7 个 Linux 集群管理员技巧,让审计员满意

尝试这些策略,在不浪费您的时间或考验您的耐心的情况下满足审计员的要求。
341 位读者喜欢这个。
Programming keyboard.

Opensource.com

构建超大型 Linux 集群的美妙之处在于它很容易。 Hadoop、OpenStack、虚拟机监控程序和高性能计算 (HPC) 安装程序使您能够在商用硬件上构建,并相对简单地处理节点故障。在小规模上学习和管理 Linux 管理涉及基本的日常任务;但是,当规划并将生产扩展到数千个节点集群时,它可能会占据您的生活,包括您的周末和假期。

关于加密传输中和静态的人员相关数据的具体要求已在其他地方进行了大量讨论,因此我将不在此处进行介绍。相反,我们将重点关注如何进行准备,以避免审计给您的 Linux 管理团队带来麻烦。

1. 基础知识:将您的集群连接到世界

很想在独立网络上构建集群,并在第二个企业 LAN 接口上进行管理员访问。与过去的 Oracle 数据库一样,Hadoop 和 HPC 集群倾向于使用单个用户身份 (UID) 帐户(例如,“hadoop”)执行集群中的所有正在运行的任务。

审计需要证明的不仅是个人数据的存储方式,还包括数据的处理、聚合或匿名化方式,以及谁可以创建、更改或登录这些特定于应用程序的帐户。这就是您和您的管理团队成为关注焦点的原因。

2. 不要让软件安装程序创建帐户或 Linux 组

首先使用您喜欢的配置管理器或身份管理器在每个集群节点(或目录)上创建所需的帐户。如果 Hadoop 帐户和组已存在,集群软件安装程序将改用这些帐户和组。我们希望这种行为有几个原因,如下面接下来的三个步骤中概述的那样。

3. 在所有地方保持 UID/GID 一致性

为了以后的可追溯性,请确保您的组织具有一致的 UID/组标识 (GID) 策略——一种在系统中识别个人和组的方式。对于您集群的软件,唯一的应用程序 UID 和 GID 需要适合组织基础设施中的该矩阵,而不仅仅是在您的集群中。

4. 使用 Sudo,而不是 Sudon't

如果您正在手动将 sudoers 文件分发到您的集群中或管理特定于站点的脚本环境,那么您和您的团队将有责任证明您确切地知道集群节点 47 上 sudoers 文件在几周前的某一时刻的状态。这是我们可以避免的麻烦。

为了自我保护,您的团队需要制定一项策略,使之实现集中管理并置于版本控制之下。这可以通过在节点操作系统设置期间使用 Ansible 等工具或为自动部署版本化机器映像来实现。

5. 将集群连接到您组织的 SIEM

集群可以生成大量日志文件。例如,Hadoop 的 Hortonworks 发行版在几分钟内生成数百或数千条“su hadoop”消息。安全信息和事件管理 (SIEM) 平台(开源与否)是理解相关事件的绝佳方式。 SIEM 系统提供更快的安全事件识别、分析和恢复。例如

  • David 通过 VPN 使用多因素身份验证 (MFA) 从家登录到公司网络
  • David SSH 进入生产 jumpstart 服务器
  • David SSH 进入集群节点 47,然后 SU 到 root
  • David 将 Hadoop 帐户的 UID 从 10011 更改为 13011
  • 集群在节点 47 上以 Hadoop 帐户身份运行了 138 个 SU 作业,直到 18:00

操作系统、应用程序或集群管理器的日志查看器可能只向您显示此图景的片段。将所有内容发送到 SIEM 更安全、更完整,坦率地说,创建报告成为另一个团队的责任。审计员实际上更喜欢这种非接触式模型,即由与您的 Linux 管理团队分开的其他人来证明发生了什么。  

6. 获得正确的培训和工具

如果团队成员在每个审计周期花费超过四天的时间来帮助审计员,则表明您的团队不堪重负。有些东西坏了和/或不明显。您的理想时间是最多两天(如果可能,一天)。获得充分的培训对于提高生产力至关重要。

例如,如果您的集群处理人员数据,请针对您集群运行所在的每个合规制度获得一些以操作为中心的培训。确保有考试——获得特定版本的要求的认证不仅对您的简历有好处;它还可以使对您团队的审计审查成为一个快速的复选框。

最后,当纯粹的开源无法通过审计时,要知道何时要求您的老板打开钱包购买商业工具。如果您处理人员数据,所有工具都需要维护合同。开源供应商拥有商业发行版以及公司为维护付费是有充分理由的。首先,问问您的老板她或他是否想在审计期间去度假。我想我们都知道答案。

7. 将审计员的需求牢记在心

操作上节省时间的技术非常适合优化效率,但重要的是保留记录以备审计之需。

专门针对审计跟踪,将针对您公司 SIEM 运行的报告工具委派给另一个团队,并让他们构建报告。大多数开源和商业 SIEM 系统都具有交互式报告功能,并且有强大的第三方报告工具供应商,通常专注于特定市场领域。从 SIEM 向您自己的数据和系统持有者提供有意义的每日/每周/每月运营信息是一个极好的副作用。同样,不应该是您的管理团队做这些繁琐的工作。此外,让您的团队整合配置管理产品,例如 Puppet 或 Ansible

您有什么避免审计员愤怒的技巧?请在评论中分享您的想法。

User profile image.
David 最初是学术界的 UNIX 内核设备驱动程序编写者和测试员,后来被金融服务、电信、医疗保健和 ERP 领域使用开放系统赚大钱的公司分心。

评论已关闭。

Creative Commons License本作品根据 Creative Commons Attribution-Share Alike 4.0 International License 获得许可。
© . All rights reserved.