PCI DSS e ssh per root

Naviga le tue risposte
2

In riferimento a questo PCI DSS 2.0 e alle chiavi ssh Voglio chiedere

Questa sezione PCI è disponibile solo per singoli utenti o valida anche se un utente si connette tramite ssh a un account di root?

Preferisco ssh root @ localhost invece di sudo, perché una volta sblocchi la chiave in ssh-agent e poi puoi eseguire azioni senza password su più server.

Con sudo dovrai digitare la tua password su tutti i server, ancora e ancora (ed è la stessa cosa, perché ldap) frustrante a un tale livello che la password finirà con uno script previsto.

    
posta Gunstick 19.02.2015 - 14:37
fonte

2 risposte

2

8.2 non è un tuo problema, 8.1 lo è. Si fa riferimento in 8.2:

In addition to assigning a unique ID...

8.1 afferma:

Assign all users a unique ID before allowing them to access system components or cardholder data.

Se si accede direttamente all'account root sulla rete, non vi è alcun ID univoco coinvolto nell'accesso al sistema. I registri di controllo del sistema non forniscono alcuna correlazione tra le attività eseguite da root e il dipendente che le ha eseguite.

La maggior parte dei QSA interpreta 8.1 come non autorizzare il login di root diretto per questo motivo.

Detto questo, nulla in DSS richiede sudo di richiedere password per gli utenti autorizzati che si sono già autenticati al sistema. In base all'approvazione della tua QSA, dovresti essere in grado di utilizzare NOPASSWD: per ridurre il requisito relativo alla digitazione delle password da parte degli amministratori autorizzati.

    
risposta data 19.02.2015 - 14:50
fonte
0

Puoi fare un end-run su questo facendo impostare la tua shell su sudo root al login. Il corretto controllo consentirà il tracciamento di tutti i processi a chiunque abbia effettuato l'accesso in origine, in modo da soddisfare lo spirito del PCI (attribuzione), dandovi allo stesso tempo la comodità di root. Vedi anche link

    
risposta data 19.02.2015 - 21:08
fonte

Leggi altre domande sui tag

I processori SPARC di Sun / Oracle sono invulnerabili nel buffer degli exploit di sovraccarico? Facilità di ottenere dati sull'unità auto crittografata dal computer Windows 7/8 con blocco dello schermo