Chi ottiene l'accesso come root?

Sto lavorando a un'applicazione web che gestisce alcuni dati sensibili. Stiamo diventando molto severi in termini di sicurezza e stiamo definendo le politiche per bloccare l'accesso alle macchine e registrare tutto per scopi di controllo tecnico.

La domanda a cui continuiamo a tornare è questa: chi ottiene radice?

Le nostre istanze del server avranno un utente root. Quell'utente root avrà una password. Chi dovrebbe avere accesso a questo? È possibile / desiderabile disporre di una macchina in cui nessuno può accedere alla radice?

Gradirei qualsiasi pensiero tu abbia sull'argomento.

Nessuno. Falli usare in sudomodo che tutti i comandi a livello di root siano registrati e attribuibili a una persona specifica.

Nessuno tranne forse un amministratore hardware ottiene la password di root! La password di root dovrebbe essere utilizzabile solo sulla console, non tramite SSH o altri servizi.

Utilizzare i gruppi per definire l'accesso a diversi set di programmi con l'escalation dei privilegi personali utilizzando sudo. Ad esempio, il gruppo di ruote è in genere per le persone che ottengono i privilegi di root, ma tutto viene registrato come proprio utente. Se le persone non necessitano di privilegi di root completi ma solo pochi comandi come un altro utente, crea un altro gruppo.

Se si utilizza e si distribuisce selinux, è possibile rimuovere il tipico account god "tutto sommato, tutto sapere" che è la normale configurazione root e convertirlo in un account più sicuro per la sicurezza.

La mia opinione è che le persone non dovrebbero eseguire comandi che richiedono i permessi di root, tranne ovviamente quando sono effettivamente registrati come root.

Per questo motivo, consiglierei di usare su (passa all'utente root) invece di sudo (aumenta temporaneamente le autorizzazioni al livello principale per un comando). Se necessitano dell'autorizzazione di root, modificale come utente root.

La mia domanda è: cosa fanno i tuoi utenti che pensano di aver bisogno di root?