Linux：无root的高效sysadmin（确保知识产权）？

有没有办法使经验丰富的Linux syadmin富有成效，而又没有给予他完全的root访问权限？

这个问题来自保护知识产权（IP）的角度，在我看来，它完全是代码和/或配置文件（即易于复制的小型数字文件）。我们的秘密调味料使我们比小巧的建议更成功。同样，我们曾经被一些曾经窃取知识产权的不道德的员工（不是系统管理员）一度咬伤，羞怯两次。最高管理者的立场基本上是：“我们信任人们，但是出于个人利益，不能承受给任何人提供超出其绝对需要的工作机会的风险。”

在开发人员方面，划分工作流和访问级别相对容易，这样人们可以提高工作效率，但只看到他们需要看的东西。只有高层人士（实际的公司所有者）才有能力组合所有成分并创造出特殊的酱汁。

但是我还没有找到在Linux管理员方面维护IP保密性的好方法。我们广泛使用GPG编写代码和敏感文本文件...但是，如何阻止管理员（例如）向用户起诉并跳到他们的tmux或GNU Screen会话，看看他们在做什么？

（我们在所有可能会接触敏感信息的地方都禁用了Internet访问。但是，没有什么是完美的，而且聪明的系统管理员或网络管理员方面的错误也可能存在漏洞。甚至是老式的USB。当然还有许多其他措施，但是这些措施不在本问题的范围之内。）

我能想到的最好的方法是基本上使用带有sudo的个性化帐户，类似于在多个Linux系统管理员中以root用户身份进行的描述。具体来说：除公司所有者外，没有人可以直接访问root。其他管理员将拥有一个个性化的帐户，并拥有sudo root 的能力。此外，将建立远程日志记录，并将日志记录到只有公司所有者可以访问的服务器上。看到日志记录已关闭将引发某种警报。

聪明的系统管理员可能仍会在此方案中发现一些漏洞。除此之外，它仍然是被动的而不是主动的。我们IP的问题在于，竞争对手可能很快使用它，并在很短的时间内造成很多损害。

因此，最好的办法是限制管理员可以执行的操作。但我承认，这是一个微妙的平衡（尤其是在故障诊断和修复需要的生产问题的角度来解决现在）。

我不禁想知道其他拥有非常敏感数据的组织如何解决此问题？例如，军事系统管理员：他们如何在不能够看到机密信息的情况下管理服务器和数据？

编辑：在最初的发布中，我的意思是抢先解决开始浮出水面的“招聘惯例”评论。第一，这应该是一个技术问题，而IMO的聘用做法更倾向于社会问题。但是，有两个，我要这样说：我相信我们会做一切合理的聘用工作：面试多个公司的人；背景和参考检查；所有员工都签署了许多法律文件，其中包括说他们已经阅读并理解了我们的手册，其中详细介绍了知识产权问题。现在，它不在此问题/站点的范围内，但是，如果有人可以提出“完美”的招聘做法来过滤掉100％的不良行为者，我将不知所措。事实是：（1）我认为没有如此完美的招聘流程；（2）人们改变-今天的天使可能是明天的魔鬼；（3）在这个行业中，尝试进行代码盗窃似乎有些常规。

