La forma correcta de elevar privilegios de SUDO en PAM

Con SUDO o sin SUDO, esa es la cuestión. Lo cierto es que este comando tiene tanto defensores como detractores, pero como siempre, no hay una respuesta correcta o incorrecta sino un camino a seguir si lo que se desea es proteger un sistema.

¿De qué va realmente el debate?

SUDO permite a los usuarios elevar sus derechos para ejecutar comandos sensibles (rm -rf*) mientras aplica la política del privilegio mínimo.

El objetivo del comando SUDO es aplicar la política del privilegio mínimo a los usuarios

Por un lado, en el entorno de la Gestión de Acceso Privilegiado (PAM) la importancia de este comando puede parecer limitada: un sistema de destino bien configurado ya tiene cuentas con derechos de acceso personalizables y adecuados. Sí, pero… un sistema bien configurado no autoriza el acceso de root a través de SSH.

Por otro lado, un punto a favor de SUDO es que las credenciales empleadas para la elevación se guardan en el vault de contraseñas para que ningún usuario pueda acceder a ellas. Cabe destacar que un entorno tipo PAM existen alternativas como el despliegue de una solución propietaria o de un agente local para para centralizar los archivos de SUDO.

En lugar de andarse con rodeos, ¿por qué no usamos directamente el gran potencial de PAM?

SUDO para PAM

WALLIX Bastion ofrece una inyección de comandos al inicio de una sesión SSH para que el administrador pueda llevar a cabo un ajuste de los comandos de SUDO para sus usuarios privilegiados al mismo tiempo que el vault se encarga de proteger las credenciales. Ahora, en lugar de eludir el problema, es posible aprovechar de forma segura la potencia de todos los comandos de SU/SUDO y crear scripts para limitar el campo de acción de un usuario sin repercutir en el sistema de destino.

En pocas palabras, para conceder privilegios a un usuario primario WALLIX Bastion sigue dos pasos:

  • Establece una sesión sin privilegios a un objetivo SSH, ya que las conexiones de root a través de SSH están prohibidas.
  • Inyecta las credenciales de SUDO de forma automática y transparente dentro de la sesión concediéndole al usuario primario los derechos adecuados al mismo tiempo que le impide conocer las credenciales del dispositivo de destino.

¡Póngase en contacto con nosotros si desea obtener más información sobre SUDO para PAM!