課題に似ています。管理人はすべての鍵を手に入れ、ドアを開けることができますが、その理由は、管理人が仕事をするためにそれらを必要としているからです。システム管理者と同じです。対称的に、この古くからの問題を考え、歴史的に信頼が与えられている方法を見ることができます。

明確な技術的解決策はありませんが、何も存在しないという事実は、私たちが何も試みない理由であってはなりません。

信頼が得られるモデル：

• 最初から許可を少なくする
• 権限を徐々に増やします
• ハニーポットを入れて、今後数日で何が起こるかを監視する
• システム管理者が悪用しようとする代わりに報告する場合、それは良いスタートです

いくつかのレベルの管理権限を実装します。

• レベル1：構成ファイルの下位層を変更できます
• レベル2：構成ファイルのわずかに高い層を変更できます
• レベル3：わずかに上位の構成ファイルとOS設定を変更できます

1人のユーザーによる完全なアクセスが不可能な環境を常に作成します。

• クラスター内のシステムの分割
• さまざまなグループにクラスター管理者権限を付与する
• 最低2グループ

高レベルのコア変更を行う場合は、2人ルールを使用します。

• https://en.wikipedia.org/wiki/Two-man_rule
• コアの変更にはcluster1およびcluster2の管理者が必要です

信頼と検証：

• すべてを記録する
• ログの監視と警告
• すべてのアクションを区別できるようにします

書類：

• 彼らがあなたを傷つけた場合、法的制度があなたを助けてあなたを助けることができるように書類に署名してもらい、そうしないようにもっとインセンティブを与える

管理アクセスを持つホストに対してホストを保護することは非常に困難です。以下のようなツールもののするPowerBrokerこれを実行しようとすると、コストが破ることができる何か他のものの両方を追加されると、それを固定する試みへの障壁を追加します。お使いのシステムの可用性はWILLあなたがそうという期待が早く、物事を保護するコストとして設定されたこのような何かを実装したときにドロップします。

もう1つの可能性は、アプリがクラウドプロバイダーを介して使い捨てホストで実行できるか、ローカルでホストされるプライベートクラウドで実行できるかを確認することです。壊れた場合、それを修正するために管理者を送る代わりに、あなたはそれを捨てて、代わりを自動ビルドします。このモデルで実行するには、アプリケーション側で非常に多くの作業が必要になりますが、運用上およびセキュリティ上の多くの問題を解決できます。不十分な場合、重大なセキュリティ上の問題が発生する可能性があるため、そのルートに進んだ場合は経験豊富な支援を受けてください。

これがベースラインディスカッションです：https : //security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

システムの構成とインストールを行うことを仕事とするセキュリティエンジニアを配置することにより、責任を分担しますが、資格情報や実稼働中のマシンへのアクセス権は取得しません。また、監査インフラストラクチャも実行します。

システムを受け取っているが、SELinuxポリシーがアクティブになっていないとマシンをブートするキーを持っていない実稼働管理者がいます。セキュリティは、ディスクに保存されている機密データを復号化するためのキーを取得しません。

Vaultなどの強力な監査機能を備えた集中認証システムを使用し、暗号化操作を利用します。Yubikeyデバイスを配布して、キーを完全にプライベートで読み取り不可にします。

機械は破損時に拭き取られるか、またはオペレーションとセキュリティによって一緒に処理されます。

ジョブの性質上、管理者はすべてにアクセスできます。管理者の資格情報を使用して、ファイルシステム内のすべてのファイルを表示できます。そのため、管理者が表示できないようにファイルを暗号化する方法が必要になりますが、ファイルは表示する必要があるチームが引き続き使用できます。Vormetric Transparent Encryptionを調べてください（http://www.vormetric.com/products/transparent-encryption）

動作する方法は、ファイルシステムとそれにアクセスするアプリケーションの間に位置することです。管理は、「Webサーバーデーモンを実行しているhttpdユーザーのみが暗号化されていないファイルを表示できる」というポリシーを作成できます。次に、ルート資格情報を持つ管理者は、ファイルを読み取って、暗号化されたバージョンのみを取得しようとします。しかし、Webサーバーとそれが必要とするあらゆるツールは、それらが暗号化されていないことを認識します。バイナリをチェックサムして、管理者が回避するのを難しくすることもできます。

もちろん、管理者がファイルにアクセスしようとした場合にメッセージにフラグが付けられ、人々がそれを知っているように、監査を有効にする必要があります。

唯一の実用的な方法は、sudoで誰が何をできるかを制限することです。selinuxで必要なことのほとんどを実行することもできますが、適切な構成を把握するのにおそらく時間がかかり、実用的ではない可能性があります。