您所说的被称为“ Evil Sysadmin”风险。它的长短是：

• 系统管理员是具有较高特权的人
• 从技术上讲，其熟练程度足以使他们成为优秀的“黑客”。
• 在异常情况下与系统交互。

这些因素的结合使阻止恶意行为成为不可能。甚至审计也变得困难，因为您没有“正常”可比。（坦率地说-损坏的系统也可能破坏了审核）。

有很多缓解措施：

• 特权分离-您不能阻止具有root权限的人在系统上执行任何操作。但是您可以让一个团队负责网络，而另一个团队负责“操作系统”（或分别为Unix / Windows）。
• 将工具包的物理访问权限限制在另一个没有管理员帐户的团队中，但是要照顾所有的“手工”工作。
• 分开“桌面”和“服务器”责任。配置桌面以禁止删除数据。桌面管理员无权访问敏感文件，服务器管理员可以窃取敏感文件，但必须跳过障碍物才能将其从建筑物中取出。
• 审核到受限访问系统- syslog以及事件级别审核，到他们没有特权访问的相对防篡改的系统。但是，仅收集信息还不够，您需要对其进行监视-坦率地说，有很多方法可以“窃取”可能不会出现在审计雷达上的信息。（偷猎者与游戏管理员）
• 应用“静态”加密，因此数据不会“明文”存储，并且需要实时系统进行访问。这意味着具有物理访问权限的人无法访问未受到主动监视的系统，并且在系统管理员正在使用“异常”场景的情况下，数据暴露的程度较低。（例如，如果数据库无法正常工作，则数据可能无法读取）
• 两人法则-如果您对生产力受到损害而没事，士气也一样。（严重的是-我已经看到了它的完成，并且持续的工作状态和被监视的状态使工作条件变得极为困难）。
• 审核您的系统管理员-根据国家/地区，可能存在各种记录检查。（刑事记录检查，您甚至可能会发现在某些情况下可以申请安全检查，这将触发审核）
• 照看您的系统管理员-您要做的绝对的最后一件事就是告诉“受信任”的人您不信任他们。而且您当然不希望损害士气，因为这会增加恶意行为的机会（或“相当大的疏忽，但保持警惕”）。但是要根据责任和技能来支付。考虑“津贴”-比薪水便宜，但可能价值更高。像免费咖啡或比萨饼每周一次。
• 并且您也可以尝试应用合同条件来禁止这种行为，但请注意上述几点。

但从根本上讲，您需要接受这是一个信任的事情，而不是技术问题。由于这场完美的风暴，您的系统管理员将永远对您非常危险。

到目前为止，这里所说的一切都是好东西，但是有一种“简单”的非技术性方法可以帮助消除恶意的系统管理员- 四眼原则，基本上需要两名系统管理员才能访问任何提升权限的系统。

编辑：我在评论中看到的两个最大项目是讨论成本和共谋的可能性。我考虑避免这两个问题的最大方法之一是使用仅用于验证所采取措施的托管服务公司。做得好，技术人员不会彼此认识。假设MSP应该具备技术实力，那么很容易就可以拒绝采取的行动。.甚至对任何邪恶的事情，只要是/否，它就很简单。

如果人们确实需要管理员对系统的访问权限，那么您几乎没有办法限制他们在该设备上的活动。

大多数组织所做的是信任，但要进行验证 -您可以使人们访问系统的各个部分，但使用命名的管理员帐户（例如，您不给他们直接访问root的权限），然后将他们的活动审核到他们的日志中不能干涉。

这里有一个平衡的行为。您可能需要保护您的系统，但是您确实需要信任人们来完成他们的工作。如果该公司以前曾被不道德的员工“咬伤”，那么这可能表明该公司的聘用做法在某种程度上很差，而这些做法大概是由“最高管理者”创造的。信任始于家庭；他们正在做什么来确定他们的雇用选择？

无需使自己陷入疯狂的技术头脑中，就可以尝试想出一种赋予sysadmin权力而不赋予他们权力的方法（这可能是可行的，但最终会在某种程度上存在缺陷）。

从业务实践的角度来看，有一组简单的解决方案。不是便宜的解决方案，而是简单。

您提到您所关注的IP内容是分散的，只有最高层的人才有权查看它们。这基本上就是您的答案。您应该有多个管理员，并且没有一个管理员可以在足够多的系统上构成完整的图片。当然，每位管理员至少需要2到3位管理员，以防管理员生病，发生车祸或其他事故。甚至错开它们。说您有4位管理员和8条信息。管理员1可以访问具有部件1和2的系统，管理员2可以访问部件2和3，管理员3可以访问部件3和4，管理员4可以访问部件4和1。每个系统都有一个备份管理员，但没有备份管理员能够妥协整个画面。

军方也使用的一种技术是移动数据的限制。在敏感区域中，可能只有一个能够刻录磁盘或使用USB闪存驱动器的系统，所有其他系统都受到限制。而且使用该系统的能力极其有限，并且在允许任何人将任何数据放到任何可能导致信息泄漏的东西上之前，都需要得到上级主管的具体书面批准。同样，您可以确保不同系统之间的网络通信受到硬件防火墙的限制。您控制防火墙的网络管理员无法访问他们要路由的系统，因此他们无法明确访问信息，并且服务器/工作站管理员确保将所有来往于系统的数据配置为加密，

所有笔记本电脑/工作站均应具有加密的硬盘驱动器，并且每位员工都应拥有一个私人储物柜，以在深夜将硬盘驱动器/笔记本电脑锁定，以确保没有人早早进入/迟到并能访问某些物品他们不应该这样做。

