1 基于 OpenLdap 和 Sudo 的 账号集中管理系统的研究 中国广东核电集团，陈哲 摘 要：服务器管理员共同使用同一个账号，分别从不同客户端登录服务器进行操作，服务器对操作记录无登记， 一旦发生安全事件，无法追述操作人及其操作记录，追究责任困难。为此，研究 Unix/Linux 服务器系统账号集中管理技 术，加强控制，实现操作历史记录可查询，可追溯是十分必要的。本文结合中国广东核电集团有限公司（简称“中广核” ） 的 unix 服务器日常运维管理的实际情况，提出利用 Openldap 和 Sudo 实现账号集中管理，建立了严密的服务器系统运维 行为的方案。 关键词：账号集中管理；日志审计；openldap；sudo 1 引言 随着集团业务不断的发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个 业务网系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立的以日志形式审计操作者在系统 内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展及与国际业务 接轨的需求。问题主要表现在以下几方面： (1)大量的网络设备、 主机系统和应用系统分属不同的部门或业务系统， 认证、 授权和审计方式没有统一， 当需要同时对多个系统进行操作时，工作复杂度成倍增加； (2)一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知； (3)各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用 户数增加，权限管理愈发复杂，系统安全难以得到充分保障； (4)个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者； (5)随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不 影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的威胁； 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。 综上，由于缺乏统一的管理平台，加重了系统管理人员工作负担，同时，因各业务系统安全策略不一致， 实质上也大大降低了业务系统的安全系数 [1]。 2 中广核 Unix 服务器账号集中管理系统的研究 2.1 中广核集团的 Unix 服务器账号管理现状 当前，中广核集团的 Unix 服务器账号管理，是由 Unix 服务器管理组成员掌握管理员账号，给负责 7*24 小时运维的监控中心分配一个最低权限的只读账号查看系统信息，服务器管理员拥有最高管理权限的 root 账号，管理员登录服务器都在集团内网下的任何一个终端可远程登录，服务器只能记录登录的终端 IP 信息， 涉及的操作人比较难查找。 当前的运维管理体系存在的一些问题： 首先，如果进行多台服务器投产变更，需要通过终端远程登录每台服务器依次输入账号密码，进行操作；