V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
opentrade
V2EX  ›  DevOps

堡垒机是为了监控管理员行为,那谁来监控运维堡垒机的管理员

  •  
  •   opentrade · 2021-04-13 16:14:14 +08:00 · 7978 次点击
    这是一个创建于 1330 天前的主题,其中的信息可能已经有所发展或是发生改变。
    55 条回复    2021-07-20 18:23:49 +08:00
    PMR
        1
    PMR  
       2021-04-13 16:16:21 +08:00 via Android
    底线和审计管理员
    doyel
        2
    doyel  
       2021-04-13 16:18:49 +08:00   ❤️ 22
    《中华人民共和国刑法》第二百八十六条
    CallMeReznov
        3
    CallMeReznov  
       2021-04-13 16:21:47 +08:00
    伪命题,堡垒机管理员直接有 ROOT 上去操就行了,根本不需要通过堡垒机.
    noelyang
        4
    noelyang  
       2021-04-13 16:22:43 +08:00   ❤️ 1
    who watches the watchmen
    holystrike
        5
    holystrike  
       2021-04-13 16:25:00 +08:00
    好比谁来监管纪委?
    magicfuzzx
        6
    magicfuzzx  
       2021-04-13 16:25:56 +08:00   ❤️ 1
    锦衣卫--东厂--西厂...
    sha851092391
        7
    sha851092391  
       2021-04-13 16:30:27 +08:00
    v 站 禁止套娃
    noahzh
        8
    noahzh  
       2021-04-13 16:31:27 +08:00
    审计人员
    echo1937
        9
    echo1937  
       2021-04-13 16:34:57 +08:00
    伪命题,核心设备的访问权限,从来不是由一个人掌握,比如财务领域的“钱账分管”。
    catchexception
        10
    catchexception  
       2021-04-13 16:35:52 +08:00
    应该靠 对 生产环境的 敬畏之心吧。
    misaka19000
        11
    misaka19000  
       2021-04-13 16:36:09 +08:00
    照你这么说机房里面的运维还能把你的物理机给砸了呢,这怎么监控
    NerverLibis
        12
    NerverLibis  
       2021-04-13 16:36:09 +08:00   ❤️ 1
    同事举报?
    参照西南交大陈玉钰,修改成绩造假保送 985 中科大,平安落地。
    教师系统的监督:父母为讲师 教授
    行政系统的监督:父母为副厅级院长
    计算机管理系统:父母开的公司外包开发的,直接上
    审计人员:教务处长是她叔,同犯
    Rworld
        13
    Rworld  
       2021-04-13 17:30:58 +08:00
    管理员相互监管
    jjianwen68
        14
    jjianwen68  
       2021-04-13 17:35:39 +08:00   ❤️ 4
    老板亲自监督,亲自负责
    cpstar
        15
    cpstar  
       2021-04-13 18:03:04 +08:00
    一人掌握密码前半段,一人掌握密码后半段。。。
    purensong
        16
    purensong  
       2021-04-13 18:10:29 +08:00
    三权分立
    lithiumii
        17
    lithiumii  
       2021-04-13 18:13:03 +08:00 via Android
    快进到老板亲自删库
    winglight2016
        18
    winglight2016  
       2021-04-13 18:25:48 +08:00
    @NerverLibis Google 了一把,真是大开眼界。。。
    weijianv2
        19
    weijianv2  
       2021-04-13 19:17:16 +08:00
    @NerverLibis 牛啊
    robertlyc
        20
    robertlyc  
       2021-04-13 19:19:52 +08:00
    who watches the watchman?
    xinshoushanglu
        21
    xinshoushanglu  
       2021-04-13 19:24:36 +08:00
    循环监控,形成一个死锁。。。
    Rocinante
        22
    Rocinante  
       2021-04-13 19:32:12 +08:00
    监控监控人员的监控
    监控监控人员的监控的监控
    0312birdzhang
        23
    0312birdzhang  
       2021-04-13 19:54:09 +08:00 via iPhone
    自然是 skynet 了(狗头
    akira
        24
    akira  
       2021-04-13 20:07:31 +08:00
    不用监控啊,出问题他负责就可以了啊
    hunk
        25
    hunk  
       2021-04-13 20:40:00 +08:00
    堡垒机的目的不是监控,更多是回溯问题吧。
    思考角度错了,就钻牛角尖了。
    Te11UA
        26
    Te11UA  
       2021-04-13 21:11:11 +08:00
    三权分立
    cjpjxjx
        27
    cjpjxjx  
       2021-04-13 21:54:20 +08:00 via iPhone
    @cpstar 然后后面的人输入密码时长按删除键
    twl007
        28
    twl007  
       2021-04-13 22:12:02 +08:00 via iPhone
    系统设计上都是权限分开的 admin 可以分配 audit 得 role adit 可以看到所有操作 但是没办法给配 role 互相牵制了 一般 audit 的日志是不可清理的
    tomychen
        29
    tomychen  
       2021-04-13 22:37:24 +08:00
    终于看到有人提到三权分立了

    但是目前的堡垒机和操作系统都没有做这个设计

    包括操作系统的 root 还是为所欲为

    堡垒机的 admin 也是为所欲为

    selinux 勉强算能实现么?

