关于SCA的使用探讨，以及开发、运维人员访问生产服务器如何进行安全管控

0x1本周话题

话题一：请教下，大家会把Linux服务器的root账号名修改成其他账号名吗？修改掉会不会有风险？

A1：root直接禁用，为啥还要改？

A2：说是有些运维平台对接要用root账号。

A3：可以梳理一下到底有哪些，程序进程是必须用root的，如果没有直接禁用掉，或者有需求单独申请root权限。一般配置文件中针对root的配置都是写的 root 而不是uid ,所以你直接改名字，肯定有问题。

A4：一般sudo都能搞定吧，没说肯定得root。新增的可以这样搞，存量的得慢慢搞了。

A5：一般都能搞定，就是需要避免环境变量的问题，在一个需要考虑哪些用户有sudo权限，如果批量配置了，相当于开放root了。

A6：禁用root跟程序用root权限跑是两个概念。

A7：禁用root只是禁用无法登录吧？设置/sbin/nologin。

A8：遇到的是有些运维监控指标是需要root权限，这种可以给运行这个监控进程的普通账号加sudo权限即可，无需已root账号运行进程，root账号默认是禁止登录的。

A9：堡垒机配root做特权账号管理，和允许sudo有啥区别，而且不允许root直接远程登录，可以普通账号切换。

A10：sudo是配置到具体需要的命令，不是默认sudo su - 到root啊，堡垒机我们不授予root远程登录，root就是默认不允许登录，另外我们的账号密码不托管到堡垒机，防止堡垒机被接管了，影响大。

Q：都linux了为什么还要用账号密码登陆？有密码是不是还要考虑弱口令问题？

A11：所有的sudo命令都会被审计到，记录在auth.log这里，root执行的命令如果不在堡垒机是没办法审计的。

A12：我是讨论root账号管理的方式，只要控制权限不就行么。直接普通账号证书登陆，登陆限制只能堡垒机，然后允许特定账号可以su切换到root。而且通过人记账号密码，这不是风险更大么。

A13：只需要控制好堡垒机权限和linux中账号权限就可以了。

A14：证书的口令，外加一层，只有VPN能到堡垒机访问，做成巷子式封闭式访问。

A15：我们是atrust控制谁有权限登陆atrust，然后服务器登陆的证书都是维护在堡垒机上，只有运维的证书和证书口令是下发到运维负责人手里。

Q：请教个题外话，如果哪天堡垒机挂了，但是又紧急有维护需求，会有一个后门预留吗？就类似之前好像是google的某个集中服务挂了结果进不去机房。

A16：我们是除了堡垒机还搞了一台跳板机，跳板机控制就更严格了，只有指定一两个人可以登陆。

Q：现有的业务用root用户部署的后期修改成普通用户，运维人员说没法改。改了后应用会出问题，这个怎么破？

A17：root启动的可以用普通用户维护么？堡垒机托管普通用户，然后su到root用户么？

话题二：请问开发、运维人员访问生产服务器是如何安全管控的？生产服务器是不是不会开给开发人员远程访问权限的？

A1：堡垒机啊，细化访问权限。严格来说研发人员不允许有生产环境权限，也就是权限最小化原则。

A2：细化命令管控。

A3：生产也不会直接给开发啊，生产只会给应用运维。

A4：你估计是生产环境的日志，排查问题时这些要给到开发，这样的需求。集中采集到日志中心。

A5：是的，有些日志要在服务器上排查，还有些配置文件修改的，服务启停的操作。访问控制只能在服务器上做吧，我们用的堡垒机很辣鸡，没什么功能。

A6：有两点：

• 稍微松一点的话，堡垒机开临时授权，过期自动失效，或者走审批，部门开发走申请，业务部门负责人审批----运维部门审批后开临时授权。
• 应用服务器的日志吐到日志平台，让开发去日志平台看日志排查问题。