【專家主場】形外佳興 ─ 特權帳號 4 大災難

    權限(Access Rights)是一件很好玩的東西,在電腦系統中,處處可見其身影。例如,你登入你的網上銀行,你只能見到你的資料,見唔到我的資料,這就是你的「權」的「限」。理論上,系統中的一切活動,都需要夠權。不夠權,就睇唔到、改唔到、用唔到(此即上文的 C/I/A)。所以,世上所有黑客,都想抵達一個超高權限的境界,有如系統 Administrator 所有的特權咁高。如此,佢就乜都睇到、乜都改到、乜都用到(理論上)。

    對於 Administrator 呢一類特權帳號(Privileged Accounts),係要好好管理的。但係……點管呢?因為佢係特權帳號,佢所有活動紀錄都可抹去、一切對佢設限嘅手段都可以被他撤去,反過來,佢可以更改所有其他帳號,叫其他人奈佢唔何。咁又問,可唔可以取消呢 D 特權帳號,人人平等呢?咁又好危險,因為電腦成日壞,在緊急關頭要救機,唔通仲要圍十條友用十個帳號做十樣嘢咩?一定要用特權帳號,bypass everything,救到個系統再算。

    (如果你再問我,點解系統會故障、點解要救機,你可以打去消費者委員會問。)

    以前,管理這些特權,唯有由政策入手,再加信封。政策上講清講楚,冇人可以有特權帳號嘅密碼,要用的話,拆信封讀密碼,兩個人一齊做嘢,然後再改個新密碼入信封,再將信封鎖入夾萬。幾十年過去,好多機構仍係咁做。

    以上這些,行家好清楚,煩親大家唔好意思。

    現在係講真話時間。在塵世上,多數會出現以下情況:

    • 特權帳號一地都係。有 D 秘密特權帳號,唔係叫 root 或者 Administrator 嘅,而係好似人名咁,但係佢已經靜雞雞取得特權。點解呢?因為部機成日壞,拆信封太辛苦了,叫老闆開夾萬又口黑面黑,不如整個 Back Door 特權帳號,有乜急事,拿出來用,利己利人,情況就好似係門口地氈底放條應急鎖匙咁。所以,好多管理員千方百計,種一些秘密特權帳號入系統度,並以自己的人格擔保,我唔會做壞事!
    • 信封個 Password 唔Work。呢 D 恐怖過 Stephen King 嘅場面,係 IT 人健康的頭號敵人。你想想,個系統已經 Down 左,全世界嘅主管走晒入來,睇你救機,附之以富有鼓勵作用的說話,在一個莊嚴的拆信封禮儀之後,發現個 Password 係錯嘅!跟住你眼望我眼!
    • 特權帳號個 Password 係 0000。因為舊嘢出廠之後,冇人知道有一個系統帳號,Default Password 就係咁。
    • 叻 D 嘅機構,會用 Privileged Account Management System,但係叻唔晒,只係將全世界九萬個系統嘅特權帳號,原封不動,就咁倒入去,然後行十年……十年後,人事全非,特權帳號日日增加,但係,冇人知道邊部機打邊部機(果 D 機名改到好似密碼咁樣),唔知誰在使用,點解係佢 Approve,甚至唔知部機存在不存在!

    現今 Cloud Platform 就係一部勁大嘅電腦,特權帳號的設置,必須深入了解。

    (Neo按:啱啱飲完茶,諗諗,唔知在「特權帳號」之外,會唔會有「小權帳號」、「大權帳號」、「頂權帳號」、「味部帳號」、「廚部帳號」等…)

    #Access Rights #Privileged Accounts #形外佳興 #特權帳號

    相關文章