通过 UNIX su 命令,用户可以使用目标用户的密码切换到其他用户。 要切换用户 ID 的用户必须记住目标用户的密码,记下密码,或者要求目标用户使用简单的密码。 这违反了一些密码策略。 另外,su 命令并不记录谁调用的该命令,因此假扮某个帐户所有者的用户与实际的所有者难以区分。
CA ControlMinder 包括 sesu 实用程序,它是 UNIX su 命令的增强版本。 您可以配置 sesu 以提示用户输入自己的密码作为身份验证的方式,而不是提示输入目标用户的密码。 身份验证过程基于在 SURROGATE 类中定义的访问规则,并且还基于执行命令的用户密码(可选)。
不同于对 su 的许可,对 sesu 的许可不依赖于是否知道目标用户的密码。 而是依赖于数据库中指定的许可;因为记录了用户的登录身份,所以用户需要对自己的操作负责。
如果某用户是 _surrogate 组中用户之一的代理,则 CA ControlMinder 会将对该用户操作的全部跟踪作为对新用户的跟踪发送到审核跟踪。
为了避免不经意使用该程序,在文件系统中对 sesu 进行了标记,没有任何用户可以运行它。 安全管理员必须将该程序标记为可执行并将 setuid 设为 root,您才能使用该程序。
重要说明! 在您使用 sesu 实用程序前向 CA ControlMinder 数据库定义所有用户并设置 sesu 先决条件。 这样可以避免未定义到 CA ControlMinder 的用户打开整个系统。
|
版权所有 © 2013 CA。
保留所有权利。
|
|