Linux: продуктивні системні адміністратори без кореня (забезпечення інтелектуальної власності)?

Чи є спосіб зробити досвідченого Linux syadmin продуктивним, не надаючи йому повного кореневого доступу?

Це питання виникає з точки зору захисту інтелектуальної власності (IP), що в моєму випадку - це повністю кодові та / або конфігураційні файли (тобто невеликі цифрові файли, які легко копіюються). Наш секретний соус зробив нас більш успішними, ніж міг би запропонувати наш маленький розмір. Так само нас один раз кусають, двічі соромляться від кількох колишніх недобросовісних працівників (а не сисадмінів), які намагалися вкрасти IP. Позиція вищого керівництва в основному полягає в тому, що "ми довіряємо людям, але з власних інтересів не можемо дозволити собі ризик надати будь-якій людині більше доступу, ніж їм абсолютно потрібно робити свою роботу".

З боку розробника порівняно легко розділити робочі процеси та рівні доступу, щоб люди могли бути продуктивними, але бачили лише те, що їм потрібно. Тільки топ-люди (фактичні власники компанії) мають можливість поєднувати всі інгредієнти та створювати спеціальний соус.

Але мені не вдалося придумати хороший спосіб зберегти цю IP-таємницю на стороні адміністратора Linux. Ми широко використовуємо GPG для кодових та чутливих текстових файлів ... але що зупиняти адміністратора (наприклад) на позов користувачеві та скакання на його tmux або GNU Screen session і бачити, що вони роблять?

(У нас також відключений доступ до Інтернету скрізь, який, можливо, може контактувати з конфіденційною інформацією. Але нічого не ідеального, і на розумних сисадмінах або помилках на стороні мережевого адміністратора можуть бути отвори. Або навіть старий хороший USB. Звичайно, існують численні інші заходи, але вони виходять за рамки цього питання.)

Найкраще, що я можу придумати, - це в основному використання персоналізованих облікових записів з sudo , подібним до того, що описано в декількох системних адміністраторах Linux, що працюють як root . Зокрема, ніхто, крім власників компанії, насправді не матиме прямого доступу до кореня. Інші адміністратори матимуть персоналізований обліковий запис та можливість вживати судовий процес у root. Крім того, було б запроваджено віддалений журнал, і журнали переходитимуть до сервера, до якого могли отримати доступ лише власники компанії. Якщо вимкнути журнал, вимкнено певні сповіщення.

Розумний системдмін, ймовірно, все ще знайде дірки в цій схемі. І це осторонь, це все ще реактивне, а не ініціативне . Проблема з нашим ІС полягає в тому, що конкуренти можуть скористатися нею дуже швидко і за дуже короткий час завдати великої шкоди.

Тому все-таки краще буде механізм, який обмежує те, що може зробити адміністратор. Але я визнаю, що це делікатний баланс (особливо з огляду на усунення несправностей та виправлення виробничих проблем, які потрібно вирішити зараз ).

Не можу не задатися питанням, як інші організації з дуже чутливими даними управляють цим питанням? Наприклад, військові системні адміністратори: як вони керують серверами та даними, не маючи змоги бачити конфіденційну інформацію?

Редагувати: У початковій публікації я мав намір попередньо звернутися до коментарів "практики найму", які починають виходити на поверхню. По-перше, це має бути технічним питанням, а практики найму ІМО, як правило, більше спрямовані на соціальні питання. Але, два, я скажу так: я вважаю, ми робимо все, що є розумним для найму людей: інтерв'ю з кількомалюди на фірмі; довідкові та контрольні перевірки; всі співробітники підписують численні юридичні документи, включаючи той, який говорить, що вони прочитали та зрозуміли наш посібник, який детально стосується ІС. Зараз це не входить до сфери цього питання / сайту, але якщо хтось може запропонувати «ідеальні» практики найму, які відфільтрують 100% поганих акторів, я все вухо. Факти: (1) Я не вірю, що існує такий ідеальний процес найму; (2) люди змінюються - сьогодні ангел може бути завтрашнім дияволом; (3) спроба викрадення коду виглядає дещо звичною у цій галузі.

