5月20日外電頭條:系統管理的“洗手間哲學”
原創【51CTO.com快譯】每個管理員都在和廢棄的和未使用的用戶帳戶作戰。我們都知道,如果系統中藏有“過期”的用戶帳戶,那么就會給惡意黑客留下更多攻擊和藏匿的地方。如果你是個聰明人,那就需要提高警惕,并清除掉它們。
陳舊的和未使用的資源就像是飯店的洗手間。當你第一次走進一家餐館時要先檢查一下洗手間。如果洗手間超級干凈,可以打賭這家餐館的管理非常良好,廚房也一定是非常干凈的。而如果洗手間一團糟,那就考慮去別的地方吧。
誰來管理,管理什么
管理員應該建立起策略和程序,以生命周期的模式對電腦的所有對象(用戶、組、計算機等)和資源(文件,打印機,應用軟件等)封裝好。生命周期管理計劃應該覆蓋的對象和資源包括:
*用戶帳戶
*計算機帳戶
*服務帳戶/守護進程(daemon)帳戶
*工作組
*電子郵件地址和對象
*打印機
*各項應用
*磁盤存儲
*文件夾、共享文件和Web文件夾
*IP子網
*LDAP/Active Directory對象
*組策略對象(如果使用了Active Directory)
*數字證書
*稽核/警報計劃(Auditing/alerting plan)
你所控制的每一項任務,相關的對象還有資源都應包含在生命周期計劃內。生命周期計劃最低限度也要包括下列活動,:
*獲得/供應/創建/批準
*分配所有權/問責制
*更改/修改/重命名/復制/移動/轉移
*禁用/刪除/反供應
*變化確認
*稽核/提醒/監測(Auditing/alerting/monitoring)
*文檔記錄
如果沒有適當的生命周期策略和程序,這些對象和資源往往會隨著時間積累,永遠不會刪除。管理員必須回答誰來創建,誰來批準和誰記錄變化這些問題來確保符合生命周期策略。51CTO編者認為,其實系統本身就為我們提供了許多安全設置功能,巧妙地使用這些功能,我們完全可以赤手空拳地應對網絡安全問題,比如利用系統組策略,來保證網絡安全運行。
怎樣管理對象
每個對象應該有一個嚴格定義的過程,包括誰可以請求或者改變這個對象,做出請求和改變的要求是什么,還有誰擁有對象。
分配所有權能夠在未來查詢對象的作用和健康程度。最好把所有權分配給特定的一個人而不是一個團隊,以免指手畫腳的人太多。當然,這也意味著如果所有人角色變更或者離開了工作環境,所有權也必須要更新。
一般來說,對象的添加或更改會對大批電腦與用戶的安全性造成影響,因此需要得到相關IT部門的批準。當添加或更改一個項目時,它的結果應得到另一方的確認,或至少由作出更改的一方來確認。所有的更改應記錄進日志。對不能確保安全或可能引起廣泛變化的事件應發出警報進行二次審查。51CTO編者建言,這已經是相對比較完善的管理制度了,但在中國很少有中小企業能做到這樣管理的,這個問題就目前來看,還沒有看到任何適合中小企業的管理可行制度。
比如我目前的客戶端是這樣安排的,一號IT管理員的工作是刪除過期的測試用戶帳戶。IT管理員發現刪除花費的時間比預期長的多——幾分鐘而不是幾秒。如果刪除完成后,過期的用戶對象都不見了——工作完成。假如一號IT管理員在刪除用戶帳戶時不小心刪除了一個完整的巨大的OU(LDAP組織單位),這時本地稽核系統會立即通知二號管理員。有了適當的稽核系統和報警策略,錯誤會被立即注意到,誤刪除的對象可以及時恢復。在51CTO編者看來,像OU這樣重要的LDAP帳號存儲單位一旦誤刪除,可能會引發所有用戶無法登陸服務器的嚴重后果。所以備份是非常重要的事情,有需要的朋友可以看下“有備無患詳細Linux備份與恢復方法”這篇文章。
記錄文檔和工作流
每個對象的生命周期包括所有相關的任務應當記錄在案。記錄文檔應包括誰能夠請求一項特定的任務,誰完成這項任務,以及誰核實這項任務正確完成。記錄文檔應包括誰負責維護和更新文檔以使它不會過期。而且這一程序應盡可能自動化完成。許多軟件工具都提供了自動化和工作流功能,同時也有更好的安全性和稽核追蹤。有些最簡單的對象生命周期管理工具使用公司的電子郵件系統來管理工作流。在51CTO編者看來,網絡高速發展給管理上帶來很多難題,比如目前很多IT系統設備或產品都具備日志功能,這些日志也至少要保留6個月,如何對海量日志進行有效保留,并滿足企業基于日志的新需求,已成為日志管理方案供應商共同面臨的難題。
最后,適當的策略和程序應始終包括一些快速的非正式處理方法來應對特殊的緊急事件。比如當CEO的用戶對象被意外刪除掉并且必須恢復時,相信他不會喜歡等到委員會召開或者自動化工具開始周期處理。這也意味著自動化工具必須考慮這些特殊和緊急事件,能夠做出快速反應。
制定資源生命周期計劃并遵守它,你會有一種把洗手間收拾的煥然一新的感覺。
【51CTO.com譯稿,非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com,且不得修改原文內容。】
原文:Do you have a handle on your 'managed' resources? 作者:Roger Grimes
【編輯推薦】
