Question:
Pourquoi les entreprises n'accordent-elles pas un accès root aux employés sur leurs ordinateurs de bureau?
Bananach
2018-10-25 14:08:17 UTC
view on stackexchange narkive permalink

Pourquoi les entreprises ne donnent généralement pas à leurs employés un accès root à leurs ordinateurs de bureau qui ne sont utilisés que par un seul employé?

Si ce que je peux faire sur ma machine constitue une menace pour le reste du réseau , n'est-ce pas une faille de sécurité en soi? Pourquoi les droits que j'ai sur ma propre machine affectent-ils ce que je peux faire aux autres sur le réseau?

Le but de la gestion des utilisateurs Unix n'est-il pas de protéger les fichiers de l'utilisateur A sur la machine X contre l'accès par l'utilisateur B sur la machine X?

S'il s'agit de protéger l'utilisateur de lui-même (par exemple, d'installer quelque chose avec un accès root qui effacera le disque dur): Puisque je travaille sans accès root, tous mes fichiers sont la propriété de moi-même; par conséquent, si je suis dupe et que j'exécute un script diabolique sans accès root et qu'il efface tous les fichiers que je possède, c'est tout aussi mauvais que si je lui avais donné un accès root et qu'il effaçait tout le disque dur.

Qu'entendez-vous par accès root?Voulez-vous dire ne pas fournir le mot de passe root pour pouvoir sudo ou ne pas autoriser les utilisateurs à se connecter à root?
Qu'est-ce qui vous fait dire que c'est typique?J'ai eu un accès root sur ma machine locale dans chaque travail que j'ai eu.
Il serait beaucoup plus facile de répondre à cette question si vous aviez un cas d'utilisation expliquant pourquoi vous pensez que vous devriez l'avoir.
Vous posez des questions sur les systèmes * NIX en particulier, ou sur tous les ordinateurs de travail (par exemple, les droits d'administrateur sur une machine Windows)?
Je ne pense pas qu'ils ne pourraient pas protéger le réseau de votre machine.Mais ce qu'ils veulent en fin de compte, c'est de protéger ** les fichiers de l'entreprise ** sur votre machine contre les mauvaises choses (qui pourraient vous inclure).
Cela dépend de votre rôle et des besoins éventuels.En tant que développeur, j'ai toujours eu un accès root car j'en aurais besoin plusieurs fois par jour
@Bergi Pourquoi stockent-ils des fichiers importants sur un WS d'un modeste employé?Si l'employé en a besoin pour son travail, il doit * aussi * y accéder, sinon pourquoi sont-ils même là?Avoir un accès root ou non devrait être totalement hors de propos.AFAIK ne donnant pas d'accès root évite probablement à certaines personnes de «casser» leurs systèmes en essayant d'installer / mettre à jour quelque chose, au prix de devoir gérer chaque type d'installation / mise à jour.Pour une machine de développement qui ne devrait contenir que du code, des compilateurs, etc., je ne vois pas l'avantage de ne pas donner de racine.
Je suis un développeur de logiciels et j'ai un accès root à ma machine, et à certains serveurs pour lesquels j'ai une raison particulière, mais pas à d'autres machines.Bien qu'il n'y ait pas ici un accent fort sur la sécurité.
Quel est le rôle de l'employé?Vous demandez-vous pourquoi * tous * les employés ne disposent pas d'un accès root?
J'ai vu les deux, les grandes organisations ont tendance à ne pas autoriser le root sans obtenir la permission au préalable, tandis que la plupart des petites et moyennes organisations ne se soucient pas assez de restreindre cela.
C'est très inhabituel.
Huit réponses:
schroeder
2018-10-25 14:33:09 UTC
view on stackexchange narkive permalink

Les administrateurs de sécurité sont responsables de votre machine et de ce qui se passe sur votre machine. Cette responsabilité viole le modèle de sécurité de base pour une machine Unix mono-utilisateur car l'administrateur (une partie absente) est root sur votre machine, vous n'êtes pas. Unix n'est pas vraiment configuré pour ce modèle.

Les administrateurs doivent pouvoir installer des contrôles de sécurité sur votre machine afin de protéger l'entreprise, pas seulement les données, le réseau et les autres nœuds. Si l'utilisateur local disposait d'un accès root, les administrateurs ne contrôlent plus ces contrôles. C'est le principe de base.

Oui, il y a des tonnes de raisons pour lesquelles root est nécessaire pour faire de mauvaises choses ou pour transformer la machine en un nœud malveillant et toutes ces raisons sont de bonnes raisons de ne pas fournir un accès root. Et oui, il existe de nombreuses façons de contourner ces limitations et de nombreuses façons pour l'utilisateur local de faire de mauvaises choses. Mais en fin de compte, l'utilisateur local et le propriétaire des risques ne peuvent pas être en concurrence pour le contrôle ou la responsabilité de la machine.