Те, про що ви говорите, відоме як ризик "Злий Сисадмін". Довгий і короткий він:

• Сисадмін - це той, хто має підвищені привілеї
• Технічно вмілий, до такого рівня, який би зробив їх хорошим "хакером".
• Взаємодія із системами в аномальних сценаріях.

Поєднання цих речей робить по суті неможливим зупинити шкідливі дії. Навіть аудит стає важким, тому що у вас немає «нормального» для порівняння. (І, чесно кажучи - зламана система, можливо, теж зламала аудит).

Існує купа побічних заходів:

• Розмежування привілеїв - ви не можете перешкодити хлопцеві з руттю робити щось у системі. Але ви можете зробити одну команду відповідальною за мережу, а іншу, відповідальну за "операційні системи" (або Unix / Windows окремо).
• Обмежте фізичний доступ до комплекту для іншої команди, яка не має адміністраторських облікових записів ... але піклується про всю роботу "рук".
• Відокремте відповідальність "робочий стіл" та "сервер". Налаштуйте робочий стіл, щоб запобігти видаленню даних. Настільні адміністратори не мають можливості доступу до чутливих, адміністратори сервера можуть вкрасти його, але доведеться стрибати через обручі, щоб вийти з будівлі.
• Аудит до системи обмеженого доступу - syslogта аудиту рівня подій до відносно стійкої до несанкціонованої роботи системи, до якої вони не мають пільгового доступу. Але збирати його недостатньо, вам потрібно стежити за цим - і, чесно кажучи, існує купа способів "викрасти" інформацію, яка може не з’являтися на радарі аудиту. (Браконьєр проти геймерів)
• застосувати шифрування "в спокої", тому дані не зберігаються "в чистоті", а для доступу потрібна жива система. Це означає, що люди з фізичним доступом не можуть отримати доступ до системи, за якою не ведуть активний моніторинг, і що в "аномальному" сценарії, коли системний адміністратор працює над нею, дані менше піддаються впливу. (наприклад, якщо база даних не працює, дані, ймовірно, не читаються)
• Правило двох чоловіків - якщо ви все гаразд, калі ваша продуктивність покалічена, і мораль так само. (Серйозно - я бачив, що це робиться, і стійкий стан роботи та спостереження робить надзвичайно складними умови праці).
• Перевірте своїх системних адміністраторів - залежно від країни можуть існувати різні перевірки записів. (Перевірка судимості, можливо , ви навіть виявите, що можете подати заявку на підтвердження безпеки в деяких випадках, що призведе до перевірки)
• Доглядайте за вашими сисадмінами - останнє, що ви хочете зробити, - сказати людині, якій довіряють, що ви їй не довіряєте. І ви, звичайно, не хочете завдати шкоди моралі, тому що це збільшує ймовірність зловмисної поведінки (або «не зовсім недбалості, а прослизання пильності»). Але платіть відповідно до відповідальності, а також набору навичок. І врахуйте, що "перкі" - це дешевше зарплати, але, ймовірно, цінують більше. Як безкоштовна кава або піца раз на тиждень.
• і ви також можете спробувати застосувати умови контракту, щоб гальмувати це, але будьте обережні.

Але досить принципово - потрібно визнати, що це довіра, а не технічна річ. Ваші сисадміни завжди будуть для вас потенційно дуже небезпечними внаслідок цієї ідеальної бурі.

Все, що сказано дотепер, - це добрі речі, але є один "простий" нетехнічний спосіб, який допомагає заперечувати негідника-адмініструвальника - принцип чотирьох очей, який в основному вимагає наявності двох сисадмінів для будь-якого підвищеного доступу.

