ভাগ করা ব্যবহারকারী হিসাবে লগ ইন করা কি একটি খারাপ অভ্যাস?

35

আমি এমন সংস্থাগুলিতে কাজ করেছি যেখানে মেশিনে লগ ইন করতে চায় এমন ব্যক্তি প্রতি নতুন উবুন্টু ব্যবহারকারী তৈরি করার পরিবর্তে সিসাদমিনগণ প্রতিটি ব্যবহারকারীর এসএস কীটি .ssh/authorized_keysএবং sshমেশিনে ( উদাহরণস্বরূপ ) ubuntu@hostবা হিসাবে যুক্ত করেন ec2-user@host। (ঘটনাচক্রে, আমি ল্যাব সেটিং-এ ভাগ করা ম্যাক মিনিগুলিতেও এই অনুশীলনটি দেখেছি)) এটি কি স্বীকৃত অনুশীলন, না কোনও বিরোধী-নিদর্শন?

প্রশ্নে থাকা হোস্টগুলি মূলত পরীক্ষার জন্য ব্যবহৃত হয়, তবে এমন কিছু পদক্ষেপও নেওয়া হয় যা সাধারণত ব্যবহারকারী-প্রতি কনফিগারেশন প্রয়োজন এবং নির্দিষ্ট ব্যবহারকারী দ্বারা করা যেমন ট্র্যাক করা হয় যেমন গিট কমিট তৈরি করা এবং ধাক্কা দেওয়া, যা বর্তমানে জেনেরিক গিট ব্যবহার করে করা হয় ব্যবহারকারী।

ssh  user-management 
user22a6db72d7249
সূত্র
23
বহু লোকের মধ্যে বহু-কৌতুকপূর্ণ সম্পর্কের ক্ষেত্রে সমস্যা থাকলেও অন্যরা এগুলি ঠিকঠাক পরিচালনা করে, তাই আমি মনে করি না যে এটি ভাগ করে নেওয়া একটি "খারাপ অভ্যাস" হ'ল, ওহ, কিছুই নয়, আপনি ব্যবহারকারীর অ্যাকাউন্টটি বোঝালেন ।
আশাহীন N00b
অ্যাডউইউ, কেউ ক্লিকবাইট শিরোনামটি সম্পাদনা করেছেন .. :(
বার্গি

উত্তর:

42

হ্যাঁ এটি একটি খারাপ অভ্যাস। এটি মৌলিক অনুমানের উপর নির্ভর করে যে কেউ দূষিত নয় কাছাকাছি রয়েছে (বা হবে) এবং যে কেউ ভুল করে না। একটি ভাগ করা অ্যাকাউন্ট থাকা জবাবদিহিতা ছাড়াই এবং কোনও সীমা ছাড়াই ঘটে যাওয়া জিনিসগুলির পক্ষে একেবারে তুচ্ছ করে তোলে - কোনও ব্যবহারকারী কিছু ভঙ্গ করে সবার জন্য এটিকে ভেঙে দেয়।

যদি এই ইউআইডি-ভাগ করে নেওয়ার প্রকল্পটির কারণটি কেবল নতুন অ্যাকাউন্ট তৈরি এবং ভাগ করে নেওয়ার জন্য প্রশাসনিক ব্যয় হ্রাস করা হয়, তবে সম্ভবত প্রশাসকদের কিছুটা সময় অ্যানিমেশন , শেফ , পুতুল বা লবণের মতো একটি অটোমেশন সিস্টেমে ব্যয় করা উচিত যা ব্যবহারকারী তৈরির মতো সামগ্রী তৈরি করে like একাধিক মেশিনে অ্যাকাউন্টগুলি অত্যন্ত সাধারণ।

thkala
সূত্র
4
এটি এমনকি বিদ্বেষ নয়, এমনকি এটি অযোগ্যতাও নয়। যখন আমি কিছু করি না কাজ করে, আমি ধরে নিতে পারি না যে এই অ্যাকাউন্টে করা কিছু আমি মনে রেখেছিলাম।
djechlin
সুরক্ষিত তথ্যের মূলনীতি: স্বচ্ছতা গোপনীয়তার উপলভ্যতা জবাবদিহিতা। জবাবদিহিতা শব্দটি ব্যবহারের জন্য +1
বিকাশকারী
7

এটি দিয়ে শুরু করা আমাকে ধাক্কা দেয় না এবং আমি অত্যন্ত সুরক্ষিত পরিবেশে কাজ করি। প্রত্যেকের নিজস্ব ব্যবহারকারী এবং মেশিন এবং ssh কী রয়েছে এবং প্রয়োজনে লগিং রিলে মাধ্যমে আমরা রুট হিসাবে বা অন্য ব্যবহারকারীর হিসাবে এসএসএইচ সার্ভারে কাজ করার জন্য। আমরা যা কিছু করি তা ssh কী এর মালিক দ্বারা সম্পন্ন হিসাবে লগ হয়, সুতরাং জবাবদিহিতা ঠিক আছে।

