这是一个创建于 1444 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近有几个人要用 root 干活,因此分了他们跳板机的 root 权限,然后拿到 root 搞了一波神操作,由于没有上云,而且机器不归我们管等种种原因,这台机器永远没法登录上去了。请问有什么技术手段或者管理制度能避免这种事情再次发生?
 |
1
felixcode 2020-12-11 19:20:49 +08:00 via Android  2
要给也是给 sudo 权限,而且限定操作范围
|
 |
2
msg7086 2020-12-11 19:25:32 +08:00 via Android 1
可以开除菜鸟,换几个不会把服务器搞炸的来。
|
 |
3
zhoudaiyu OP |
 |
4
natashahollyz 2020-12-11 19:49:13 +08:00 via iPhone
sudo 一个人一个号不行?
|
 |
5
iphoneXr 2020-12-11 19:51:29 +08:00 via iPhone
堡垒机不就是做审计的吗?谁干了什么一清二楚呀
|
|
6
iphoneXr 2020-12-11 19:55:02 +08:00 via iPhone
上个 jumpserver 吧,程序用普通用户跑,谁都没有必要用到 root 了
|
|
7
zhoudaiyu OP |
|
8
zhoudaiyu OP @iphoneXr #6 确实准备上 jumpserver,但是有的命令确实要 root 才能操作,比如改 hosts 什么的
|
|
9
felixcode 2020-12-11 20:00:25 +08:00 via Android
@zhoudaiyu
正常都得一人一个用户,共用帐户没法做审计。用 sudo 限制进行哪些操作,谁用 sudo 运行什么命令都可以有记录。 |
|
10
natashahollyz 2020-12-11 20:00:43 +08:00 via iPad
@zhoudaiyu 一个人一个号防止扯皮啊
|
 |
11
Orzldzx 2020-12-12 01:23:43 +08:00 via Android
jumpserver 新版里面可以做命令过滤(可以正则),只要是走 jumpserver 连过去的都可以,包括 root 账号。
|
 |
12
HuHui 2020-12-12 12:49:48 +08:00 via iPhone
没人心疼这台永久失联的机器吗
|
|
13
zhoudaiyu OP @Orzldzx 嗯,一般人通过这种过滤就可以防住了,高手除外,但是有命令录屏,到时候拿到证据直接劝退
|
 |
14
julyclyde 2020-12-12 19:32:51 +08:00
改 hosts 这种操作就不应该存在,更别提授权给别人去做了
|
Select Language