作為一名每天與伺服器、資料庫和無盡 Bug 奮戰的工程師,我們對「權限」的感情是非常矛盾的。一方面,我們渴望擁有 $sudo$ $rm$ $-rf的神力(雖然我們絕不敢真的用);另一方面,我們深知「能力越大,背鍋越大」的江湖險惡。
這就是為什麼我們需要 PA (Privileged Access) 帳號控管。說白了,這就是一個「防止工程師在凌晨三點神智不清時,不小心把生產環境當成測試環境刪掉」的保險栓。
一、 權限的「封神榜」:你到底是哪尊大神?
在 PA 的世界裡,權限不是只有「能進去」跟「不能進去」。它更像是一場大型角色扮演遊戲(RPG),每個帳號都有自己的職業與技能樹。
1. 管理員權限 (The God Mode)
這是權限界的「核彈頭」。擁有它,你就是系統的上帝。在 PA 控管中,這種權限通常被鎖在「電子保險箱」裡,只有在提供緊急維護單號並經過主管三跪九叩般的審核後,才能暫時借用 30 分鐘。
2. 服務帳號 (The Silent Workers)
這些帳號是給程式用的地精,通常有「永久效期」且密碼八年沒換。PA 的任務就是把這些地精抓起來,強制它們定期去「換張臉」(輪轉密碼),防止密碼外洩後變成永久後門。
3. 唯讀權限 (The Tourist Mode)
這通常發給那些「宣稱要查問題,但實則可能把資料庫搞掛」的菜鳥或 PM。在 PA 控管下,我們會加上「錄影監控」,確保你進去只是看風景,而不是亂刻「到此一遊」。
二、 整合 AD 與 LDAP:當「懶惰」成為安全推手
身為工程師,我們最討厭記住 50 個不同的密碼。如果不整合 AD (Active Directory),你的生活會變成一場災難:入職要開五個帳號,離職要刪五個帳號,漏刪一個就變成資安破口。
整合後的 PA 就像是一個「高級門衛」:
身分驗證: 你輸入 AD 帳號密碼。
查詢群組: PA 去 LDAP 翻小本本,確認你在
Dev_Super_Hero群組裡。動態授權: PA 幫你生成一個「拋棄式」的臨時權限。
三、 實戰佈署:PA 控管的設定三部曲
既然要動手做,我們就跳過官網的廢話,直接看身為工程師該如何設定這套神經質的系統。
第一步:打地基(AD/LDAP 橋接)
首先,你得讓 PA 系統跟你的帳號來源建立「外交關係」。
建立服務帳號: 在 AD 裡開一個
svc_pa_sync,給它唯讀權限就好。設定 LDAPS 連線: 務必勾選 SSL (Port 636)。在 2025 年,明碼傳輸密碼(Port 389)被資安稽核抓到是要寫檢討報告的。
屬性映射: 把 AD 的
sAMAccountName對應到 PA 的Username,確保身分對齊。
LDAP伺服器設定
第二步:寫劇本(角色與工作流)
導入 AD 群組: 不要手動加人!請在 AD 裡建立
GG_PA_DBA等安全性群組,讓 PA 自動同步。保險箱分區: 網路設備放一區、Linux 伺服器放一區。設定誰能「隱形登入」(連線但看不到密碼)。
雙重控制 (Dual Control): 設定審核機制。你想連 Production?可以,去叫你老闆點一下 App 裡的「核准」。
Authentication Profile建立
Authentication Profile建立-->選擇LDAP Profile
Authentication Profile建立-->AD USER/GROUP參數設定
Authentication Profile建立-->要同步進去的Group 
Administrators-->選擇[Authentication Profile]-->選擇[Role Based]
第三步:上鎖(安全強化與側錄)
密碼自動輪轉: 設定「歸還即換」。當你斷開連線,PA 系統自動隨機生成一組 24 位元的亂碼把舊密碼改掉。
連線側錄: 開啟 SSH 或 RDP 錄影。如果系統偵測到你在終端機輸入
rm -rf,直接強制斷線並噴發警告。多因素驗證 (MFA): 這是底線。凡是進 PA,必須過一關手機 Push 驗證。
如下MFA我就還沒有試過,若有試過的伙伴可以分享
四、 結語:工程師的溫柔告白
實施 PA 帳號控管,表面上是在限制我們的自由,實際上是在保護我們的職業生涯。
沒有 PA 控管,你可能因為一次手滑,就變成新聞標題裡的「某電信工程師誤刪資料」。有了 PA 控管,系統會跳出來溫馨提醒:「兄弟,我幫你守著這份工作呢,這條 SQL 指令你確定要執行嗎?」
下次當你為了 MFA 驗證而翻找手機時,請深呼吸,那是技術對你最深沉的愛。
沒有留言:
張貼留言