Context:
- Pequeñas empresas, principalmente una casa de software para aplicaciones web, pero también algunas aplicaciones de escritorio.
- Muchos colaboradores externos, por lo tanto, una variedad de usuarios externos con acceso a los servidores.
- Servidor físico único, con Linux y Xen como solución de virtualización: cada máquina virtual tiene usos específicos y acceso controlado. Los usuarios externos pueden acceder a dos de ellos
- Los servidores (virtuales) brindan una variedad de servicios: pila LAMP, correo electrónico, DNS, etc. Esta pregunta se refiere a mis inquietudes con respecto al acceso de usuarios locales
- Los usuarios pueden SSH en dos de las máquinas virtuales
Requisitos
- Proporcione a los usuarios acceso a herramientas de desarrollo comunes, tanto para la web (PHP, Ruby on Rails, etc.) como para aplicaciones independientes (gcc, g ++, etc.); Esto incluye no solo compiladores y similares, sino también editores. En este momento, tienen acceso completo a la shell.
- Los usuarios deben poder utilizar el control de origen en el servidor: svn y git
- Algunos tienen acceso a las bases de datos MySQL
Pregunta
¿Qué pasos debo seguir para:
- Proporcione un shell completo a los usuarios, si es posible, o una solución equivalente que cumpla con los requisitos anteriores de manera segura
- Automatizar el monitoreo de actividades peligrosas donde sea posible (como en las notificaciones de sudo / su)
- Minimice los efectos si un usuario obtiene un exploit de escalamiento de privilegios de 0 días antes de que alguien lo parche en el servidor, ¿es esto posible?