我们使用Active Directory设置了LDAP服务器.当
用户登录到以root
用户身份安装LDAP客户端的
Linux计算机时,他们可以在不需要该
用户密码的情况下访问任何Active Directory帐户.这是一个很大的安全风险,有谁知道这是为什么或如何防止这种情况?
不幸的是,防止root访问不是一种选择,因为在某些情况下某些用户需要它.
这是标准的Unix设计,你不能真正阻止root做任何他想做的事情.
更安全的设计会让用户使用sudo,而sudo配置只允许用户执行他们需要执行的特定任务.不受限制的sudo应该仅限于需要它来维护服务器的特定IT人员,并且实际的root密码应该保存在某个安全的地方.
原文链接:https://www.f2er.com/linux/396961.html