EDIT: Два найбільші пункти, які я бачив у коментарях, обговорюють вартість та можливість змови. Один з найбільш важливих способів, який я вважав уникнути обох цих проблем, - це використання керованої сервісної компанії, яка використовується лише для перевірки вжитих дій. Зроблено належним чином, техники не знали б один одного. Якщо припустити технічну доблесть, що MSP повинен мати, було б досить легко мати знак відхилення від вжитих дій .. можливо, навіть настільки ж просто, як так / ні для чогось нечесного.

Якщо людям справді потрібен доступ адміністратора до системи, ви можете мало що зробити, щоб обмежити їхню діяльність на цьому полі.

Більшість організацій займаються довірою, але переконайтеся, що ви можете надати людям доступ до частин системи, але ви використовуєте іменовані облікові записи адміністраторів (наприклад, ви не надаєте їм прямий доступ до root ), а потім ревізуєте свою діяльність до журналу, який вони не може заважати.

Тут є балансуючий акт; вам може знадобитися захистити свої системи, але вам потрібно довіряти людям теж робити свою роботу. Якщо раніше компанію "покусав" недобросовісний працівник, то це може підказати, що компанії, які наймають практику, в деякій мірі погані, і такі практики, ймовірно, були створені "топ-менеджерами". Довіра починається вдома; що вони роблять, щоб виправити свій вибір на роботу?

Не вкладаючи себе в божевільний технічний поворот розуму, щоб спробувати придумати спосіб надати сисадмін-силі, не даючи їм влади (це, ймовірно, можливо, але в кінцевому підсумку було б дефектом).

З точки зору ділової практики існує безліч простих рішень. Не дешеве рішення, але просте.

Ви згадали, що частини IP, які вас турбують, розділені, і лише люди вгорі мають право їх бачити. Це по суті ваша відповідь. У вас повинно бути декілька адміністраторів, і НІКОЛІ з них не повинен бути адміністратором на достатній кількості систем, щоб скласти повну картину. Вам, звичайно, знадобиться щонайменше 2 або 3 адміністратора на кожен шматок, якщо адміністратор хворий, в автокатастрофі чи щось подібне. Можливо, навіть приголомшити їх. скажімо, у вас є 4 адміністратори та 8 інформації. Адміністратор 1 може отримати доступ до систем, які мають шматки 1 і 2, адміністратор 2 може дістатись до частин 2 і 3, адміністратор 3 може дістатись до 3 і 4, а адміністратор 4 може дістатися до 4 і 1. Кожна система має адміністратора резервного копіювання, але ні Адміністратор може скомпрометувати повну картину.

Однією з методик, якою користуються і військові, є обмеження рухомих даних. У чутливій області може бути лише єдина система, здатна записати диск, або за допомогою флешки USB всі інші системи обмежені. А можливість використовувати цю систему вкрай обмежена і вимагає спеціального документального затвердження вищими вікнами, перш ніж комусь дозволяти розміщувати будь-які дані про що-небудь, що може призвести до розповсюдження інформації. Одночасно, ви гарантуєте, що мережевий трафік між різними системами обмежений апаратними брандмауерами. Ваші адміністратори мережі, які керують пожежними стінами, не мають доступу до систем, які вони маршрутизують, тому вони не можуть спеціально отримати доступ до інформації, а адміністратори вашого сервера / робочої станції гарантують, що всі дані до системи та з неї налаштовані для шифрування,

Усі ноутбуки / робочі станції повинні мати зашифровані жорсткі диски, і кожен працівник повинен мати особистий шафку, від якої потрібно заблокувати диски / ноутбуки наприкінці ночі, щоб ніхто не прийшов рано / пізно пішов і не отримав доступ до чогось вони не повинні.

Кожен сервер повинен принаймні знаходитись у власній заблокованій стійці, якщо не у власній заблокованій кімнаті, щоб тільки адміністратори, відповідальні за кожен сервер, мали доступ до нього, оскільки наприкінці дня фізичний доступ козирує всіх.

