Linux集群管理员应对审计的7个小窍门

原创 2017年09月26日 00:00:00

640?wx_fmt=png&wxfrom=5&wx_lazy=1


构建超大型Linux集群的好处很简单——Hadoop、OpenStack、虚拟机管理程序和高性能计算(HPC)安装程序使你用商品化硬件就足够了,也让你可以简单地处理节点故障。小规模管理Linux基本的日常任务足矣,但当扩展到数千个节点的集群时,事情就很多了。

本文主要讲的是如何让Linux管理团队轻松应对审计。


1.基础知识:将集群与外部连接

在独立网络上构建集群(管理员可通过另一个公司LAN接口访问该网络)是很诱人的。像过去的Oracle数据库一样,Hadoop和HPC集群倾向于使用单个用户标识(UID)帐户(例如“hadoop”)来执行集群中的所有正在运行的任务。

审计不仅需要证明个人数据的存储方式,还要证明数据的操作、聚合或匿名方式,包括谁可以创建、更改或登录这些特定于应用程序的帐户。这是管理员和管理团队的焦点。


2.不要让软件安装程序创建帐户或Linux组

首先使用你最喜欢的配置管理器或身份管理器在每个集群节点(或目录)上创建所需的帐户。如果Hadoop帐户和组已经存在,则集群软件安装程序将使用它们。这么做的原因在后面三个步骤中会说明。


3.随处保持UID / GID的一致性

为了可追溯性,请确保你的公司具有一致的UID /组识别(GID)策略——可以在系统内识别个人和组的方式。对于集群的软件,唯一的应用程序UID和GID需要适合整个组织的基础设施,而不仅仅是集群中。


4.Sudo,而不是Sudon't

如果你手动将sudoers文件分发到集群中或管理特定于站点的脚本环境,那么由你和你的团队来证明你确切了解集群节点47上的sudoers文件在过去几个星期之内所处的状态这是令所有人都头痛的。

你的团队需要一个策略来实现集中管理和版本控制。这可以通过在节点操作系统安装过程中使用像Ansys这样的工具来实现,也可以对自动部署的机器镜像进行版本控制来实现。


5.将集群挂载到组织的SIEM

集群会生成大量的日志文件。例如,Hadoop的Hortonworks分发在几分钟内产生数以百计的“su hadoop”消息。安全信息和事件管理(SIEM)平台是使相关事件有意义的好方法。SIEM系统为安全事件提供更快的识别、分析和恢复。例如:

   
——David通过使用多因素身份验证(MFA)通过VPN登录企业网络
   
——David SSH进入生产jumpstart服务器
   
——David SSH进入集群节点47,然后SUed到root
   
——David将Hadoop帐户的UID从10011改为13011
   
——直到18:00,集群节点47上的Hadoop帐运行138个SU作业户

操作系统、应用程序或集群管理器的日志查看器可能只显示部分信息。将所有内容发送给SIEM更安全和更完整,而且坦率地让另一团队承担创建报告的责任。审计实际上更喜欢放手模式——让非Linux管理团队的人员证明发生了什么。


6.获得正确的培训和工具

如果一个团队成员每个审核周期需要花费四天以上的时间来帮助审计,那么你的团队将不堪重负。理想情况是最多两天(最好是一天)。获得足够的培训对于生产力至关重要。

例如,如果你的集群处理人员数据,请针对集群运行的每个合规机制进行一些以运营为重点的培训。确保进行有特定版本要求的考试——获得认证不仅对简历有好处,也提供了对团队进行审核的参考。

最后,当纯粹的开源通不过审计时,知道什么时候向老板申请购买商业工具。如果你处理人员数据,所有工具都需要维护合同。很好解释开源供应商有商业发行,为什么公司需要支付维护费用。


7.牢记审计的需求

节省运营时间的技术对于优化效率是非常有用的,但为了审计保持记录很重要。

专门针对审计跟踪,把针对公司SIEM的报告工具委托给另一个团队,并让这个团队创建报告。大多数开源和商业SIEM系统具有交互式报告功能,并且有强大的第三方报告工具供应商(通常针对特定的细分场领域)。从SIEM向自己的数据和系统持有人提供有意义的每日/每周/每月操作信息是一个很好的附带结果。再次强调,你的管理团队不应该做乏味的工作。此外,让你的团队结合使用配置管理产品,如Puppet或Ansible。



编译:Karen Lee

作者:Steven J. Vaughan-Nichols

来源:https://opensource.com/article/17/9/7-ways-linux-cluster-admin


投稿邮箱:openstackcn@sina.cn

640?wx_fmt=jpeg


SAP权限管理,我的理解

本人2001年至今一直从事basis工作,曾经是erphome basis版主,管理过多个500人以上的sap系统,自创《basis权限终究密集》,下面我想说说sap权限管理我的理解: 我经历的多...
  • ot512csdn
  • ot512csdn
  • 2016年10月10日 09:50
  • 2043

Linux系统之工具篇(二)集群管理软件clustershell

一、简介 实验室机房有大概百台的服务器需要管理,加上需要搭建Hadoop以及Spark集群等,因此,一个轻量级的集群管理软件就显得非常有必要了。经过一段时间的了解以及尝试,最终选择了clustersh...
  • PicassoLoveCoding
  • PicassoLoveCoding
  • 2014年10月23日 17:28
  • 3298

集群上的用户权限管理及无密码登陆配置

在实验用的集群上,通常安装多种实验平台。我们需要管理集群,同时需要对适合的人分配适合的权限,以免对其他人造成干扰。因此本博将细致介绍一下权限分配管理。         权限管理思路,对普通用户不授予管...
  • andgot
  • andgot
  • 2015年03月28日 21:52
  • 1808

在Linux下灵活使用expect脚本的小窍门

对于喜爱自动化的Linux系统管理员而言,一定是用过expect这个命令行工具。Expect 是由 Don Libes 基于 Tcl 语言开发的,并被广泛应用于交互式操作和自动化测试的场景之中,它尤其...
  • qingdaowuhao
  • qingdaowuhao
  • 2011年06月23日 11:27
  • 112

在Linux下灵活使用expect脚本的小窍门

对于喜爱自动化的Linux系统管理员而言,一定是用过expect这个命令行工具。Expect 是由 Don Libes 基于 Tcl 语言开发的,并被广泛应用于交互式操作和自动化测试的场景之中,它尤其...
  • liubingger
  • liubingger
  • 2017年01月02日 09:57
  • 161

linux小窍门──设置时钟和时间

介绍:     本文档解释了如何从linux下设置计算机的时钟,如何设置您的时区和其它与linux如何保存时间相关的材料。     您的计算机有两个时钟,一个是始终运行的、由电池供电的( 硬件的、...
  • xiaoaide01
  • xiaoaide01
  • 2014年02月21日 19:48
  • 484

“懒惰”Linux集群管理员的11个秘诀

集群对于不同的人有不同的含义。在本文的上下文中,集群最好定义为横向扩展(scale-out)—— 横向扩展集群一般包含大量相同类型的组件,比如 Web 场、表示场和高性能计算 (HPC) 系统。管理员...
  • rootsongjc
  • rootsongjc
  • 2013年09月03日 20:36
  • 1225

Linux集群管理员的11个秘诀

Linux集群管理员的11个秘诀 集群对于不同的人有不同的含义。在本文的上下文中,集群最好定义为横向扩展(scale-out)—— 横向扩展集群一般包含大量相同类型的组件,比如 Web 场、表示...
  • huoyunshen88
  • huoyunshen88
  • 2014年01月26日 22:06
  • 1072

电脑操作小窍门

  • 2011年10月27日 12:59
  • 779B
  • 下载

一些小窍门,希望大家喜欢

  • 2009年10月25日 14:23
  • 9KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Linux集群管理员应对审计的7个小窍门
举报原因:
原因补充:

(最多只允许输入30个字)