    或者分别再建 3 个用户 admin ops audit,然后 root 的密码随机到 18 位,每个用户(组)切走 6 位
    saytesnake
        30
    saytesnake  
       2021-04-13 22:48:56 +08:00
    零信任部署一下玩玩不就知道了么。

    https://zero.pritunl.com/
    littiefish
        31
    littiefish  
       2021-04-13 22:58:21 +08:00 via iPhone
    @purensong 分立?哪知道最后强强联合,变成了三座大山。
    proxychains
        32
    proxychains  
       2021-04-13 23:34:51 +08:00 via Android
    如何确保根证书是可信的
    no1xsyzy
        33
    no1xsyzy  
       2021-04-14 09:45:43 +08:00
    @tomychen 我倒是见过最关键的密码需要两名管理人员到场,一人输入一半的操作
    checkzhzzzzz
        34
    checkzhzzzzz  
       2021-04-14 09:50:55 +08:00   ❤️ 3
    三员设计
    系统设计时采用了系统管理员、安全保密管理员、安全审计管理员三员分立,分别负责系统的运行、安全保密和安全审计工作。三员权限划分如下:

    系统管理员
    负责系统的日常运行维护工作
    负责系统用户创建、用户删除

    安全保密管理员
    负责系统的日常安全保密管理工作
    负责系统用户修改、用户密码重置、用户停启
    负责系统用户的角色分配、角色的功能资源分配
    负责管理与审查系统用户及安全审计管理员的操作日志

    安全审计管理员
    负责对系统管理员和安全保密管理员的日常操作行为进行审计跟踪分析和监督检查
    审计管理员禁止访问管理平台安装的系统文件和直接访问数据库
    禁止执行其它项目管理平台管理工作
    dengshen
        35
    dengshen  
       2021-04-14 10:16:42 +08:00 via iPhone
    @no1xsyzy 又出现一个问题,谁设置的全部秘密呢?老板?
    no1xsyzy
        36
    no1xsyzy  
       2021-04-14 10:44:58 +08:00
    @dengshen 设置的时候就是这两名管理人员分别输入一半
    不存在实质意义上的 “老板” 这样一个人。
    cnevil
        37
    cnevil  
       2021-04-14 10:49:01 +08:00
    账户分三员
    现在很多安全设备或者涉密的设备 /系统都会有这样要求
    deviluser
        38
    deviluser  
       2021-04-14 11:05:40 +08:00
    我记得等保里面有个评分项就是对运维的审批和签批
    RRRoger
        39
    RRRoger  
       2021-04-14 11:12:23 +08:00
    去中心化
    opentrade
        40
    opentrade  
    OP
       2021-04-14 11:22:32 +08:00
    @no1xsyzy 然后一个人操作,一个人录像?
    no1xsyzy
        41
    no1xsyzy  
       2021-04-14 11:29:04 +08:00
    @opentrade 录像?
    不是,这个关键口令必须要两名管理人员都到场才能启用,每个人持有口令的一半,各自单独无法进入(实际上还需要一名操作员,因为两名管理人员并不熟悉操作)。
    opentrade
        42
    opentrade  
    OP
       2021-04-14 11:35:43 +08:00
    @no1xsyzy 密码输完了,操作的时候怎么监控?
    opentrade
        43
    opentrade  
    OP
       2021-04-14 11:36:14 +08:00
    @no1xsyzy 那还得有备份,万一哪个请假或者挂了
    no1xsyzy
        44
    no1xsyzy  
       2021-04-14 12:47:14 +08:00
    @opentrade 这我就不清楚了,是偶然看到的其他组的手册,实际上是否严格执行我是不确定的(
    lc7029
        45
    lc7029  
       2021-04-14 13:29:19 +08:00
    审计员审计管理员。
    网络安全法有规定
    xiangbohua
        46
    xiangbohua  
       2021-04-14 14:03:10 +08:00
    法律和铁拳啊
    Rookie2048
        47
    Rookie2048  
       2021-04-14 15:11:05 +08:00
    使用堡垒机的前提是假定管理员是可信的
    yolee599
        48
    yolee599  
       2021-04-14 16:01:45 +08:00
    参考危险物品仓库管理办法,有两个以上工作人员到场才能开门,设置多道门,或者多个验证方法,各持一部分。
    zxy
        49
    zxy  
       2021-04-14 16:56:41 +08:00 via iPhone
    可能你没用过商业堡垒机,楼上已经有回复了,三权分立的
    kennylam777
        50
    kennylam777  
       2021-04-15 02:57:33 +08:00
    為了系統能有序及順暢展開運行, 這個團隊要尋求三權合作, 互相理解, 互相支持, 共同珍惜我們來之不易的這樣一個系統穩定的大好局面
    tianzi123
        51
    tianzi123  
       2021-04-19 09:04:53 +08:00
    @no1xsyzy 我见过部队库房门,团长输指纹,政委输密码
    justin03
        52
    justin03  
       2021-04-26 17:39:33 +08:00
    外部审计,第三方独立审计
    Webpoplayer
        53
    Webpoplayer  
       2021-06-18 13:46:10 +08:00
    通常在很多环境中,系统管理员 == 堡垒机管理员 [/doge]
    PMS
        54
    PMS  
       2021-07-20 18:22:02 +08:00
    这个当然 Blue Team 来审计的,没有 Blue Team 来的话当然就没人管了。。。简单来说的话就是 InfoSec
    PMS
        55
    PMS  
       2021-07-20 18:23:49 +08:00
    这个当然 Blue Team 来审计的,没有 Blue Team 来的话当然就没人管了。。。
    简单来说的话 这个不是 IT 或 Ops 或 DevOps 的工作,这个是 InfoSec 的工作。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1099 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:31 · PVG 03:31 · LAX 11:31 · JFK 14:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.