Далі є практика, яка може або нашкодити / допомогти. Обмежені договори. Якщо ви думаєте, що можете заплатити достатньо, щоб продовжувати приваблювати нові таланти, можливість лише тримати кожного адміністратора за попередньо визначений час (IE 6 місяців, 1 рік, 2 роки) дозволить вам обмежити, скільки часу у когось буде щоб спробувати зібрати всі частини вашого IP-адреси.

Мій особистий дизайн буде чимось узгоджувати ... Розподіліть ваші дані на скільки завгодно деталей, скажімо, задля того, щоб мати число 8, у вас є 8 git-серверів, кожен зі своїм набором зайвого обладнання, кожен адміністратором якого інший набір адміністраторів.

Зашифровані файли для всіх робочих станцій, які торкаються IP-адреси. зі специфічним каталогом "проект" на диску, який є єдиним користувачем каталогу, дозволяється розміщувати свої проекти. В кінці кожної ночі від них потрібно санатизувати свої каталоги проектів захищеним інструментом видалення, потім видаляються жорсткі диски і замкнений (просто для безпеки).

Кожен біт проекту має іншого адміністратора, призначеного для нього, тому користувач буде взаємодіяти лише з адміністратором робочої станції, якому він призначений, якщо призначення проекту змінюється, їх дані стираються, їм призначається новий адміністратор. Їх системи не повинні мати можливості запису, і вони повинні використовувати програму захисту для запобігання використанню флеш-накопичувачів USB для передачі даних без дозволу.

візьміть із цього те, що будете.

Це було б подібним завданням, як найняти двірника для будівлі. Двірник має всі ключі, може відкрити будь-які двері, але причина полягає в тому, що двірник потребує їх, щоб виконати цю роботу. Те саме з системними адміністраторами. Симетрично можна подумати над цією віковою проблемою і подивитися на способи, яким довіра надається історично.

Хоча технічного рішення чітко не існує, той факт, що його немає, не повинно бути причиною того, що ми не намагаємось, а агрегація недосконалих рішень може дати дещо чудові результати.

Модель, де заслуговує довіра :

• Дайте менше дозволів для початку
• Поступово збільшуйте дозволи
• Поставте медовий горщик і стежте за тим, що буде в найближчі дні
• Якщо sysadmin повідомляє про це замість того, щоб намагатися зловживати цим, це хороший початок

Впровадити кілька рівнів адміністративних повноважень :

• Рівень 1: Може змінювати нижній рівень файлів конфігурації
• Рівень 2: Може змінювати трохи більш високий рівень файлів конфігурації
• Рівень 3: Може змінювати трохи більш високий рівень файлів конфігурації та налаштувань ОС

Завжди створюйте середовище, коли повний доступ однієї людини неможливий :

• Спліт-системи в кластерах
• Надайте адміністратору кластер повноваження різним групам
• Мінімум 2 групи

Використовуйте правило "Дві людини", коли вносите зміни до ядра високого рівня :

• https://en.wikipedia.org/wiki/Two-man_rule
• Потрібні адміністратори з cluster1 та cluster2 для основних змін

Довіряйте та підтверджуйте :

• Пропишіть все
• Моніторинг журналу та оповіщення
• Переконайтеся, що всі дії відрізняються

Паперова робота :

• Запропонуйте їм підписати документи, щоб юридична система змогла допомогти вам, подавши в суд, якщо вони заподіюють вам шкоду, це дає більше стимулів не робити цього

Дуже важко захистити хостів від тих, хто має адміністративний доступ. У той час як такі інструменти, як PowerBroker намагаються це зробити, вартість додає і те, що інше, що може зламати І додає бар'єри для спроб виправити це. Ваша готовність системи БУДЕ падіння , коли ви реалізуєте що - щось на зразок цього так встановити , що очікування рано , так як вартість захисту речей.

