Diciamo che un utente malintenzionato ottiene l'accesso sudo a un server in possesso di informazioni aziendali importanti. Quindi modifica la chiave pubblica associata all'utente Bob alla propria chiave pubblica. Rimuove tutte le prove di questa azione usando l'accesso sudo e quindi accede come Bob con la sua chiave privata. Ora connesso come Bob, fa cose brutte e questo può portare Bob nei guai.
Esistono misure di sicurezza contro questo tipo di comportamento?
Are there any safeguards against this kind of behavior?
Oltre a proteggere il server il più possibile? No. E non è nemmeno necessario cambiare le chiavi o qualsiasi altra cosa. La radice può fare tutto, anche mimando Bob senza modificare le chiavi.
Fail2ban, Snort, SeLinux, ecc. ecc. ... usali in modo appropriato.
...
Per root accessi , es. non qualche bug che permetta di fare qualcosa di specifico, e non necessariamente qualcuno al di fuori dell'azienda ... se sei molto preoccupato per il personale IT malevolo, ecc., una sorta di sistema di "peer review" potrebbe aiutare (e le telecamere, porte in acciaio, senza porte USB, senza viti, hardware autodistruggente (sì) ... beh, devi sapere quanto sono affidabili i tuoi colleghi).
Ogni macchina segnala accessi di root a un'altra macchina indipendente (prima che la persona che effettua l'accesso possa prevenirla, e se il reporting fallisce, l'accesso fallisce). E ogni accesso deve essere approvato e supervisionato da un secondo dipendente. Un accesso registrato senza due firme sul modulo significa che c'è una violazione, tutto da allora non è più affidabile.
Leggi altre domande sui tag ssh public-key-infrastructure rsa