Управление идентификацией и доступом в UNIX-системах обладает своей спецификой. В этой статье продолжаем описывать сложности, с которыми сталкиваются при управлении доступом и делимся советами по их преодолению с помощью правильных практик и инструментов. Соблюдение этих рекомендаций позволит повысить безопасность, обеспечить соответствие нормативным требованиям и увеличить эффективность работы.

Частный случай с root

Возможности учетной записи root и проблемы управления ее полномочиями 

В мире UNIX существует вопрос: как управлять привилегированными УЗ. UNIX-системы имеют единую административную учетную запись под названием root. Root требуется для администрирования: от сброса пароля до установки программного обеспечения. Поэтому ‘всемогущий’ пароль от этой УЗ часто используется несколькими администраторами. Нет индивидуальной ответственности, связанной с использованием root, нет встроенной возможности наблюдать за тем, что люди делают с root, и нет возможности делегировать только необходимые возможности root для текущей работы. 
 

Админы большинства компаний совместно используют привилегированные УЗ 

Недавний опрос пользователей различных IAM-решений показал, что почти половина респондентов имеют более 100 привилегированных учетных записей (включая множество root аккаунтов) в своей организации, при этом более половины респондентов сообщили, что эти учетные записи используются более чем 10 администраторами. Две трети респондентов указали, что административный пароль (включая пароль от root) совместно используется более чем тремя администраторами. 

Один из первопроходцев технологии аутентификации в AD для UNIX сообщил, что ежемесячные расходы на управление паролями UNIX в размере 1 миллиона долларов были вдвое сокращены в течение первых месяцев после централизации всех идентификаторов UNIX в AD.

Sudo полезен для привилегированного доступа, но имеет свои ограничения 

Для решения проблем, связанных с использованием root, в средах UNIX был создан проект под названием sudo. Sudo означает ‘superuser do’ и предоставляет возможность делегировать части привилегированного доступа конкретным администраторам в зависимости от их роли, уменьшая опасность устаревшего принципа ‘все или ничего’. 
 
Sudo поставляется практически со всеми дистрибутивами Linux и коммерческих версий UNIX. Если у вас UNIX, то можно с высокой долей вероятности предположить, что вы используете sudo для управления привилегированными учетными записями. 

Однако у sudo есть некоторые ограничения: 

• Sudo необходимо устанавливать и управлять им индивидуально на каждом сервере UNIX. 
• Конфигурационный файл для делегирования полномочий root также существует независимо на каждом сервере UNIX. 
• Sudo не предоставляет возможности создания отчетов о правах, которые он контролирует. 
• Sudo не предоставляет возможностей аудита выполняемых действий.

Лишь четверть опрошенных пользователей sudo подтвердили, что возможностей sudo им достаточно для делегирования root. Оставшимся 75% опрошенных возможностей не хватает. Когда их спросили, с какими сложностями они сталкиваются с sudo, 16% сообщили, что им сложно управлять, 17% - что поддержание согласованности политики sudo на всех серверах было проблематичным, а 16% - что sudo не поможет в сборе информации для проведения аудитов безопасности и на соответствия требованиям. 

Инструменты делегирования root, заменяющие sudo 

Из-за ограничений sudo производители зачастую предлагают ему замену. Однако, исследования показывают, что очень часто администраторам для большинства серверов UNIX достаточно возможностей sudo, хотя они и хотели бы иметь более удобное и наглядное управление. Лишь небольшая часть их серверов требует возможностей делегирования, более продвинутых чем те, которые доступны через sudo. 

Многие производители решений данного класса удовлетворяют потребности только этой небольшой части серверов, предлагая только замену sudo. One Identity удовлетворяет обе потребности, обеспечивая замену sudo для тех серверов, где это необходимо, а также улучшение sudo там, где этого достаточно. Важно отметить, что решения One Identity для управления делегированием root не требует обязательного использования решения для аутентификации в Active Directory. 

One Identity предлагает полное IAM-решение для UNIX 

• IAM-решение от One Identity для UNIX состоит из 3 частей: 
• Safeguard Authentication Services – решение для аутентификации в AD для UNIX-систем 
• Safeguard for Sudo - инструмент, позволяющий организациям сохранить sudo, преодолевая ограничения данного инструмента 
• Privilege Manager for UNIX – решение для замены sudo для тех серверов, где это необходимо 

 Эти инструменты имеют единый интерфейс управления и тесно интегрированы. Safeguard for Sudo предоставляет сервер управления sudo, позволяющий централизованно управлять конфигурационными файлами политик sudo на любом количестве серверов UNIX. Аутентификация в AD средствами Safeguard Authentication Services позволяет реализовать единую точку доверия и может быть использована в sudo. Централизованное управление упрощает сбор и подготовку отчетов о правах администраторов, политиках sudo и тем кто, что и на каких серверах может делать, что является хорошим подспорьем для обеспечения безопасности и соответствия требованиям. Наконец, Safeguard for Sudo позволяет производить регистрацию нажатия клавиш, что обеспечивает ведение журнала действий администраторов с правами, предоставленными через sudo. 

 
Safeguard for Sudo идеально подходит для делегирования привилегированного доступа на большинстве UNIX-серверов в организациях, одновременно предоставляя централизованное управление как для Safeguard Authentication Services, так и для Privilege Manager for UNIX. 
 
Заключение
Проблемы в управлении идентификацией и доступом в UNIX связаны с особенностями UNIX, требующими произведения повторяющихся действий по управлению аутентификацией, авторизацией и администрированием учетными данными на каждом сервере. 
Продукты для аутентификации в AD для UNIX позволяют решить эти проблемы, но не все решения одинаковы. Safeguard Authentication Services от One Identity является наиболее надежным, гибким и мощными решением для тех организаций, которые хотят расширить возможности AD по управлению идентификацией и доступом на системы UNIX, Linux и Mac OS X.