立即注册
 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

CopyRight 2012-2014 DS文库版权所有
基于OpenLdap和Sudo的账号集中管理系统的研究
(0 次评价)321 人阅读0 次下载
1 基于 OpenLdap 和 Sudo 的 账号集中管理系统的研究 中国广东核电集团,陈哲 摘 要:服务器管理员共同使用同一个账号,分别从不同客户端登录服务器进行操作,服务器对操作记录无登记, 一旦发生安全事件,无法追述操作人及其操作记录,追究责任困难。为此,研究 Unix/Linux 服务器系统账号集中管理技 术,加强控制,实现操作历史记录可查询,可追溯是十分必要的。本文结合中国广东核电集团有限公司(简称“中广核” ) 的 unix 服务器日常运维管理的实际情况,提出利用 Openldap 和 Sudo 实现账号集中管理,建立了严密的服务器系统运维 行为的方案。 关键词:账号集中管理;日志审计;openldap;sudo 1 引言 随着集团业务不断的发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。而每个 业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统 内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展及与国际业务 接轨的需求。问题主要表现在以下几方面: (1)大量的网络设备、 主机系统和应用系统分属不同的部门或业务系统, 认证、 授权和审计方式没有统一, 当需要同时对多个系统进行操作时,工作复杂度成倍增加; (2)一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知; (3)各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用 户数增加,权限管理愈发复杂,系统安全难以得到充分保障; (4)个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者; (5)随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不 影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁; 对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。 综上,由于缺乏统一的管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致, 实质上也大大降低了业务系统的安全系数 [1]。 2 中广核 Unix 服务器账号集中管理系统的研究 2.1 中广核集团的 Unix 服务器账号管理现状 当前,中广核集团的 Unix 服务器账号管理,是由 Unix 服务器管理组成员掌握管理员账号,给负责 7*24 小时运维的监控中心分配一个最低权限的只读账号查看系统信息,服务器管理员拥有最高管理权限的 root 账号,管理员登录服务器都在集团内网下的任何一个终端可远程登录,服务器只能记录登录的终端 IP 信息, 涉及的操作人比较难查找。 当前的运维管理体系存在的一些问题: 首先,如果进行多台服务器投产变更,需要通过终端远程登录每台服务器依次输入账号密码,进行操作;

打分:

0 星

用户评论:

电力科技在线 (英文缩写etmtch) 在广大电力企事业单位的支持下,无疑更将电力科技的作用与价值推向更深、更高和更广。作为电力行业科技领域的专业媒体《电力科技在线》(www.etmtch.org.cn)更须肩负责任,进一步完成建设沟通和推广平台的同时,树立更有深意的目标,发挥推动电力科技在创新体制、制度、思维、技术以及成果应用的现实作用,为电力产业的智能化未来贡献更大的价值。

合作方式