您是否认为实施允许管理员用户绕过密码以其他用户身份登录的一种好习惯?这可以通过主密码或用户管理内的功能“以该用户身份登录”来实现。
例如,管理员正在要求一种这样的功能,以便能够尝试重现所报告的问题或检查授予是否正常。
您是否认为实施允许管理员用户绕过密码以其他用户身份登录的一种好习惯?这可以通过主密码或用户管理内的功能“以该用户身份登录”来实现。
例如,管理员正在要求一种这样的功能,以便能够尝试重现所报告的问题或检查授予是否正常。
Answers:
一点都不。这违反了职责分工。
这也导致依赖日志显示用户操作的麻烦。
如果您确实需要检查类似的事情,管理员还应该拥有一个与用户一样设置的虚拟测试帐户。这样,他们可以先确认授予等,然后才能在测试用户上正常工作。
顺便说一句,管理员用户不应该总是被赋予用户所有的权限。例如,用户可能有正当理由查看系统中的信用卡号。管理员不应该;这些数据不是他们工作的一部分。再一次,这归结为职责分工。
通过最小化不适当权利的授予来最大程度地减少曝光。这也应包括管理员...
与往常一样,这取决于。没有简单的答案,并且在实践中都使用了这两种系统(例如,Windows:Admin不能以用户身份登录而不重置密码,而Linux:Admin可以以本地用户身份使用su
)。
显然,没有让管理员身份登录其他用户是更安全的选择,所以你必须决定是否额外的舒适性(能只出现某个用户调试问题)大于风险。如果您决定实施此选项,请确保进行严格的日志记录,以使管理员(或拥有管理员密码的人)无法隐藏其踪迹。
或者,您可以使用Windows使用的模式:管理员不能以其他用户身份登录,但是管理员可以重置用户密码。这样,管理员可以获得访问权限,但用户将始终知道有人访问了他的帐户。
sudo
不会以本地用户身份登录,而只是以该用户身份运行一个进程(la Window的“以用户身份运行”)。要以本地用户身份登录,请使用su
。否则,我同意。
sudo -i
。
是的,这样的功能可能会出现问题,但有时没有其他方法,因此可能有必要。
一些例子:
su - <username>
,其结果与该用户登录时的结果相同,但无需root用户密码)如前所述,如果复杂的设置取决于登录的用户(应用程序中的环境变量,路径,个人设置),则通常没有其他实用的方法可以调试用户的问题。
至于记录/审核:当然应该记录此功能的使用。除此之外,您还必须信任您的管理员不要滥用它。但这通常对管理员有效。
如果您需要进一步限制管理员,则需要某种MAC(强制性访问控制)系统,并带有“ true”管理员。这是可能的,但要复杂得多,所以这是一个折衷。