每个服务器至少应位于自己的上锁的机架中（如果不是自己的上锁的房间），以便只有负责每个服务器的管理员才可以访问它，因为在一天结束时，物理访问胜过一切。

接下来，有一种做法可能会有所帮助。合同有限。如果您认为自己可以支付足够的钱来吸引新的人才，则可以选择仅将每个管理员保留一段预定的时间（即6个月，1年，2年），这将使您可以限制某人的工作时间尝试将您所有的IP放在一起。

我的个人设计应遵循以下原则：将您的数据分成很多部分，可以说，为了有8个数字，您有8个git服务器，每个服务器都有自己的冗余硬件，每个都由管理员管理。一组不同的管理员。

适用于所有将要接触IP的工作站的加密hardrivs。在驱动器上具有特定的“项目”目录，这是唯一允许用户放入其项目的目录。每晚晚上，他们需要使用安全删除工具对项目目录进行清理，然后将硬盘驱动器删除并锁起来（为了安全起见）。

项目的每个位都分配有不同的管理员，因此用户只能与分配给他们的工作站管理员进行交互，如果项目分配发生更改，则数据将被擦除，他们将被分配一个新的管理员。他们的系统不应具有刻录功能，并且应使用安全程序来防止使用USB闪存驱动器未经授权而传输数据。

从中得到你的收获。

这类似于为建筑物雇用看门人的挑战。管理员将拥有所有钥匙，可以打开任何门，但是原因是管理员需要他们完成这项工作。与系统管理员相同。可以对称地想到这个古老的问题，并从历史上看待授予信任的方式。

尽管没有明确的技术解决方案，但没有解决方案的事实不应该是我们不尝试任何解决方案的原因，不完美解决方案的整合可以带来一定的效果。

获得信任的模型：

• 给予较少的权限开始
• 逐渐增加权限
• 放入蜜罐并监控未来几天会发生什么
• 如果系统管理员报告它而不是尝试滥用它，那么这是一个好的开始

实施几级行政权力：

• 级别1：可以修改较低级别的配置文件
• 级别2：可以修改稍高一点的配置文件
• 级别3：可以修改更高级别的配置文件和操作系统设置

始终创建一个不可能一个人完全访问的环境：

• 集群中的拆分系统
• 将群集管理权限授予不同的组
• 至少2组

在进行高级核心更改时，请使用“两人原则”：

• https://zh.wikipedia.org/wiki/两人制
• 需要cluster1和cluster2的管理员进行核心更改

信任并验证：

• 记录一切
• 日志监控和警报
• 确保所有动作都是可区分的

文书工作：

• 让他们签署文书以使法律制度能够在他们伤害您的情况下起诉他们，从而给您更多的动力

确保主机不受具有管理访问权限的主机的保护非常困难。尽管诸如PowerBroker之类的工具试图做到这一点，但代价是同时增加了其他可能会破坏的内容，并增加了尝试修复它的障碍。当您实施这样的事情时，系统可用性将下降，因此应尽早将期望值作为保护事物的成本。

另一种可能性是查看您的应用程序是否可以通过云提供商在一次性主机上运行或在本地托管的私有云中运行。发生故障时，您无需扔出管理员来修复它，而是将其扔掉并自动构建替代品。要使它们在此模型中运行，需要在应用程序端进行大量工作，但它可以解决许多操作和安全性问题。如果做得不好，它可能会带来一些重大的安全问题，因此，如果您这样做，将获得经验丰富的帮助。

这是您的基准讨论：https : //security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux

您可以让安全工程师来负责系统配置和安装，从而分担责任，但是他们没有凭证或无法访问生产环境中的计算机。他们还运行您的审核基础结构。

您的生产管理员可以接收系统，但没有激活SELinux策略就没有启动机器的密钥。安全性无法获得解密存储在磁盘上的敏感数据的密钥，因为它们会导致损坏的计算机退出服务。

利用具有强大审核功能的集中式身份验证系统（如保险柜），并利用其加密操作。分发Yubikey设备以使密钥绝对私有且不可读。

如果机器损坏了就擦掉，或者由操作和安全性一起处理，如果您认为需要执行人员监督。

管理员根据工作性质可以访问所有内容。他们可以使用管理员凭据查看文件系统中的每个文件。因此，您需要一种对文件进行加密的方法，以便管理员看不到它，但是应该看到该文件的团队仍可以使用这些文件。查看Vormetric透明加密（http://www.vormetric.com/products/transparent-encryption）

