Les environnements Linux sont connus pour leurs aléas de gestion. Cela découle de la criticité de leur contenu comme les identifiants, les clés SSH, les comptes de service, les signatures numériques ou les systèmes de fichiers qui forment un aspect clé de ces environnements. La plupart des outils PAM assurent une bonne gestion de l’accès privilégié pour les environnements Windows, mais ne sont pas assez polyvalents pour offrir les mêmes fonctions pour ceux Linux, Unix et *nix.
Cet article aborde les bases de la gestion de l’accès privilégié. Avant d’étudier les pratiques, identifions et comprenons un rouage essentiel et le plus sensible des environnements Linux, les privilèges root.
Dans un environnement Linux, un utilisateur root désigne le super-compte qui réalise des actions administratives, généralement considéré comme détenant les privilèges les plus élevés. Un utilisateur doté d’un accès root dispose de contrôles administratifs totaux et a accès aux fichiers privilégiés et aux configurations système.
Comme on partage des privilèges d’administrateur avec des utilisateurs normaux dans un environnement Windows, on peut partager des privilèges root dans un environnement Linux. Un utilisateur aux privilèges root d’un environnement Linux a un accès total à tous les serveurs et les recoins du réseau, comme les serveurs de bases de données clés avec des lignes de commande limitées.
Ces recoins du réseau sont normalement inaccessibles à tous les utilisateurs d’un environnement Linux, leur partage ne se faisant qu’au cas-par-cas. Le partage de privilèges root cruciaux soulève un enjeu de sécurité et opérationnel, réserver l’accès partagé à des utilisateurs précis en nombre limité, restreindre l’exécution de commandes et réduire les privilèges permanents.
L’instauration d’un cadre de gestion de l’accès privilégié dans un environnement Linux permet d’automatiser la gestion des ressources sensibles et de simplifier le partage de privilèges et l’attribution d’accès.
En général, su (switch user) et sudo (switch user and do) sont des commandes Linux permettant aux utilisateurs d’effectuer des actions avec des privilèges root. La commande su permet d’exécuter des commandes root si l’utilisateur possède les identifiants root. Toutefois, la commande sudo permet d’exécuter des commandes root sans les identifiants root. sudo sert donc concrètement à élever les privilèges de l’utilisateur actuel à ceux d’un utilisateur root. On peut réguler, personnaliser, vérifier et analyser ces conditions d’accès root dans le cadre d’un protocole de gestion de l’accès privilégié.
En fait, lorsqu’un compte utilisateur d’un système Linux sert à effectuer des opérations root, on parle d’élévation (ou réaffectation) de privilèges root. On peut ainsi détourner un compte root pour obtenir un accès non autorisé à des terminaux et des ressources sensibles où résident plusieurs applications et processus stratégiques. Toutefois, en établissant des stratégies de contrôle d’accès adéquates et des workflows, on peut octroyer et garantir un accès sécurisé à durée limitée à ces systèmes cruciaux.
Très souvent, les attaques par abus de privilèges impliquent un employé malveillant. Il s’agit d’une tendance en essor rapide que présentent les organisations de toutes tailles. Le personnel malveillant cible souvent les privilèges permanents pour prendre contrôle de systèmes informatiques de l’intérieur. Pour éviter ces situations, il importe de définir des limites claires en termes de privilèges partagés dans un réseau Linux. Cela permet d’éliminer les privilèges permanents, ce qui réduit le risque d’attaques internes.
Il arrive souvent que la DSI de l’entreprise collabore avec des tiers pour bénéficier des services métier variés qu’offrent les auditeurs, les consultants, les partenaires, les prestataires de maintenance ou de développement. L’affectation d’autres privilèges inutiles à ces tiers crée des privilèges permanents que l’on tend à oublier. Ce type d’affectation d’accès peut entraîner des attaques par abus de privilèges.
L’instauration d’un processus de sécurité de l’accès privilégié avec des solutions PAM permet d’appliquer une gouvernance précise à la gestion de l’accès privilégié Linux. Voici comment la gestion de l’accès privilégié Linux aide à simplifier ce processus pour la DSI.
Recensez et intégrez régulièrement les terminaux Linux dans tout le réseau d’entreprise. Ces machines sont enregistrées et accessibles dans une seule plateforme centralisée, améliorant le suivi des terminaux d’un réseau Linux sinon cloisonné. On peut ensuite regrouper ces machines au niveau organisationnel selon les besoins hiérarchiques.
Une fois tous les terminaux et les comptes associés intégrés, on peut appliquer des stratégies de mots de passe. L’outil PAM permet de définir ces stratégies selon les besoins de sécurité internes. Cet outil offre aussi des générateurs de mots de passe natifs qui facilitent une rotation fluide et régulière des mots de passe à la demande ou de façon prévue. Enfin, un outil PAM offre des audits en temps réel de toute l’activité liée aux mots de passe, comme la réinitialisation, le partage et l’affectation.
Les fonctions JIT qu’offre un cadre de gestion de l’accès privilégié Linux permettent un partage à durée limitée de comptes privilégiés entre des utilisateurs. Ces utilisateurs soumis à l’accès JIT disposent des mots de passe partagés des comptes Linux privilégiés pendant le laps de temps fixé. L’accès au terminal est interrompu et les mots de passe réinitialisés instantanément après ce laps de temps pour éviter ensuite des tentatives d'accès non autorisé.
Le contrôle de commande permet d’empêcher des utilisateurs d’exécuter certaines commandes SSH privilégiées, comme rm qui sert à supprimer des fichiers. Les administrateurs indiquent un groupe de commandes Linux autorisées, les utilisateurs soumis aux restrictions d’accès pouvant n’exécuter que ces commandes précises.
Le contrôle de commande sert aussi à autoriser un utilisateur Linux à exécuter des commandes sensibles avec des privilèges élevés si nécessaire. Cela permet à un compte d’utilisateur non-root d’effectuer des actions root sans partager réellement les identifiants root.
Pour déployer ces contrôles de gestion de l’accès privilégié Linux dans toute l’entreprise, il convient d’adopter une solution PAM.
ManageEngine PAM360 est une solution PAM d’entreprise complète qui offre une console centrale pour une bonne gestion de l’accès privilégié Linux. Elle permet à la DSI de recenser, enregistrer, gérer et vérifier automatiquement les comptes privilégiés, les clés SSH et les certificats numériques. Grâce à PAM360, les administrateurs automatisent tout le processus de gestion de l’accès privilégié dans les environnements Linux et Unix et préviennent les menaces internes et les attaques d’abus de privilèges.