Come dovrebbero essere protetti gli account con privilegi sia su Linux che su Windows?

0

Recentemente ho iniziato a lavorare sulla sicurezza delle applicazioni in una società di medie dimensioni, avendo abbandonato i 5 anni di consulenza sulla sicurezza (pentesting, ecc.). Una delle sfide più grandi che vedo fin dall'inizio è che gli scanner di sicurezza e altri strumenti usano l'accesso root / amministratore, poiché è quello che i venditori avevano detto loro di usare, molto probabilmente a causa della facilità di configurazione. Non mi piace davvero questa idea. Ad esempio, Nexpose e Nessus sono entrambi configurati per utilizzare root e Administrator.

La mia domanda: quali sono le migliori pratiche in termini di controllo dell'accesso a questi account con privilegi? Il mio pensiero iniziale è di avere un tipo di sistema di password-vault, che conosce solo le password del sistema. Quindi, un utente può "verificare" la password di root / amministratore secondo necessità "Per Nessus in particolare, solo pochi comandi vengono eseguiti come root, quindi penso che avrebbe senso solo creare un utente standard, e aggiungerlo al sudoers mentre consente solo quei comandi specifici.

    
posta appsecguy 08.07.2014 - 18:49
fonte

1 risposta

1

Per Linux, disabilitare root se non ne hai bisogno. Usa sudo con un file sudoers configurato correttamente. Ciò consente un controllo preciso su ciò che gli utenti hanno quali autorizzazioni di superutente (ad esempio, è possibile consentire solo sudo per Nessus). In alternativa, puoi impostare le autorizzazioni in modo che l'account su cui è in esecuzione Nessus disponga delle autorizzazioni per accedere alle risorse di cui ha bisogno (questo sarà più complicato, specialmente se riguarda cose come i dispositivi di rete)

Per Windows, è un po 'più complicato, ma se si configurano gli ACL correttamente, si dovrebbe essere in grado di eseguire Nessus come account di servizio (personalizzato?) che dispone delle autorizzazioni per le risorse di cui normalmente si ha bisogno (per non verrà richiesta la password).

L'idea del vault della password è pericolosa. Se ti fidi dei tuoi utenti abbastanza da dare loro una password amministratore, dovrebbero essere amministratori in primo luogo (suppongo che questo non sia il caso).

    
risposta data 08.07.2014 - 20:09
fonte