它的工作方式是位于文件系统和访问该文件系统的应用程序之间。管理层可以创建一个策略，指出“只有运行Webserver守护程序的httpd用户才能看到未加密的文件”。然后，具有其根凭据的管理员可以尝试读取文件，并且仅获取加密版本。但是，Web服务器及其所需的任何工具都无法对其进行加密。它甚至可以对二进制文件进行校验和，以使管理员更难解决。

当然，您应该启用审核功能，以便在管理员尝试访问文件的情况下，系统会标记出一条消息并让人们知道。

唯一实用的方法是限制谁可以使用sudo进行操作。您可能还可以使用selinux完成大部分所需的操作，但是要弄清楚可能使其不切实际的正确配置可能会花费很多时间。

保密协议。雇用系统管理员，他们必须签署一份保密协议，如果他们违背了诺言，请将其告上法庭。这可能不会阻止他们窃取秘密，但是这样做所造成的任何损害都可以在法院追回。

军事和政府系统管理员必须根据材料的敏感程度获得不同等级的安全许可。这样的想法是，能够获得许可的人不太可能偷窃或作弊。

降低风险（另一种方法，是代替前面提到的方法使用）的另一种方法是向系统管理员支付好钱。付给他们如此高的价钱，以至于他们不想从您的IP中窃取并离开您。

我认为，如果没有更多详细信息，例如：

您希望保持“受限”状态的系统管理员人数是多少？

人们需要“ sysadmin”访问权限才能做什么？

首先，请注意使用sudo可以做什么。使用sudo，您可以允许提升的权限仅运行一个命令（或变体，例如以“ mount -r”开头的命令，但不允许其他命令）。使用SSH密钥，您可以分配允许一个人仅运行特定命令的凭据（例如“ sudo mount -r / dev / sdd0 / media / backup”）。因此，有一种相对简单的方法可以允许几乎任何人（拥有SSH密钥）进行某些特定的操作，而又不让他们做任何其他事情。

如果您希望技术人员对已损坏的内容进行修复，则事情将变得更具挑战性。通常，这可能需要更高的权限，并且可能需要访问权限才能运行各种命令和/或写入各种文件。

我建议考虑使用基于Web的系统，例如CPanel（许多ISP使用）或基于云的系统。他们通常可以使整个机器消失，从而使机器出现问题。因此，一个人可能能够运行替换机器的命令（或将机器还原为已知的良好映像），而不必让该人有权读取大量数据或进行小的更改（例如合并较小的修复程序）并引入未经授权的后门）。然后，您需要信任制作图像的人，但您正在减少需要信任的人来做较小的事情。

但最终，确实需要向帮助设计系统并以最高级别运行的一些非零人数提供一定数量的信任。

大型公司要做的一件事就是依靠SQL Server之类的东西，SQL Server存储可以被大量机器远程访问的数据。这样，大量的技术人员就可以在某些计算机上具有完全root访问权限，而对SQL Server则没有root访问权限。

另一种方法是太大而不能失败。不要以为大型军队或大型公司永远不会发生安全事件。但是，他们确实知道如何：

• 恢复，
• 限制损害（通过分离有价值的东西）
• 有应对措施，包括诉讼威胁
• 制定程序以减少不必要的新闻曝光，并制定计划如何影响确实发展的负面新闻的发展

基本假设是，确实发生的损害仅仅是他们经营业务的风险和成本。他们希望能够继续运行，并且多年来的不断发展和改进将限制单个事件在一段时间内可能实际影响其长期价值的损失程度。

进行主动检查非常困难。

像http://software.dell.com/solutions/privileged-management/之类的解决方案 （我不适用于Dell，并且可以使用其他类似的解决方案）在强制执行sysadmin问责制方面非常有效。

将根管理机放入用两个钥匙锁住的房间，并为两个管理员分别提供一个。管理员将始终合作，观察彼此的活动。它应该是唯一包含私钥以root用户身份登录的机器。

有些活动可能不需要root权限，因此只需要一部分工作就可以进入那个空间进行“结对编程”

您也可以录制该房间中的活动的视频，主要是为了确保没有人独自工作（很多东西很容易看到）。另外，请确保工作地点使两个人都能轻松看到屏幕（可能是带有大字体的大电视屏幕）。