我正在运行带有 GNOME 和 MATE 桌面的 Rocky Linux 8.4 工作站,但我在 CentOS 7.9 上也看到了同样的问题...
\n当我在本地显示器上登录计算机时,我可以使用控制中心应用程序执行管理用户和设置系统时间等操作(在 MATE 上,这些工具隐藏在 GNOME 的菜单中)。当我单击该工具时,我会弹出一个窗口,询问我的密码,或者在我通过身份验证之前会出现一个“解锁”按钮。这一切都有效,因为我的用户是“wheel”管理组的成员。
\n然而,当同一个用户登录到同一个桌面环境时xrdp,管理系统的能力就消失了。在某些情况下,“解锁”按钮呈灰色,而在其他情况下,当我单击工具应用程序图标时,我会在文件中收到一条消息“作为其他用户执行命令时出错:未授权” .xsession-errors。
据我了解,问题在于polkit以不同方式对待本地和远程会话,并且基本上阻止来自远程会话(例如 xrdp、vnc 等)的管理操作。这是一个痛苦,因为设置 xrdp 服务的主要原因是我可以远程管理机器!sudo我可以使用终端在某种程度上解决这个问题,但实际上我希望它只是工作\xe2\x84\xa2。
所以我的问题是 - 如何配置polkit以将管理员用户的远程会话与本地会话相同地对待?(始终假设 polkit 是我问题的根源!)
我目前每个集群(stg、prd、tst、misc)都有每个 VPC,标准集群(stg、prd)有以下子网:
VPC(stg,prd) ?10.100.0.0/16 az-1 | ?10.100.0.0/20 elb | ?10.100.16.0/20 elb-int | ?10.100.32.0/20 svc | ?10.100.48.0/20 svc | ?10.100.64.0/20 分贝 | ?10.100.80.0/20 dmz | ?10.100.96.0/20 <保留> | ? ... | ?10.1-0.240.0/20 <保留> ?10.101.0.0/16 az-2 | ?10.101.0.0/20 elb | ?10.101.16.0/20 elb-int | ?10.101.32.0/20 svc | ?10.101.48.0/20 svc | ?10.101.64.0/20 分贝 | ?10.101.80.0/20 dmz | ?10.101.96.0/20 <保留> | ? ... | ?10.101.240.0/20 <保留> ?10.102.0.0/16 az-3 ?10.102.0.0/20 elb ?10.102.16.0/20 elb-int ?10.102.32.0/20 svc ?10.102.48.0/20 svc …
让我们从设置场景开始——我是一名初级系统管理员,负责将公司过渡到“最低权限”模型。这包括从我们的用户中删除管理员权限,这些用户主要使用 Windows 10。
现在,用户(大部分)正在使用具有本地管理员权限的帐户。这显然很糟糕,我们正在努力改变它。我的 n+1 在去年进行了安全审计后提出的想法是拥有两种类型的用户:
问题出在这些老派的开发人员身上。恐怕这会变成办公室政治问题,因为失去管理员权限可能会带来一些生产力损失(尤其是对于那些经常使用特权的人),更重要的是,会带来一些挫折。
我能理解他们来自哪里。作为开发人员在同一家公司工作,我觉得本地管理员很舒服。但是,我也熟悉安全问题,并且知道在工作站上担任管理员是一个很大的禁忌。
最近,我不得不向第二种类型的用户展示我们未来的计划。毋庸置疑,“老派”小组的首席开发人员对此并不满意,他问了一个很好的问题(尽管可能是出于对这种情况的狭隘观点),我还没有解决想出一个令人满意的答案。
如果不是本地管理员的目的是为了避免恶意软件的传播或入侵者利用漏洞的能力,那么运行需要特权的程序的用户作为这个“运行身份”管理员帐户和只是执行之间是否有真正的区别?它直接在受感染文件的 cas 中使用管理员帐户吗?
首席开发人员认为,这样的政策只不过是在浪费他们的时间,因为它会导致与首先成为本地管理员完全相同的安全漏洞。
这是准确的吗?我知道“2013 年披露的 92% 的关键 Microsoft 漏洞可以通过删除管理员权限来缓解” (SANS,2016 年,引用 Avecto 研究)和其他此类断言的说法,我真的觉得成为本地管理员是确实不是一个好主意,但我们的解决方案真的更好吗?
我们计划在不久的将来对新解决方案进行试驾,以评估潜在的生产力损失并确定我们是否需要找到另一个解决方案,恐怕首席开发人员和其他人很恼火通过这个想法会故意夸大其挫折。
sysadmin ×3
amazon-vpc ×1
centos ×1
rocky-linux ×1
security ×1
subnet ×1
vnc ×1
windows ×1
xrdp ×1