Что такое PAM и зачем он нужен

[IB1]

парам пам пам

[Borelli]

А кто следит за самой PAM? Суперадмин? Получается, не нужно знать root пароль от сервера (тем более, он там сам внутри меняется согласно политике исходя из текста), а достаточно угадать пароль к PAM (или найти в ней уязвимость), чтобы получить доступ к учётке, которая сама будет пароли root подставлять в ssh. Пум-пурум, пам-пам-пам...

[IT-BASTION]

За PAM обычно отвечает главный функциональный заказчик платформы. Да, у него будет доступ ко всем возможностям, и при большом желании он сможет получить доступ к любой системе (если её пароли хранятся в PAM). Как и любой другой суперпользователь.

Но это не значит, что администратора PAM так легко скомпрометировать:

0. Пароля недостаточно. Многофакторная аутентификация снижает риск утечки ключа любой системы, а сам пароль должен быть надёжным.

1. «Суперадмина» можно контролировать. То есть, чтобы получить доступ к ssh суперпользователя сервера PAM, даже суперадмину придется войти в платформу контроля привилегированных доступов.

2. Все действия фиксируются и могут направляться во внешний SIEM, чтобы не было единой точки хранения логов и анализа потенциальных инцидентов.

3. Ограничение доступа по IP. Адрес или диапазон сети, с которого можно подключаться, задаётся явно. Это позволяет исключить суперправа из общей сети, оставив их только в выделенном сегменте управления.

4. Разделение полномочий. Один админ добавляет ресурсы, другой пользователей, третий объединяет их для реального доступа. Никто в одиночку не может сделать что-то критичное.

Конечно, тезисы «взломать можно всё» и «человек — самое слабое звено» никто не отменял. Но безопасность — это не конечная точка, а процесс, сочетающий технологии и организационные меры.

РАМ, как и любая система ИБ – не серебряная пуля, а кто утверждает обратное, просто перегибает с маркетинговыми уловками.