Recentemente ho iniziato a lavorare sulla sicurezza delle applicazioni in una società di medie dimensioni, avendo abbandonato i 5 anni di consulenza sulla sicurezza (pentesting, ecc.). Una delle sfide più grandi che vedo fin dall'inizio è che gli scanner di sicurezza e altri strumenti usano l'accesso root / amministratore, poiché è quello che i venditori avevano detto loro di usare, molto probabilmente a causa della facilità di configurazione. Non mi piace davvero questa idea. Ad esempio, Nexpose e Nessus sono entrambi configurati per utilizzare root e Administrator.
La mia domanda: quali sono le migliori pratiche in termini di controllo dell'accesso a questi account con privilegi? Il mio pensiero iniziale è di avere un tipo di sistema di password-vault, che conosce solo le password del sistema. Quindi, un utente può "verificare" la password di root / amministratore secondo necessità "Per Nessus in particolare, solo pochi comandi vengono eseguiti come root, quindi penso che avrebbe senso solo creare un utente standard, e aggiungerlo al sudoers mentre consente solo quei comandi specifici.