Інша можливість полягає в тому, щоб перевірити, чи може ваш додаток працювати на одноразових хостах через хмарного постачальника або в приватній хмарі, що розміщена на локальному рівні. Коли один зламається, замість того, щоб відправляти адміністратора, щоб виправити його, ви викидаєте його та автоматично будуєте заміну. Для того, щоб запустити цю модель у цю модель, буде потрібно багато роботи, але це може вирішити багато оперативних та безпекових проблем. Якщо це зроблено неякісно, ​​це може створити значні проблеми із безпекою, тому скористайтеся досвідченою допомогою, якщо ви підете цим маршрутом.

Це ваше основне обговорення: https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

Ви поділяєте свою відповідальність, маючи інженерів з безпеки, завдання яких - робити конфігурації системи та встановлювати їх, але вони не отримують ніяких облікових даних або доступу до машин у виробництві. Вони також управляють вашою аудиторською інфраструктурою.

У вас є адміністратори виробництва, які отримують системи, але не мають ключів для завантаження машини без активної політики SELinux. Безпека не отримує ключі для розшифровки чутливих даних, що зберігаються в стані спокою на диску, коли вони отримують несправну машину, витягнуту з обслуговування.

Скористайтеся централізованою системою аутентифікації з сильним аудитом, як Vault, і скористайтеся своїми криптовалютами. Роздайте пристрої Yubikey, щоб зробити клавіші абсолютно приватними та нечитабельними.

Машини або витираються при поломці, або обробляються операційними силами та безпекою разом, і якщо ви відчуваєте необхідність контролю з боку керівництва.

Адміністратори за характером роботи мають доступ до всього. Вони можуть бачити кожен файл у файловій системі з обліковими записами адміністратора. Отже, вам знадобиться спосіб шифрування файлів, щоб адміністратори не могли його бачити, але файли все ще можуть бути використані командами, які повинні їх бачити. Подивіться на Vormetric Transparent Encryption ( http://www.vormetric.com/products/transparent-encryption )

Як би це працювало, це те, що він знаходиться між файловою системою та програмами, які мають доступ до неї. Управління може створити політику, яка говорить "Тільки користувач httpd, що працює демон веб-сервера, може бачити файли незашифрованими". Тоді адміністратор зі своїми кореневими обліковими даними може спробувати прочитати файли та отримати лише зашифровану версію. Але веб-сервер і всі необхідні інструменти бачать їх незашифрованими. Він може навіть перевірити суму двійкових, щоб ускладнити адміністратору обхід.

Звичайно, ви повинні включити аудит, щоб у випадку, якщо адміністратор намагається отримати доступ до файлів, повідомлення отримує позначку, і люди знають про нього.

Єдиний практичний спосіб - обмежити, хто може робити те, що з судо. Можливо, ви також можете робити більшість того, що ви хочете, з selinux, але, ймовірно, знадобиться назавжди, щоб з'ясувати правильну конфігурацію, яка може зробити це непрактичним.

Угоди про нерозголошення. Наймайте сисадміна, вони повинні підписати НДА, якщо вони порушують обіцянку, віднесіть їх до суду. Це може не заважати їм красти секрети, але будь-які збитки, завдані ними, підлягають стягненню в суді.

Військові та урядові сисадміни повинні отримувати перевірки безпеки різних ступенів залежно від того, наскільки чутливий матеріал. Ідея полягає в тому, що той, хто може отримати дозвіл, менше шансів вкрасти чи обдурити.

Ще один спосіб зменшити ризик (використовувати поруч із зазначеними раніше, а не замість них) - платити хороші гроші своїм сисадмінам. Платіть їм так добре, що вони не захочуть викрасти ваш IP-адресу та покинути вас.

Я думаю, що на це питання неможливо відповісти повністю без додаткових деталей, таких як:

Скільки сисадмінів, як ви очікуєте, залишатимуться "обмеженими"?

