1
基于 OpenLdap 和 Sudo 的
账号集中管理系统的研究
中国广东核电集团,陈哲
摘 要:服务器管理员共同使用同一个账号,分别从不同客户端登录服务器进行操作,服务器对操作记录无登记,
一旦发生安全事件,无法追述操作人及其操作记录,追究责任困难。为此,研究 Unix/Linux 服务器系统账号集中管理技
术,加强控制,实现操作历史记录可查询,可追溯是十分必要的。本文结合中国广东核电集团有限公司(简称“中广核” )
的 unix 服务器日常运维管理的实际情况,提出利用 Openldap 和 Sudo 实现账号集中管理,建立了严密的服务器系统运维
行为的方案。
关键词:账号集中管理;日志审计;openldap;sudo
1 引言
随着集团业务不断的发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。而每个
业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统
内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展及与国际业务
接轨的需求。问题主要表现在以下几方面:
(1)大量的网络设备、 主机系统和应用系统分属不同的部门或业务系统, 认证、 授权和审计方式没有统一,
当需要同时对多个系统进行操作时,工作复杂度成倍增加;
(2)一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;
(3)各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用
户数增加,权限管理愈发复杂,系统安全难以得到充分保障;
(4)个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;
(5)随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不
影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;
对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
综上,由于缺乏统一的管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,
实质上也大大降低了业务系统的安全系数
[1]。
2 中广核 Unix 服务器账号集中管理系统的研究
2.1 中广核集团的 Unix 服务器账号管理现状
当前,中广核集团的 Unix 服务器账号管理,是由 Unix 服务器管理组成员掌握管理员账号,给负责 7*24
小时运维的监控中心分配一个最低权限的只读账号查看系统信息,服务器管理员拥有最高管理权限的 root
账号,管理员登录服务器都在集团内网下的任何一个终端可远程登录,服务器只能记录登录的终端 IP 信息,
涉及的操作人比较难查找。
当前的运维管理体系存在的一些问题:
首先,如果进行多台服务器投产变更,需要通过终端远程登录每台服务器依次输入账号密码,进行操作;
打分:
0 星