PCI DSS y claves ssh para root

Navega tus respuestas
2

Refiriéndose a esta teclas PCI DSS 2.0 y ssh Quiero preguntar

¿Esta sección 8.2 de PCI es solo para usuarios individuales o también es válida si un usuario se conecta a través de ssh a una cuenta raíz?

Prefiero ssh root @ localhost en lugar de sudo, porque una vez desbloqueas la clave en ssh-agent y luego puedes realizar acciones sin contraseña en varios servidores.

Con sudo, deberá escribir su contraseña en todos los servidores, una y otra vez (y es lo mismo, porque ldap) frustrante a un nivel tal que la contraseña terminará en un script de expectativa.

    
pregunta Gunstick 19.02.2015 - 14:37
fuente

2 respuestas

2

8.2 no es tu problema, 8.1 es. Se hace referencia en 8.2:

  

Además de asignar una ID única ...

8.1 estados:

  

Asigne a todos los usuarios una ID única antes de permitirles acceder al sistema   Componentes o datos del titular de la tarjeta.

Si inicia sesión directamente en la cuenta raíz a través de la red, entonces no hay una ID única involucrada para acceder al sistema. Los registros de auditoría del sistema no proporcionan ninguna correlación entre las actividades realizadas por la raíz y el empleado que las realizó.

La mayoría de los QSA interpretan que 8.1 no permite el inicio de sesión directo de raíz por este motivo.

Dicho esto, nada en DSS requiere que sudo requiera contraseñas para los usuarios autorizados que ya se han autenticado en el sistema. Sujeto a la aprobación de su QSA, debería poder usar NOPASSWD: para aflojar el requisito de escritura de contraseñas por los administradores autorizados.

    
respondido por el gowenfawr 19.02.2015 - 14:50
fuente
0

Puede ejecutar una ejecución final para evitar que su shell se configure en sudo root al iniciar sesión. La auditoría adecuada permitirá el seguimiento de cualquier proceso a quien haya iniciado sesión originalmente, cumpliendo así el espíritu de la PCI (atribución) mientras le brinda la comodidad de root. Consulte también enlace

    
respondido por el Jeff Ferland 19.02.2015 - 21:08
fuente

Lea otras preguntas en las etiquetas

Asegurando elasticsearch detrás de un proxy inverso múltiples claves privadas para una sola clave pública