Le premier paragraphe me déroute.Les systèmes d'exploitation Unix sont multi-utilisateurs, pas mono-utilisateur, et c'est précisément pourquoi ils sont configurés pour ce modèle.Le fait qu'aujourd'hui la plupart des machines sont destinées à un seul utilisateur, cela ne fait que ne pas avoir plusieurs utilisateurs normaux, chacun avec leur propre répertoire personnel, dans une seule machine.C'est la seule différence, non?Le modèle de sécurité de base est resté multi-utilisateur, root étant toujours là pour un éventuel administrateur séparé.
La machine en question * n'a * qu'un seul utilisateur (l'OP).Bien sûr, Unix est multi-utilisateur, et c'est le modèle qui est violé, car sur une machine mono-utilisateur, cet utilisateur a besoin de certains droits d'administrateur.
@schroeder simplement parce que personne d'autre ne s'assoit au bureau et tape ne signifie pas qu'il n'y a pas d'autres utilisateurs de la machine.S'il s'agit d'un environnement de travail, la machine doit être gérée par un administrateur, ce n'est donc PAS une machine mono-utilisateur.
@schroeder J'ai voté pour votre réponse, nous ne sommes pas en désaccord.Je pense simplement qu'il serait bon de signaler à l'utilisateur que ce n'est pas parce qu'il ne voit pas une autre personne utiliser l'ordinateur qu'il n'y a pas d'autre utilisateur.
J'ajouterais que certains services informatiques donnent un accès sudo ou root à * certains * de leurs utilisateurs.Le critère principal pour cela semble être qu'ils feront confiance aux utilisateurs qui (a) ont un besoin réel de l'installation (b) peuvent être sûrs de ne pas abuser de l'installation, (c) sont honnêtes sur ce qu'ils ont fait s'ils font des erreurset (d) connaissent leurs limites et n'essaieront pas de faire des choses qu'ils ne comprennent pas.La combinaison de ces critères exclut un grand nombre de personnes.Évidemment, ce genre de confiance ne peut être accordé par la direction ou les RH, mais uniquement par l'informatique aux personnes qu'ils connaissent.
me_and
2018-10-25 14:23:34 UTC
view on stackexchange narkive permalink

Quelques raisons qui me viennent à l'esprit:

  • L'empoisonnement ARP ou les attaques par inondation de réseau sur le réseau nécessiteraient généralement un accès root à une machine sur le réseau.

  • Pouvoir installer des programmes non autorisés pourrait exposer l'entreprise à une responsabilité légale si ces programmes sont eux-mêmes illégaux (par exemple parce qu'ils sont piratés ou ne sont pas autorisés à des fins lucratives ou autre).

  • Si l'entreprise a une sorte de surveillance à distance des employés (ou souhaite avoir la possibilité d'avoir une telle surveillance même si elle n'est pas encore en place), donner aux utilisateurs un accès root leur permettrait pour contourner cela.

  • Ne pas avoir d'accès root signifie que vous ne pouvez pas rm -rf / bin , ou un certain nombre d'autres choses destructrices, et ni toute personne ayant accès à vos informations de connexion peut-elle accéder à vos informations de connexion, il n'y a donc aucune chance que votre entreprise ait besoin de vous aider à vous remettre de cette situation.

  • Si votre entreprise pourrait redéployer votre machine si vous partez , ils pourraient se sentir plus à l'aise de le faire avec faire un nettoyage complet et une réinstallation si vous n'y avez jamais eu accès root.

  • Donner aux gens un accès root est facile, si cela devient nécessaire; supprimer complètement l'accès root est difficile si cela devient nécessaire.

  • Le principe général du moindre privilège est que vous ne devez donner accès à personne / à rien ils n'en ont pas activement besoin.

  • Simplement ne pas avoir quitté l'époque des serveurs partagés parce que c'est un processus qui a fonctionné et que rien n'a brisé l'inertie (l'hypothétique problème des singes et des échelles).

Le deuxième point n'est pas très fort car il est certainement possible de violer les lois sur les licences avec un logiciel que vous manquez de votre répertoire personnel.
Il est généralement courant qu'un ordinateur soit effacé et réimagé lorsqu'il est redéployé sur un autre membre du personnel.Laisser tous les éléments d'un ancien membre du personnel dans leur répertoire personnel semble être plus un handicap. Je pense à ces points, le principe du moindre privilège est la raison la plus convaincante de le faire, mais ce principe justifie également de leur donner un accès root dès qu'ils en ont un besoin légitime.
@BenMillwood - Ce n'est pas possible si l'administrateur configure une politique de restriction logicielle
Votre premier point est un peu hors de propos.Il est trivialement facile de détruire un LAN de l'espace utilisateur, vous n'avez même pas besoin d'intention, encore moins de privilèges élevés.Enfer, vous n'avez même pas besoin d'un ordinateur, vous pouvez entrer dans la plupart des immeubles de bureaux avec 15 pieds ou moins de cat5 et ruiner la journée de quelqu'un en connectant les deux mauvais ports.Il existe une catégorie d'attaques malveillantes dirigées que l'accès root peut activer, mais cela permet très peu d'erreurs idiotes maladroites qui ne sont pas répliquées de manière triviale depuis l'espace utilisateur tout le temps.
@paj28 Les systèmes de type Unix ont-ils même * une «politique de restriction logicielle», et cela serait-il utile sur un tel système?(c'est-à-dire des systèmes où vous pouvez "exécuter des scripts" et où l'administrateur est nommé "root", comme la question le demande)
Oui, pour être clair, je n'essaie pas de prétendre que ce sont tous de * bons * arguments pour la chose simplement qu'ils sont des arguments qui pourraient être utilisés pour justifier la politique.
@EthanKaminski - Oui, ils ont des choses similaires, à la fois des produits commerciaux et des scripts sur mesure.Avec une configuration serrée, vous ne pouvez pas exécuter vos propres scripts.Est-ce quelque chose de pertinent pour vous, ou demandez-vous simplement d'être contrariant?
Jared Smith
2018-10-25 23:09:54 UTC
view on stackexchange narkive permalink

Cette réponse ne vise pas à contredire les réponses existantes, mais plutôt à les compléter car elle est trop longue pour un commentaire.

Une partie de la raison est (comme d'autres l'ont fait allusion) que les utilisateurs ne peuvent pas faire confiance à ne pas faire de choses insensées / malveillantes. Mais une autre partie est de savoir à qui incombe la responsabilité de réparer les choses lorsque cela se produit?

Je suis un développeur full-stack et des développeurs à temps partiel avec un accès root non seulement à mes propres machines de développement, mais à un certain nombre de notre production serveurs et au moins un certain niveau d'accès à l'hyperviseur sur lequel ils sont déployés. Mais si je me trompe, je suis la partie (ou au moins une partie) avec les compétences, l'expertise et la responsabilité pour y remédier. Ce n'est pas le cas de l'utilisateur final typique: si Bobby l'utilisateur effectue son installation Windows qui contenait des données critiques et / ou était utilisé pour un travail critique, alors Bobby n'est pas celui qui doit intervenir sur son / sa journée de congé ou de faire des heures supplémentaires non rémunérées pour y remédier. Sans parler de la réponse à la comment Bobby a réussi à couler presque à lui seul le navire.

Les services informatiques limitent donc les privilèges des utilisateurs finaux en partie parce que cela réduit les leurs exposition au risque.

Comment Bobby pourrait-il avoir des données critiques non récupérables sur sa machine?Comment pourrais-je avoir plus d'une demi-heure pour réinitialiser sa machine?Les deux me semblent être des défauts de conception.De plus, comme indiqué dans ma question, ne pas lui donner un accès root ne l'empêche pas de supprimer les données sur lesquelles il travaille réellement
@Bananach Je n'ai jamais dit irrécupérable, et je n'ai jamais dit que la réimagerie était * difficile *, mais à qui revient la tâche de récupérer les données et de redéployer la machine?Pas celle de Bobby ...
Serge Ballesta
2018-10-26 11:38:52 UTC
view on stackexchange narkive permalink

AFAIK, il y a 4 raisons principales pour ne pas donner accès administrateur aux utilisateurs standard sur leurs bureaux:

  • protéger la machine elle-même (pas toujours très efficace) et les autres machines du réseau contre d'éventuelles attaques utilisant cette machine comme relais (déjà couvertes par d'autres réponses)
  • protègent l'équipe de support informatique contre les attaques de niveau administrateur qui nécessiteront beaucoup de travail pour corriger (déjà couvert par d'autres réponses)
  • conserver toutes les machines avec (plus ou moins) la même configuration pour pouvoir faire simplement des déploiements à distance à partir d'une seule machine d'administration - la plus petite taille de l'équipe de support, la moins chère pour le entreprise
  • empêcher (ou au moins essayer de) les utilisateurs d'installer des programmes sans rapport avec leur travail - un utilisateur jouant à des jeux au travail ou concevoir sa future cuisine n'est pas très productif ...

Mais il ne peut pas protéger les données sur la machine ni plus généralement les données accessibles à l'utilisateur, être sur la machine locale ou sur un serveur. C'est là que les sauvegardes viennent à la rescousse.

Je mettrais l'accent sur l'aspect maintenance.Si le service informatique sait ce qu'il y a sur chaque machine, il a beaucoup plus de facilité à déterminer ce qui ne va pas ou avec des mises à jour.J'ai connu des départements informatiques qui disaient "vous pouvez avoir root mais ensuite vous n'avez pas de support".(J'ai pris racine ;-).)
Bob
2018-10-27 02:53:06 UTC
view on stackexchange narkive permalink

Votre machine n'est pas uniquement utilisée par vous. Il est également utilisé par votre équipe de support de bureau.

Si j'ai un accès root à une boîte - en particulier une boîte Windows jointe à un domaine - je peux installer n'importe quel nombre d'astuces différentes que je pourrais utiliser pour compromettre tout autre utilisateur de la boîte. Disons, par exemple, un keylogger.

Ensuite, tout ce que j'ai à faire est de persuader un ingénieur du support de se connecter pour résoudre un "problème" fraîchement fabriqué (comme casser le secret partagé de Kerberos), attendez-les pour passer à l'administrateur de domaine et je viens de compromettre l'ensemble du réseau.

Le keylogger ne sera-t-il pas détecté par le scanner de logiciels malveillants? Pas si j'ai root, ce ne sera pas le cas.

Vous obtenez ce dont vous avez besoin pour faire votre travail. Si votre travail nécessite un accès root, vous l'obtenez - avec le discours de pouvoir / responsabilité associé. Mon travail est de protéger tout le monde contre vous.

Si vous voulez vraiment root sur votre poste de travail personnel, pensez au BYOD - mais si vous le cassez, vous le corrigez.

Bien que cela reflète les pratiques de travail dans de nombreux réseaux, il manque plusieurs vecteurs d'attaque.Lorsque le modèle de menace inclut des utilisateurs malveillants, je n'entrerai * jamais * les informations d'identification root sur une machine de l'utilisateur final, uniquement des machines stockées dans des environnements contrôlés (c'est-à-dire des salles des machines verrouillées).Si l'utilisateur final a un accès physique à la machine, il peut contourner les protections d'autorisation au niveau du système d'exploitation, les vecteurs d'attaque matérielle sont faciles à déployer et le hachage du mot de passe root qui atteint les caches locaux est problématique.L'exception est un mot de passe root spécifique à la machine qui n'est partagé par aucune autre machine.
user189852
2018-10-26 14:25:05 UTC
view on stackexchange narkive permalink

L'entreprise doit protéger les choses. Ils doivent protéger leur secret commercial, mais ils doivent également protéger des éléments tels que les données des utilisateurs. Si chaque employé a une autre configuration potentiellement non sécurisée sur son bureau, l'entreprise n'a aucune chance de s'assurer qu'il n'y a pas de vol de données ni de perte de données. Une gestion centralisée par des professionnels permet de sécuriser les ordinateurs et d'éviter la perte accidentelle de données.

rackandboneman
2018-10-26 13:44:24 UTC
view on stackexchange narkive permalink

Dans le cas d'une boîte unix connectée à tout type de serveurs de fichiers NFS old school (v2 ou v3), l'accès root local permet effectivement à un utilisateur d'interférer avec les fichiers d'autres utilisateurs, puisque l'autorisation est partiellement implémentée côté client avec ces protocoles, tandis que l'authentification est sous le contrôle de l'utilisateur local de cette façon. Cela signifie que quelqu'un peut simplement poursuivre un compte utilisateur existant ou créé avec le même uid et avoir accès aux fichiers appartenant à cet uid sur NFS.

De plus, est "utilisé uniquement par un seul employé" le définitive ou la manière habituelle d'y travailler? Si les machines font partie d'un domaine d'authentification commun, parfois échangées entre les utilisateurs selon les besoins, ou si l'accès aux machines d'un collègue (mais pas à leurs données!) Est parfois autorisé, cela ressemble à un scénario purement mono-utilisateur, mais il utilise en fait des fonctionnalités multi-utilisateurs pour la gestion de l'équipement fins.

user208145
2018-10-28 04:49:27 UTC
view on stackexchange narkive permalink

À partir d'un PDV de licence logicielle, je ne veux pas que les utilisateurs puissent installer des logiciels bon gré mal gré. Par exemple, un utilisateur souhaite installer Sublime Text, un éditeur de texte qui permet de l'utiliser gratuitement pendant une durée limitée. Il le supprime et le réinstalle après le temps imparti. Cela enfreindrait le CLUF.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...