V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
opentrade
V2EX  ›  DevOps

堡垒机是为了监控管理员行为,那谁来监控运维堡垒机的管理员

  •  
  •   opentrade · 23 天前 · 5330 次点击
    52 条回复    2021-04-26 17:39:33 +08:00
    PMR
        1
    PMR   23 天前 via Android
    底线和审计管理员
    doyel
        2
    doyel   23 天前   ❤️ 21
    《中华人民共和国刑法》第二百八十六条
    CallMeReznov
        3
    CallMeReznov   23 天前
    伪命题,堡垒机管理员直接有 ROOT 上去操就行了,根本不需要通过堡垒机.
    noelyang
        4
    noelyang   23 天前   ❤️ 1
    who watches the watchmen
    holystrike
        5
    holystrike   23 天前
    好比谁来监管纪委?
    magicfuzzx
        6
    magicfuzzx   23 天前   ❤️ 1
    锦衣卫--东厂--西厂...
    sha851092391
        7
    sha851092391   23 天前
    v 站 禁止套娃
    noahzh
        8
    noahzh   23 天前
    审计人员
    echo1937
        9
    echo1937   23 天前
    伪命题,核心设备的访问权限,从来不是由一个人掌握,比如财务领域的“钱账分管”。
    catchexception
        10
    catchexception   23 天前
    应该靠 对 生产环境的 敬畏之心吧。
    misaka19000
        11
    misaka19000   23 天前
    照你这么说机房里面的运维还能把你的物理机给砸了呢,这怎么监控
    NerverLibis
        12
    NerverLibis   23 天前   ❤️ 1
    同事举报?
    参照西南交大陈玉钰,修改成绩造假保送 985 中科大,平安落地。
    教师系统的监督:父母为讲师 教授
    行政系统的监督:父母为副厅级院长
    计算机管理系统:父母开的公司外包开发的,直接上
    审计人员:教务处长是她叔,同犯
    Rworld
        13
    Rworld   23 天前
    管理员相互监管
    jjianwen68
        14
    jjianwen68   23 天前   ❤️ 4
    老板亲自监督,亲自负责
    cpstar
        15
    cpstar   23 天前
    一人掌握密码前半段,一人掌握密码后半段。。。
    purensong
        16
    purensong   23 天前
    三权分立
    lithiumii
        17
    lithiumii   23 天前 via Android
    快进到老板亲自删库
    winglight2016
        18
    winglight2016   23 天前
    @NerverLibis Google 了一把,真是大开眼界。。。
    weijianv2
        19
    weijianv2   23 天前
    @NerverLibis 牛啊
    robertlyc
        20
    robertlyc   23 天前
    who watches the watchman?
    xinshoushanglu
        21
    xinshoushanglu   23 天前
    循环监控,形成一个死锁。。。
    Rocinante
        22
    Rocinante   23 天前
    监控监控人员的监控
    监控监控人员的监控的监控
    0312birdzhang
        23
    0312birdzhang   23 天前 via iPhone
    自然是 skynet 了(狗头
    akira
        24
    akira   23 天前
    不用监控啊,出问题他负责就可以了啊
    hunk
        25
    hunk   23 天前
    堡垒机的目的不是监控,更多是回溯问题吧。
    思考角度错了,就钻牛角尖了。
    Te11UA
        26
    Te11UA   23 天前
    三权分立
    cjpjxjx
        27
    cjpjxjx   23 天前 via iPhone
    @cpstar 然后后面的人输入密码时长按删除键
    twl007
        28
    twl007   23 天前 via iPhone
    系统设计上都是权限分开的 admin 可以分配 audit 得 role adit 可以看到所有操作 但是没办法给配 role 互相牵制了 一般 audit 的日志是不可清理的
    tomychen
        29
    tomychen   23 天前
    终于看到有人提到三权分立了

    但是目前的堡垒机和操作系统都没有做这个设计

    包括操作系统的 root 还是为所欲为

    堡垒机的 admin 也是为所欲为

    selinux 勉强算能实现么?

