堡垒机是为了监控管理员行为,那谁来监控运维堡垒机的管理员

2021-04-13 16:14:14 +08:00
 opentrade
7997 次点击
所在节点    DevOps
55 条回复
xinshoushanglu
2021-04-13 19:24:36 +08:00
循环监控,形成一个死锁。。。
Rocinante
2021-04-13 19:32:12 +08:00
监控监控人员的监控
监控监控人员的监控的监控
0312birdzhang
2021-04-13 19:54:09 +08:00
自然是 skynet 了(狗头
akira
2021-04-13 20:07:31 +08:00
不用监控啊,出问题他负责就可以了啊
hunk
2021-04-13 20:40:00 +08:00
堡垒机的目的不是监控,更多是回溯问题吧。
思考角度错了,就钻牛角尖了。
Te11UA
2021-04-13 21:11:11 +08:00
三权分立
cjpjxjx
2021-04-13 21:54:20 +08:00
@cpstar 然后后面的人输入密码时长按删除键
twl007
2021-04-13 22:12:02 +08:00
系统设计上都是权限分开的 admin 可以分配 audit 得 role adit 可以看到所有操作 但是没办法给配 role 互相牵制了 一般 audit 的日志是不可清理的
tomychen
2021-04-13 22:37:24 +08:00
终于看到有人提到三权分立了

但是目前的堡垒机和操作系统都没有做这个设计

包括操作系统的 root 还是为所欲为

堡垒机的 admin 也是为所欲为

selinux 勉强算能实现么?

或者分别再建 3 个用户 admin ops audit,然后 root 的密码随机到 18 位,每个用户(组)切走 6 位
saytesnake
2021-04-13 22:48:56 +08:00
零信任部署一下玩玩不就知道了么。

https://zero.pritunl.com/
littiefish
2021-04-13 22:58:21 +08:00
@purensong 分立?哪知道最后强强联合,变成了三座大山。
proxychains
2021-04-13 23:34:51 +08:00
如何确保根证书是可信的
no1xsyzy
2021-04-14 09:45:43 +08:00
@tomychen 我倒是见过最关键的密码需要两名管理人员到场,一人输入一半的操作
checkzhzzzzz
2021-04-14 09:50:55 +08:00
三员设计
系统设计时采用了系统管理员、安全保密管理员、安全审计管理员三员分立,分别负责系统的运行、安全保密和安全审计工作。三员权限划分如下:

系统管理员
负责系统的日常运行维护工作
负责系统用户创建、用户删除

安全保密管理员
负责系统的日常安全保密管理工作
负责系统用户修改、用户密码重置、用户停启
负责系统用户的角色分配、角色的功能资源分配
负责管理与审查系统用户及安全审计管理员的操作日志

安全审计管理员
负责对系统管理员和安全保密管理员的日常操作行为进行审计跟踪分析和监督检查
审计管理员禁止访问管理平台安装的系统文件和直接访问数据库
禁止执行其它项目管理平台管理工作
dengshen
2021-04-14 10:16:42 +08:00
@no1xsyzy 又出现一个问题,谁设置的全部秘密呢?老板?
no1xsyzy
2021-04-14 10:44:58 +08:00
@dengshen 设置的时候就是这两名管理人员分别输入一半
不存在实质意义上的 “老板” 这样一个人。
cnevil
2021-04-14 10:49:01 +08:00
账户分三员
现在很多安全设备或者涉密的设备 /系统都会有这样要求
deviluser
2021-04-14 11:05:40 +08:00
我记得等保里面有个评分项就是对运维的审批和签批
RRRoger
2021-04-14 11:12:23 +08:00
去中心化
opentrade
2021-04-14 11:22:32 +08:00
@no1xsyzy 然后一个人操作,一个人录像?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/770369

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX