Recientemente comencé a trabajar en seguridad de aplicaciones en una empresa de tamaño mediano, habiendo pasado de más de 5 años en consultoría de seguridad (pentesting, etc.). Uno de los mayores desafíos que veo aquí desde el principio es que los escáneres de seguridad y otras herramientas usan acceso de administrador / root, ya que eso es lo que los proveedores les dijeron que usaran, probablemente debido a la facilidad de configuración. Realmente no me gusta esta idea. Por ejemplo, Nexpose y Nessus están configurados para usar root y Administrator.
Mi pregunta: ¿Cuáles son las mejores prácticas en términos de gobernar el acceso a estas cuentas privilegiadas? Mi idea inicial es tener un tipo de sistema de bóveda de contraseñas, que solo conozca las contraseñas del sistema. Luego, un usuario puede "verificar" la contraseña del administrador / root según sea necesario "Para Nessus en particular, solo algunos comandos se ejecutan como root, por lo que creo que tendría sentido crear un usuario estándar y agregarlo a la archivo de sudoers y solo permite esos comandos específicos.