ManageEngine PAM360为Linux环境提供了基于代理的自助服务特权提升控制,使用户能够执行一组具有提升权限的选定命令。这些命令集为标准用户提供了访问文件、目录、应用程序和服务的管理权限。IT管理员可以配置和启用资源的自助服务特权提升,以自动批准用户请求,并临时提升特权以执行关键任务。
除了对应用程序和文件的管理访问外,自助服务特权提升还使标准用户能够将允许列出的命令作为PAM360中预配置的特权帐户运行。这些帐户具有替代用户或“su”特权,使用户能够轻松切换到特权帐户以运行关键命令。
对于配置了自助服务特权提升的资源,无论SSH客户端如何,用户都可以使用“pamelevate”命令前缀运行具有提升权限的命令。如果没有此前缀,通过PAM360启动SSH会话的最终用户将无法执行任何特权命令。
为了确保更严格的安全性,可以为配置了自助服务特权提升的资源启用访问控制工作流。这为标准用户提供了对Linux资源的时间敏感访问,并允许他们在请求窗口中以提升的权限执行命令。此外,管理员可以自动撤销访问并旋转这些资源的凭据,从而防止将来有任何未经授权的访问尝试。
PAM360提供与所有特权提升活动相关的端到端审计,例如安装Linux代理、命令允许列表和分组、未经授权的命令执行、配置自助服务特权提升、使用“pamelevate”特权运行命令等。
这使管理员能够完全了解具有更高特权的用户执行的活动,并有助于在安全审计期间有效分析跨特权环境的访问活动。