    或者分别再建 3 个用户 admin ops audit,然后 root 的密码随机到 18 位,每个用户(组)切走 6 位
    saytesnake
        30
    saytesnake   23 天前
    零信任部署一下玩玩不就知道了么。

    https://zero.pritunl.com/
    littiefish
        31
    littiefish   23 天前 via iPhone
    @purensong 分立?哪知道最后强强联合,变成了三座大山。
    proxychains
        32
    proxychains   23 天前 via Android
    如何确保根证书是可信的
    no1xsyzy
        33
    no1xsyzy   22 天前
    @tomychen 我倒是见过最关键的密码需要两名管理人员到场,一人输入一半的操作
    checkzhzzzzz
        34
    checkzhzzzzz   22 天前   ❤️ 3
    三员设计
    系统设计时采用了系统管理员、安全保密管理员、安全审计管理员三员分立,分别负责系统的运行、安全保密和安全审计工作。三员权限划分如下:

    系统管理员
    负责系统的日常运行维护工作
    负责系统用户创建、用户删除

    安全保密管理员
    负责系统的日常安全保密管理工作
    负责系统用户修改、用户密码重置、用户停启
    负责系统用户的角色分配、角色的功能资源分配
    负责管理与审查系统用户及安全审计管理员的操作日志

    安全审计管理员
    负责对系统管理员和安全保密管理员的日常操作行为进行审计跟踪分析和监督检查
    审计管理员禁止访问管理平台安装的系统文件和直接访问数据库
    禁止执行其它项目管理平台管理工作
    dengshen
        35
    dengshen   22 天前 via iPhone
    @no1xsyzy 又出现一个问题,谁设置的全部秘密呢?老板?
    no1xsyzy
        36
    no1xsyzy   22 天前
    @dengshen 设置的时候就是这两名管理人员分别输入一半
    不存在实质意义上的 “老板” 这样一个人。
    cnevil
        37
    cnevil   22 天前
    账户分三员
    现在很多安全设备或者涉密的设备 /系统都会有这样要求
    deviluser
        38
    deviluser   22 天前
    我记得等保里面有个评分项就是对运维的审批和签批
    RRRoger
        39
    RRRoger   22 天前
    去中心化
    opentrade
        40
    opentrade   22 天前
    @no1xsyzy 然后一个人操作,一个人录像?
    no1xsyzy
        41
    no1xsyzy   22 天前
    @opentrade 录像?
    不是,这个关键口令必须要两名管理人员都到场才能启用,每个人持有口令的一半,各自单独无法进入(实际上还需要一名操作员,因为两名管理人员并不熟悉操作)。
    opentrade
        42
    opentrade   22 天前
    @no1xsyzy 密码输完了,操作的时候怎么监控?
    opentrade
        43
    opentrade   22 天前
    @no1xsyzy 那还得有备份,万一哪个请假或者挂了
    no1xsyzy
        44
    no1xsyzy   22 天前
    @opentrade 这我就不清楚了,是偶然看到的其他组的手册,实际上是否严格执行我是不确定的(
    lc7029
        45
    lc7029   22 天前
    审计员审计管理员。
    网络安全法有规定
    xiangbohua
        46
    xiangbohua   22 天前
    法律和铁拳啊
    Rookie2048
        47
    Rookie2048   22 天前
    使用堡垒机的前提是假定管理员是可信的
    yolee599
        48
    yolee599   22 天前
    参考危险物品仓库管理办法,有两个以上工作人员到场才能开门,设置多道门,或者多个验证方法,各持一部分。
    zxy
        49
    zxy   22 天前 via iPhone
    可能你没用过商业堡垒机,楼上已经有回复了,三权分立的
    kennylam777
        50
    kennylam777   22 天前
    為了系統能有序及順暢展開運行, 這個團隊要尋求三權合作, 互相理解, 互相支持, 共同珍惜我們來之不易的這樣一個系統穩定的大好局面
    tianzi123
        51
    tianzi123   17 天前
    @no1xsyzy 我见过部队库房门,团长输指纹,政委输密码
    justin03
        52
    justin03   10 天前
    外部审计,第三方独立审计
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   954 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 19:45 · PVG 03:45 · LAX 12:45 · JFK 15:45
    ♥ Do have faith in what you're doing.