构建超大型Linux集群的好处很简单——Hadoop、OpenStack、虚拟机管理程序和高性能计算(HPC)安装程序使你用商品化硬件就足够了,也让你可以简单地处理节点故障。小规模管理Linux基本的日常任务足矣,但当扩展到数千个节点的集群时,事情就很多了。
本文主要讲的是如何让Linux管理团队轻松应对审计。
1.基础知识:将集群与外部连接
在独立网络上构建集群(管理员可通过另一个公司LAN接口访问该网络)是很诱人的。像过去的Oracle数据库一样,Hadoop和HPC集群倾向于使用单个用户标识(UID)帐户(例如“hadoop”)来执行集群中的所有正在运行的任务。
审计不仅需要证明个人数据的存储方式,还要证明数据的操作、聚合或匿名方式,包括谁可以创建、更改或登录这些特定于应用程序的帐户。这是管理员和管理团队的焦点。
2.不要让软件安装程序创建帐户或Linux组
首先使用你最喜欢的配置管理器或身份管理器在每个集群节点(或目录)上创建所需的帐户。如果Hadoop帐户和组已经存在,则集群软件安装程序将使用它们。这么做的原因在后面三个步骤中会说明。
3.随处保持UID / GID的一致性
为了可追溯性,请确保你的公司具有一致的UID /组识别(GID)策略——可以在系统内识别个人和组的方式。对于集群的软件,唯一的应用程序UID和GID需要适合整个组织的基础设施,而不仅仅是集群中。
4.Sudo,而不是Sudon't
如果你手动将sudoers文件分发到集群中或管理特定于站点的脚本环境,那么由你和你的团队来证明你确切了解集群节点47上的sudoers文件在过去几个星期之内所处的状态。这是令所有人都头痛的。
你的团队需要一个策略来实现集中管理和版本控制。这可以通过在节点操作系统安装过程中使用像Ansys这样的工具来实现,也可以对自动部署的机器镜像进行版本控制来实现。
5.将集群挂载到组织的SIEM
集群会生成大量的日志文件。例如,Hadoop的Hortonworks分发在几分钟内产生数以百计的“su hadoop”消息。安全信息和事件管理(SIEM)平台是使相关事件有意义的好方法。SIEM系统为安全事件提供更快的识别、分析和恢复。例如:
——David通过使用多因素身份验证(MFA)通过VPN登录企业网络
——David SSH进入生产jumpstart服务器
——David SSH进入集群节点47,然后SUed到root
——David将Hadoop帐户的UID从10011改为13011
——直到18:00,集群为节点47上的Hadoop帐运行138个SU作业户
操作系统、应用程序或集群管理器的日志查看器可能只显示部分信息。将所有内容发送给SIEM更安全和更完整,而且坦率地让另一团队承担创建报告的责任。审计实际上更喜欢放手模式——让非Linux管理团队的人员证明发生了什么。
6.获得正确的培训和工具
如果一个团队成员每个审核周期需要花费四天以上的时间来帮助审计,那么你的团队将不堪重负。理想情况是最多两天(最好是一天)。获得足够的培训对于生产力至关重要。
例如,如果你的集群处理人员数据,请针对集群运行的每个合规机制进行一些以运营为重点的培训。确保进行有特定版本要求的考试——获得认证不仅对简历有好处,也提供了对团队进行审核的参考。
最后,当纯粹的开源通不过审计时,知道什么时候向老板申请购买商业工具。如果你处理人员数据,所有工具都需要维护合同。很好解释开源供应商有商业发行,为什么公司需要支付维护费用。
7.牢记审计的需求
节省运营时间的技术对于优化效率是非常有用的,但为了审计保持记录很重要。
专门针对审计跟踪,把针对公司SIEM的报告工具委托给另一个团队,并让这个团队创建报告。大多数开源和商业SIEM系统具有交互式报告功能,并且有强大的第三方报告工具供应商(通常针对特定的细分场领域)。从SIEM向自己的数据和系统持有人提供有意义的每日/每周/每月操作信息是一个很好的附带结果。再次强调,你的管理团队不应该做乏味的工作。此外,让你的团队结合使用配置管理产品,如Puppet或Ansible。
编译:Karen Lee
作者:Steven J. Vaughan-Nichols
来源:https://opensource.com/article/17/9/7-ways-linux-cluster-admin
投稿邮箱:openstackcn@sina.cn
3753
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
