所以在问了这个问题之后,我一直在测试 FreeIPA 作为基于这个问题的中央认证源:管理对多个 linux 系统的访问
我遇到的一个问题是,如果用户被授予本地 root 权限,他们又可以以 FreeIPA 目录中的任何用户身份登录。即使该用户无权通过 HBAC 规则访问该特定机器。
示例场景:
我能找到的唯一信息是在 /etc/pam.d/su 中注释掉这一行:
auth sufficient pam_rootok.so
如果他尝试以下操作,它现在会向本地 root 询问 Alice 的密码:su alice
但是,如果 Bob 具有 root 访问权限,他可以轻松启用上述 PAM/su 行。FreeIPA 不应该阻止 Alice 的帐户通过直接登录尝试或本地 root su访问 PC1吗?如何防止本地根用户以任何 FreeIPA 用户身份登录?
小智 1
我将其归类为 Linux“客户端”系统与 FreeIPA 之间关系的“安全漏洞”。虽然不一定是“错误”,但它确实将本地根帐户的能力扩展到本地操作系统实例之外(它不应该“不”)。
有关此问题全部与 UNIX 及其工作原理有关的重复说法是不正确的。尽管“root”帐户能够创建任何帐户 ID 的本地化版本并对其进行“su”,但使用 FreeIPA 允许本地 root 帐户获取和访问本地实例外部现有的资源(尽管专门配置了“不可用)。
这是 FreeIPA 实现的一个问题,允许本地“root”帐户逃脱其边界......
| 归档时间: |
|
| 查看次数: |
2727 次 |
| 最近记录: |