Простой способ защитить локальную сеть от несанкционированного внутреннего доступа к ресурсам
Представьте себе этот упрощенный сценарий: у малого бизнеса есть владелец, бухгалтер, системный администратор, работающий неполный рабочий день, и несколько десятков сотрудников; у компании есть полностью Linux LAN. (Большинство компьютеров работают под управлением Arch Linux. ) Не настроен внешний (WAN) доступ к LAN; Ресурсы LAN доступны только локально.
Кажется, что сегодня все работает в облаке, но я пытаюсь разобраться в этой проблеме, не принимая во внимание сложность облачных ресурсов или доступа к глобальной сети для удаленных или выезжающих сотрудников.
Цель - обеспечить безопасность ресурсы в локальной сети от неавторизованного локального доступа, особенно со стороны локальных пользователей, которые могут стать root .
В настоящее время системный администратор имеет root-доступ ко всем компьютерам. Несколько избранных сотрудников имеют права sudo на своих компьютерах. В настоящее время системный администратор может получить доступ ко всем ресурсам в локальной сети.
Теперь рассмотрим это новое требование: кроме владельца, бухгалтер - это человек, который должен иметь доступ к финансовым ресурсам компании.
Системный администратор должен иметь возможность продолжать администрировать все машины (от поддержки рабочего стола до установки операционной системы).
Как может системный администратор выполнять свою работу, соблюдая требование отсутствия доступа к хранимой финансовой информации на локальном файловом сервере, например?
Это то, что выполняют службы каталогов, такие как LDAP или FreeIPA?
Каков простой способ выполнить описанное выше требование для перегруженного и недостаточно обученного системного администратора Linux?
Если требование не может быть выполнено на 100%, какова общая практика в аналогичных компаниях?
Каков простой способ реализовать общую систему аутентификации вместе с сетевой файловой системой с шифрованием?
Некоторые из терминов, которые я видел, включают FreeIPA, NIS, NIS +, LDAP, SSSD, Kerberos и другие. Я' m не совсем ясно, как каждый из них мог бы вписаться в простое решение, требуемое в приведенном выше сценарии.
(Дополнительный вопрос: после того, как вышеуказанная цель будет достигнута, что - в очень общих чертах - нужно будет изменить, чтобы начать распространить эту авторизацию и контроль доступа на WAN / удаленных клиентов?)
Kerberos (+ LDAP) + NFS (v4) с целостностью и шифрованием, вероятно, лучший способ защитить вашу локальную сеть. Kerberos обеспечивает аутентификацию для ваших пользователей (предотвращение выдачи себя за другое лицо), централизованное управление пользователями LDAP. Kerberos также является обязательным требованием для параметров шифрования и целостности NFS.
Нельзя легко запретить системному администратору с корневым доступом получить доступ к данным, размещенным на машинах, которые они администрируют. Файлы, не зашифрованные на диске, могут быть извлечены, сетевой трафик можно перехватить, прежде чем он будет зашифрован на сервере. Если системный администратор не имеет (какого-либо) доступа к клиентской машине, шифрования данных на стороне клиента может быть достаточно.Однако любой административный доступ, скорее всего, предоставит злонамеренному системному администратору более чем достаточно возможностей для поиска способов получения доступа (кража ключей шифрования из памяти, регистратор ключей для сбора пароля шифрования и т. Д.).