秘密保持契約。システム管理者を雇って、彼らは約束を破ったら、彼らを法廷に連れて行き、NDAに署名しなければなりません。これは、彼らが秘密を盗むのを防ぐことはできないかもしれませんが、それを行うことによって引き起こした損害は、法廷で回復可能です。

軍および政府のシステム管理者は、素材の機密性に応じて異なるグレードのセキュリティクリアランスを取得する必要があります。クリアランスを取得できる人は、盗んだりチートしたりする可能性が低いという考えです。

リスクを下げる別の方法（代わりにではなく、前述のものの隣に使用）は、システム管理者に良いお金を払うことです。彼らがあなたのIPから盗んであなたを去りたくないので、彼らに非常に良い支払いをしてください。

この質問は、次のような詳細がなければ完全に答えることができないかもしれないと考えています。

「制限付き」を維持する予定のシステム管理者は何人ですか？

人々は何をするために「sysadmin」アクセスを必要としますか？

まず第一に、sudoでできることを知っておいてください。sudoを使用すると、1つのコマンド（または「mount -r」で始まるコマンドのようなバリエーションですが、他のコマンドは許可されません）のみを実行するために、昇格されたアクセス許可を許可できます。SSHキーを使用すると、特定のコマンド（「sudo mount -r / dev / sdd0 / media / backup」など）のみを実行できるようにする資格情報を割り当てることができます。そのため、SSHキーを持っている人なら誰でも、他のすべてを絶対にやらせずに特定の操作を行えるようにする比較的簡単な方法があります。

技術者に何が壊れているかを修正してもらいたい場合、事態はもう少し難しくなります。これには通常、より多くのアクセス許可が必要になる可能性があり、おそらく、さまざまなコマンドを実行するためのアクセスや、さまざまなファイルへの書き込みが必要になります。

CPanel（多くのISPで使用されている）やクラウドベースのシステムなど、Webベースのシステムのアプローチを検討することをお勧めします。多くの場合、マシン全体を消滅させることにより、マシン上の問題を消滅させることができます。そのため、人は多くのデータの読み取りや小さな変更（小さな修正の組み合わせなど）を必ずしも行う必要なく、マシンを置き換える（またはマシンを既知の良好なイメージに復元する）コマンドを実行できる場合があります許可されていないバックドアが導入されています）。次に、画像を作成する人を信頼する必要がありますが、小さなことをするために信頼する必要がある人の数を減らしています。

ただし、最終的には、システムの設計を支援し、最高レベルで動作するゼロ以外の数人に、ある程度の信頼を提供する必要があります。

大企業が行うことの1つは、SQLサーバーのようなものに依存することです。SQLサーバーは、多数のマシンがリモートでアクセスできるデータを保存します。その後、より多くの技術者が一部のマシンで完全なルートアクセス権を持つことができますが、SQLサーバーへのルートアクセス権はありません。

別のアプローチは、大きすぎて失敗しないことです。大規模な軍隊や巨大企業が決してセキュリティ事故を起こさないとは思わないでください。ただし、次の方法を知っています。

• 回復する、
• 損傷を制限する（貴重なものを分離することにより）
• 訴訟の脅威を含む対策があります
• 新聞への望ましくない露出を制限するプロセスを持ち、発展する否定的なストーリーのスピンに影響を与える方法を計画している

基本的な想定は、発生する損害は単にビジネスを行うリスクとコストであるということです。彼らは今後も運用を続けることを期待しており、長年にわたる継続的な開発と改善により、1つのインシデントが長期間にわたって実際に長期的な価値に影響を及ぼす可能性のある損害が制限されます。

事前チェックを行うことは非常に困難です。

http://software.dell.com/solutions/privileged-management/のようなソリューション （Dellでは動作しません。他の同様のソリューションが利用可能です）は、sysadminの説明責任を実施するのに非常に効果的です。

ルート管理マシンを2つのキーでロックされた部屋に置き、2人の管理者ごとに1つだけを与えます。管理者は常に協力して、お互いの活動を観察します。これは、rootとしてログインする秘密鍵を含む唯一のマシンでなければなりません。

一部のアクティビティはルート権限を必要としない場合があるため、作業の一部のみが「ペアプログラミング」のためにその部屋に行く必要があります。

また、主に誰も一人で作業しないようにするために、その部屋でアクティビティをビデオ録画することもできます（それは簡単に見えます）。また、作業場所は、両方の人が画面を簡単に見ることができるようにしてください（おそらく、大きなフォントの大きなテレビ画面）。