|
|
|
Googleのunix.com
|
|||||||
| 何を考えてるの? 中に入ってしばしリラックスを。少し遊んで行かれたらどうですか。 ビデオアーケードゲーム もし時間に余裕があれば。 |
その他のUNIXおよびLinuxフォーラムトピックは参考にすること
|
||||
| スレッド | スレッドスターター | フォーラム | 返信 | 最後の投稿 |
| 普通のユーザーにルートからユーザの切り替え | sasia | シェルプログラミングとスクリプティング | 3 | 2008年1月25日 10:25午後 |
| Solarisのユーザアカウントの管理 | vikasdeshmukh | Sun Solaris | 1 | 2006年5月17日 08:11午前 |
| ユーザ管理 | rajesh_149 | AIX | 2 | 2005年9月15日 11:43午前 |
| rootユーザ以外の一般ユーザのファイルを作成することができないのです | mallesh | UNIXの詳細&エキスパートのためのユーザー | 1 | 2005年6月22日 01:18午後 |
| HP - UXのユーザ管理 | breigner | セキュリティ | 1 | 2004年2月17日 10:29午前 |
 |
を搭載 
|
|
|
LinkBack | スレッドツール | このスレッドを検索 | スレッドを評価 | 表示モード |
|
|
2006年1月6日
|
||||
|
||||
ルートユーザの管理
私は現在、午前はUnixの監査を実行するrootユーザアクセスの管理のベストプラクティスのための指導をいただきたいと思います。
組織は、 ITと約25のチームは少ない。 |
|
2006年1月6日
|
|||||
|
|||||
|
私はベストプラクティスを実装見たことがない。しかし、理想的な世界で... rootアカウントのボックスへのアクセスに使用することはできません。ボブ、または、またはジョージとしてのあなたがどんな兆候。次に、ルートには、監査証跡を残し秀。これの例外は、システムコンソールポート...あなたは、 rootとしては、ログオンして、マシンを再起動することができますなどのコンソールポートは、コンピュータルームからアクセスすることができます。または、その場合も、コンソールポートは、リモートサーバのコンソールからアクセスする場合に制限されています。あなたは、サーバーのコンソールにsigninする必要があると自分自身と、これは監査証跡の葉。
rootのパスワードを強力なパスワードです。これはいくつかの専門家のみに提供されています。あなたはどのような災害から回復することはできますか?そうでない場合は、あなたのためのルートパスワードを入力します。 (おそらくマネージャーが、している個人的には、パスワードを入力します。 )のいずれかの専門家が、葉を使用して、自分のアカウントを無効にしていません。して、 rootのパスワードを変更してください。 何か必要な場合はsudoを使用して他の人たちを応援...これは、監査証跡の葉。 sudoersにはこれですべてのことを意味しません。ほんの数限定のコマンドです。 このような何かが私たちの公式の方針です。しかし、様々なbigshots多くの例外を手配する。 |
|
2006年1月7日
|
|||||
|
|||||
|
再: rootユーザ管理。
私はここに私の2セントの堅持しなければならなかった。私は見たことがある問題の1つのターミナルサーバーにSSHで'がない' ( 2 )のみにアクセスされています。まだ多くのtelnetを使用します。 telnetとはBSD ' R' -コマンドを禁止する必要があります。もう1つは、誰もダウンはCEO (社長は、所有者など)を望み、何が"もの"彼のコンピュータシステムに保存されている真の価値について議論をしている。または、彼には、コストが、これらのシステムにアクセスできなくしている。ゴールされて強制的に彼/彼女は、セキュリティポリシーに挿入します。これは非常に"アクセス" bigshotを制限する必要があります。
最終的なものは、 ' '古いのsysadminかつて私に語ったものだ。我々のルートのパスワードを設定した。彼は棚から本を奪い、 1章では、 UNIXやサブで6,7言葉で章のタイトルが見つかりました、 、 'これらの文字munged ( 1 \u003d @ ;リットル\u003d |メール\u003d 3 、各単語の最初の文字をしたなど)と、そして最後には、ホスト名の最後の文字をこの文字列の前には、ホスト名の最初の文字を貼っていた。彼は' (覚えて、簡単に、特に場合は、章のタイトルを書いて) 、すべてのマシンのための'同じルートのパスワードを作っていたと同時に、マシンごとに異なるルートパスワードを入力します。私はこの(または変動)以来使用している。 |
|
2006年1月14日
|
||||
|
||||
|
ルートは、任意のボックス内を通過するのコンソールにアクセスできる唯一のルートは、 SAのチームがあります。
各ボックスには自分で障害者は、ちょっとは、ボックスの上にあるreassures  すべてのパスワードは、 rootに...私たちが十分な頻度で変更しないことを除いては、有効期限を感じる。 私たちの店須藤の大きな提唱されています。 我々 (須藤)は、次の行動にDatactr人事システム上のすべての場所で活用:メニューを取得した Unixのアカウントを作成します(だとユーザ) ルートパスワードの変更を除いて(すべて) 無効化は、ユーザーアカウントを削除します。 前述のように、これらすべての活動の監査証跡を残すだろう...そして我々の場合においても、関連するヘルプデスクが要求されます# 。 思い出すときに、これらのタスクのすべてはあなたの友達です... sudoを行うことでした また、 Eメール(最終日)のご利用、他の監査ポリシーを管理するためには、次のように: 須藤(須藤有効なユーザー)で、無効な試行 スで、無効な試行のSAチームの(一部) 3または無効なログインの試み> ...このような時間です。 (これは実装できるのは一例ですが、このリストに行くことができると) SOX法があるの?  今日のSOX法の気候で、私を見つけると、これらのポリシーは、すべての関連する監査証跡が必要です。 もし何かに似ていない場合、一部のお客様の環境変数をどのようにいくつかのメリットを提供できる...のことを考えてください |
|
2006年1月14日
|
|||||
|
|||||
|
Perderabo 、
私の現在の1つ前の仕事は、セキュリティの理想的だった。何かは、非武装地帯に居住または次のゾーンを信頼済みのSolarisだった。 rootアカウントは、 "役割"は、ユーザーではなかった-これのどこからの直接ログインします。 RBACは、昼と判断できるものを提供するためにはsudoで、さらに拡張されていた。アクセスを許可された暗号化されたありません。他のすべての層-アプリ、交通、顧客データベース、 TSの設定は、同様の方法ではないと思った。広範な監査の存在と監査ログの管理、ローカルおよびリモートの場所ので、単3形は、不変の監査証跡を確実にチェックされた可能性がある。 セキュリティ、タイトだったが、十分整理事業への妨害することにします。 乾杯、 キース |
ハイブリッドモード