বিকল্প কি হবে? প্রচুর জিনিস অবশ্যই একটি নির্দিষ্ট ব্যবহারকারী হিসাবে করা উচিত, মূলের কথা উল্লেখ না করে। Sudo? নির্দিষ্ট কিছু সীমাবদ্ধ কাজের জন্য এটি ঠিক আছে, তবে মেশিনটিকে সিসডমিনিংয়ের জন্য নয়।

তবে আমি আপনার শেষ অনুচ্ছেদে সম্পর্কে নিশ্চিত নই, আপনি কি বোঝাতে চেয়েছেন যে কেউ একজন সাধারণ মানুষকে গিট কমিট করতে পারে? এটি জবাবদিহিতা ভঙ্গ করবে, এবং জবাবদিহিতা ভঙ্গ করা খারাপ। আমরা যে মেশিনটিতে লগ ইন করেছি সেখান থেকে গিট করি এবং আমরা আমাদের এসএস কী দিয়ে গিটকে প্রমাণীকরণ করি ...

প্রমাণীকরণ, অনুমোদন এবং অ্যাকাউন্টিং (এএএ) হল ক্লাসিক এক্সপ্রেশন: আপনার এসএস কী দিয়ে আপনি অনুমোদন পেয়েছেন, জেনেরিক ব্যবহারকারী যে কোনও কিছু করতে পারবেন আপনার অনুমোদিত, কারণ আপনার কী অনুমোদিত_কিগুলিতে রয়েছে এবং আপনার অ্যাকাউন্টিং দরকার যাতে আপনি যা করেন সত্যতা পরে পর্যালোচনা করা যেতে পারে।

Law29
সূত্র
3
সুতরাং জেনেরিক ব্যবহারকারীর একধরণের প্রমাণীকরণ রয়েছে (এসএসএস কী?) যা গিট রেপো সংশোধন করার জন্য অনুমোদিত? এটা আসলে ভাল না। এটি কেবল সেই প্রতিশ্রুতির জন্য দায়বদ্ধতা ভঙ্গ করে তা নয়, কারণ যে কোনও ব্যক্তি সেই চাবিটি অনুলিপি করতে এবং অন্য কোথাও থেকে এটি ব্যবহার করতে পারেন। আমার যখন এই ধরণের সমস্যা হয় তখন আমি কোডটি বা ডিফটিটি আমার স্থানীয় মেশিনে অনুলিপি করি এবং সেখান থেকে প্রতিশ্রুতিবদ্ধ।
Law29
2
কেন sudoকোনও যন্ত্রের সাধারণ প্রশাসনের পক্ষে ঠিক গ্রহণযোগ্য নয় ?
11:25
4
আপনি কি "অত্যন্ত সুরক্ষিত পরিবেশ" -এর মূল হিসাবে কাজ করছেন?
xaa
@ ব্ল্যাকলাইটশাইনিং যদি আপনাকে কিছু করতে হয় (ক্লাউন, chmod স্বেচ্ছাসেবী ফাইল, সার্ভার ইনস্টল করতে, ফাইল সিস্টেমগুলি মাউন্ট করতে হয় তবে ব্যবহারকারীরূপে ঝাঁকুনির মাধ্যমে এবং একটি সুডো বাশ করে লাভ করার মতো কিছুই নেই, পরিবর্তে, লগিং রিলে ব্যবহার করে ssh করুন এবং / অথবা ssh কী যে tsh মালিক ssh'd এর মালিকের সাথে রিমোট সার্ভারে সমস্ত কিছু লগ ইন করুন
Law29
1
@ এক্সাএ হ্যাঁ আমি করি এবং আমি এটির সাথে কোনও সমস্যা দেখতে ব্যর্থ হয়েছি। আমি টাইপ করা সমস্ত কিছু অন্য মেশিনে লগড। "রুট হিসাবে কাজ করবেন না" সম্পূর্ণরূপে অকেজো ম্যাক্সিম যখন মেশিনটি এমন একটি সার্ভার থাকে যেখানে আপনি সম্ভবত যা করতে চান তার সমস্ত কিছুই আপনাকে রুট হওয়ার প্রয়োজন।
Law29
3

এটি পরিষ্কারভাবে সিস্টেমের ব্যবহারের ক্ষেত্রে নির্ভর করে। যদি এটি সময়ে সময়ে পরীক্ষার ব্যবস্থা হয় তবে এটি আমার পক্ষে ভাল। আমাদেরও এ জাতীয় ব্যবস্থা রয়েছে। সংস্থায় যদি কোনও ধরণের পরিচয় ব্যবস্থাপনার (এলডিএপি, আইপিএ) না থাকে তবে র্যান্ডম সিস্টেমে কোনও রিমোট কন্ট্রোল ছাড়াই নতুন ব্যবহারকারী তৈরি করা যথেষ্ট বোঝা।

কিন্তু প্রতিদিনের কাজের জন্য যখন কোনওরকম ভুল পুরো সংস্থাকে পরিচালনা করতে অক্ষম করে তোলে তবে এটি ভাল ধারণা নয়।

