sudoアクセス権を持つパブリックスーパーユーザーアカウント(「cmn_usr」)とsudoアクセス権を持たない別々の一般ユーザーアカウント(「nml_usr」)があります。現在、一般ユーザーはスーパーユーザー(「cmn_usr」)に直接ログインするか、スーパーユーザー(「cmn_usr」)に切り替えることができます。セキュリティ上の理由から、スーパーユーザー(「cmn_usr」)への直接ログインを無効にし、必要に応じて一般ユーザー(「nml_usr」)がこのログインに切り替えることを許可しながら保護する必要があります。
オンラインで可能なソリューションを調査しましたが、私たちの組織のITセキュリティのベストプラクティスを満たすソリューションはないようです。ユーザーの移行を促進しながら、特権アカウントへの直接ログインを無効にすることに関する同様の質問がここでIT承認の回答で解決された場合は、重複した点についてお詫び申し上げます。
とても感謝しています。ハリハラスルタンC
答え1
sudoそれはあなたの解決ではsudo suありません。
sudoアクセス権を持つパブリックスーパーユーザーアカウント(「cmn_usr」)とsudoアクセス権を持たない別々の一般ユーザーアカウント(「nml_usr」)があります。
正しいセキュリティのために「cmn_usr」アカウントを共有しないでください。これにより、ジョブの監査可能なログがなくなります。各管理者に独自のログイン情報を提供します。
現在、一般ユーザーはスーパーユーザー(「cmn_usr」)として直接ログインできます。
前述のように、これはセキュリティ上の問題でなければなりません。
セキュリティ上の理由から、スーパーユーザー(「cmn_usr」)への直接ログインを無効にし、必要に応じて一般ユーザー(「nml_usr」)がこのログインに切り替えることを許可しながら保護する必要があります。
あなたが提案する解決策は、特権タスクを実行するためのルートになるように、「nml_usr」アカウント(単一のアカウントではなくコレクションであることを願っています)を「cnm_usr」として要求することです。奇妙なようです。
まず使用を中止してくださいsu。ターゲットユーザーのシェルを調べます。正しく無効にしたため、役に立つことはできません。
一般ユーザーを許可しますsudo -u cmn_usr -s。次に「cmn_usr」を許可しますsudo -s。要件を満たしています。
しかし、なぜあなたが許可した「nml_usr」アカウントセットをsudo {privileged action}使用できないのかはまだわかりません。誰が(どのユーザーアカウント)何を(「特権アクション」)実行したかについての監査可能なエントリがログに表示されます。