Що потрібно людям для "систематичного" доступу?

Перш за все, пам’ятайте, що можна зробити із судо. За допомогою sudo ви можете дозволити підвищеним дозволам виконувати лише одну команду (або варіації, як команди, які починаються з "mount -r", але інші команди заборонені). За допомогою ключів SSH ви можете призначити облікові дані, які дозволяють людині виконувати лише певну команду (наприклад, "sudo mount -r / dev / sdd0 / media / backup"). Тому існує відносно простий спосіб дозволити майже будь-кому (у кого ключ SSH) мати можливість робити якісь конкретні операції, не дозволяючи їм робити абсолютно все інше.

Речі стають трохи складнішими, якщо ви хочете, щоб технічні працівники виконували виправлення того, що порушено. Зазвичай це вимагає більшого обсягу дозволів і, можливо, доступу для запуску найрізноманітніших команд та / або запису в різні файли.

Я пропоную розглянути підхід веб-систем, таких як CPanel (який використовується багатьма провайдерами) або хмарних систем. Вони часто можуть змусити проблеми на машині згасати, роблячи всю машину. Отже, людина може мати змогу запустити команду, яка замінює машину (або відновлює машину до добре відомого зображення), не обов'язково надаючи людині доступ до читання безлічі даних або внесення невеликих змін (наприклад, поєднання незначного виправлення із введенням несанкціонованої задньої двері). Тоді вам потрібно довіряти людям, які створюють зображення, але ви зменшуєте кількість людей, яким потрібно довіряти, щоб робити дрібніші речі.

Зрештою, певна довіра повинна бути надана деякій ненульовій кількості людей, які допомагають розробити систему та працюють на найвищому рівні.

Одне, що роблять великі компанії, - це покладатися на такі речі, як SQL-сервери, які зберігають дані, доступ до яких може віддалено отримати більшу кількість машин. Тоді більша кількість технічних працівників може мати повний кореневий доступ на деяких машинах, не маючи кореневого доступу до SQL-серверів.

Інший підхід - бути занадто великим, щоб не вдатися. Не думайте, що у великих військових чи гігантських корпорацій ніколи не трапляються випадки безпеки. Однак вони знають, як:

• одужати,
• обмежити шкоду (відокремлюючи цінні речі)
• мають контрзаходи, включаючи погрози судового розгляду
• мати процеси, які допоможуть обмежити небажане потрапляння до преси, і планують, як впливати на розкручування будь-яких негативних історій, які все-таки розвиваються

Основне припущення полягає в тому, що збитки, які виникають, - це просто ризик і вартість їх ведення бізнесу. Вони розраховують продовжувати свою діяльність, і постійні розробки та вдосконалення протягом багатьох років обмежуватимуть шкоду, який може призвести до того, що один інцидент фактично вплине на їх довгострокову вартість протягом певного періоду часу.

Зробити проактивну перевірку дуже складно.

Такі рішення, як http://software.dell.com/solutions/privileged-management/ (я не працюю для Dell та інших подібних рішень доступні) є дуже ефективними у забезпеченні відповідальності за систематичну систему.

Помістіть машину кореневого адміністрування в приміщення, замкнене двома ключами, і дайте лише один для кожного з двох адміністраторів. Адміністратори завжди працюватимуть разом, спостерігаючи за діяльністю один одного. Це повинна бути єдина машина, що містить приватний ключ для входу в систему як корінь.

Деякі види діяльності можуть не потребувати кореневих прав, тому лише частина роботи потребує переходу до цієї кімнати для "парного програмування"

Ви також можете проводити відеозаписи в цій кімнаті, головним чином для того, щоб переконатися, що ніхто не працює один (що багато добре видно). Також переконайтесь, що робоче місце таке, щоб екран був легко видно обом людям (можливо, великий телевізійний екран із великими шрифтами).