Jakuje
সূত্র
হুবহু, যদি আপনার ডিরেক্টরি পরিষেবা না থাকে বা না পারে তবে কয়েক হাজার অ্যাকাউন্ট তৈরি এবং পরিচালনা করা অবৈধ ract
জিম বি
এমনকি আপনি এলডিএপি ব্যবহার করতে না পারলেও আপনার এখনও এসএসএইচ-অ্যাক্সেস (বা উইন্ডোজে পাওয়ারশেল) থাকার সম্ভাবনা রয়েছে। আপনার এখনও সেই সমস্ত অ্যাকাউন্টের জন্য আপনার হোস্টগুলিতে অনুমোদিত_কিজ ফাইলটি পরিচালনা করার একটি উপায় প্রয়োজন (যদি না আপনি পাসওয়ার্ডগুলিও ভাগ করে না করেন) এবং আরও এক টন অন্যান্য সেটিংস। আমাকে ভাবতে হবে যে আপনি কেন কোনও ধরণের কনফিগারেশন পরিচালনা ব্যবহার করছেন না (যেমন পুতুল, শেফ, উত্তরযোগ্য) যদি আপনার কাছে এমন অনেক ব্যবহারকারী বা সার্ভার থাকে। এই বোঝা সরিয়ে নেয় এবং বিনিময়ে আপনাকে প্রক্রিয়া নিয়ন্ত্রণ, জবাবদিহিতা এবং নিরীক্ষণযোগ্যতা দেয়।
মারটিজন হিমেলস
3

এই সমস্ত উত্তর জবাবদিহিতার উদ্বেগকে সম্বোধন করে যা নিজেই একটি গুরুত্বপূর্ণ এবং বাস্তব সমস্যা, তবে একটি ভাগ করা অ্যাকাউন্ট ব্যবহার করা অন্যান্য ব্যবহারকারীর উপর অতুলনীয়-সূক্ষ্ম আক্রমণও করতে দেয়:

কোনও আক্রমণকারী একটি দূষিত sshস্ক্রিপ্ট তৈরি করে বিবেচনা করুন যা টাইপড পাসওয়ার্ডটি লগ করে এবং PATHসেই ভাগ করা ব্যবহারকারীর জন্য রাখে (যা সহজেই সম্পন্ন হয়)। এখন পরবর্তী ব্যক্তি যা ভাগ করা ব্যবহারকারীর সাথে সেই মেশিনে লগইন করে এবং সিদ্ধান্ত নেয়ssh লগইন এবং অন্য কোনও জায়গায় স্থির করে (এই সময় তার ব্যক্তিগত, ভাগ না করা, অ্যাকাউন্টের সাথে) একটি বাজে চমক পেতে পারে।

মূলত, কম্পিউটারে শেয়ার করা অ্যাকাউন্ট ব্যবহার করা পাবলিক সুইমিং পুলের পাদদেশে স্নান করার মতো।

ereOn
সূত্র
1

সাধারণভাবে, নিম্নলিখিত অ্যাকাউন্টগুলির জন্য একটি অ্যাকাউন্ট ভাগ করা একটি খারাপ ধারণা:

  1. এই ব্যবহারকারীর জন্য তৈরি প্রতিটি সেটিংস প্রত্যেকের লগইনকে প্রভাবিত করে (
    1. কে কী করেছে (জবাবদিহিতা) তা খুঁজে পাওয়ার সম্ভাবনা আপনি হারাতে পারেন
    2. অ্যাকাউন্টের কনফিগারেশনের একটি ভুল (উদাহরণস্বরূপ দুর্ঘটনাক্রমে ssh কে মুছে ফেলা) সেই ব্যবহারকারীর অ্যাকাউন্টটি ব্যবহার করে এমন সবাইকে প্রভাবিত করে (উদাহরণস্বরূপ লক আউট)।

এবং অবশ্যই নিশ্চিত যে আরও চলাচল রয়েছে ... তবে আমি আর এটিকে .োকাতে চাই না।

মুল বক্তব্যটি হ'ল এটি হতে পারে যে আপনি কোনও নির্দিষ্ট অ্যাকাউন্টের অধীনে কার্যকর হওয়া একটি পরিষেবা পরিচালনা করতে একটি অ্যাকাউন্ট ভাগ করার প্রয়োজনের সম্মুখীন হচ্ছেন যেখানে সমস্ত প্রশাসক অ্যাক্সেস করতে সক্ষম হবেন to

এই ধরণের সেটআপে আপনার এই অ্যাকাউন্টটি লগইন করার জন্য ভাগ করার সম্ভাবনা রয়েছে (উপরের পুনর্বিবেচনার জন্য আমি এটি না করবো) অথবা আপনি স্বতন্ত্রভাবে লগইন করুন এবং ব্যবহারকারীর ভাগ করে নেওয়া অ্যাকাউন্টে স্যুইচ করুন (আমি এটি প্রস্তাব করব)।

নিরীক্ষণ সরঞ্জামগুলি আপনাকে এখনও নির্বাহ করেছে তবে একই অ্যাকাউন্টটি ভাগ করে নেওয়ার বিষয়ে ট্র্যাক করার অনুমতি দেয়।

গেরহার্ড
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.