Nejlepší postupy zabezpečení serveru Linux

Prvním krokem po vytvoření cloudového serveru Linux® je nastavení zabezpečení na něm. Tento zásadní krok byste měli provést na každém serveru, abyste zabránili nechtěnému přístupu špatných herců. Výsledkem této akce je bezpečnější prostředí, které pomáhá zabránit ohrožení vás a vašeho podnikání. Provedení těchto základních kroků a posílení zabezpečení na vašem serveru odradí špatné herce a přiměje je přejít k novému cíli.

Správa uživatelů

Ve výchozím nastavení je uživatel root vytvořen jako první uživatel na každém systému Linux. Měli byste jej zakázat pomocí Secure Shell (SSH). Zakázání tohoto uživatele root přes SSH znesnadňuje špatnému herci přístup do systému. Vzhledem k tomu, že uživatel root je standardně vytvořen na každém linuxovém serveru, špatní herci již mají polovinu informací, které potřebují k přihlášení k vašemu serveru, pokud je uživatel root povolen přes SSH. Tato situace umožňuje útoky SSH hrubou silou, dokud se nezlomí hash hesla.

Abyste se této situaci vyhnuli, měli byste vytvořit sekundárního uživatele, když se potřebujete přihlásit a spravovat systém. Každý koncový uživatel v systému by měl mít své vlastní přihlašovací údaje pro účely protokolování. V závislosti na akcích, které koncový uživatel potřebuje provést, může potřebovat sudo povolení k dokončení administrativních úkonů. Tato část obsahuje příklady, jak přidat uživatele s oprávněním sudo v systémech založených na Linuxu Debian® i Red Hat® Enterprise.

Pokyny pro sílu hesla

Než vytvoříte uživatele, ujistěte se, že používáte silná hesla, která vyžadují minimální délku znaků (a možná zahrnují i ​​data vypršení platnosti). Zde jsou obecné zásady obhajované zastánci zabezpečení softwarového systému:

• Pokud je to povoleno, použijte minimální délku hesla 12 až 14 znaků.
• Pokud je to povoleno, použijte malá a velká písmena, čísla a symboly.
• Pokud je to možné, generujte hesla náhodně.
• Nepoužívejte stejné heslo pro více uživatelů, účtů nebo softwarových systémů.
• Vyhněte se opakování znaků, vzorů klávesnice, slov ze slovníku, posloupnosti písmen nebo čísel, uživatelských jmen, příbuzných nebo domácích jmen, romantických odkazů (aktuálních nebo minulých) nebo osobních údajů (například identifikačních čísel, jmen předků nebo data).
• Nepoužívejte informace, které jsou nebo by mohly být veřejně spojeny s uživatelem nebo účtem.
• Vyhněte se používání informací, o kterých mohou kolegové nebo známí vědět, že jsou s uživatelem spojeny.
• Nepoužívejte hesla, která se skládají ze slabých součástí.

Přidání uživatele (operační systém Debian a Ubuntu)

U operačních systémů Debian a Ubuntu® přidejte uživatele podle následujících kroků:

1. Vytvořte nového uživatele a nastavte jeho heslo:

   useradd {username}passwd {username}

2. Dejte novému uživateli sudo oprávnění pro privilegované operace v systému. Tento uživatel je primárním uživatelem pro vzdálené přihlášení a provádění změn na serveru.

   K implementaci sudo použijte jednu z následujících metod oprávnění pro uživatele.

   A. Spuštěním následujícího příkazu přidejte uživatele do admin uživatelská skupina.

   usermod -aG admin {username}
   

   Případně můžete upravit sudoery soubor, který uživateli poskytne sudo oprávnění.

   A. Chcete-li upravit seznam uživatelských oprávnění, spusťte následující příkaz jako uživatel root:

   visudo
   

   Poznámka: V některých distribucích systémy používají vi textový editor provisudo . Protože vi není uživatelsky přívětivý editor, možná budete potřebovat pomoc ve výukovém programu vi.

   b. Přidejte následující řádek přímo za řádek obsahující root ALL=(ALL:ALL) ALL :

   {username}     ALL=(ALL:ALL) ALL
   

   C. Uložte a ukončete.

3. Přepněte na nového uživatele a otestujte jeho oprávnění pomocí sudo ke spuštění příkazu, který vyžaduje přístup root, jako je například následující příkaz:

   su {username}
   sudo systemctl status sshd
   

   Před provedením příkazu se zobrazí výzva k zadání hesla nového uživatele pro ověření.

4. Můžete také ověřit, že váš uživatel může postoupit do root účtu spuštěním následujícího příkazu:

    sudo -i
   

Pokud tyto kroky provedete správně, váš uživatel má nyní sudo přístup a může zvýšit oprávnění. Pokud neproběhne správně, zobrazí se zpráva, že uživatel není v sudoers soubor při pokusu o ověření.

Přidání uživatele (Red Hat a CentOS)

U operačních systémů Red Hat a CentOS® přidejte uživatele podle následujících kroků:

1. Vytvořte nového uživatele pomocí adduser a nastavte heslo uživatele pomocí passwd :

   useradd {username}
   passwd {username}
   

2. Dejte novému uživateli sudo oprávnění pro privilegované operace v systému. Tento uživatel je primárním uživatelem pro vzdálené přihlášení a provádění změn na serveru.

   K implementaci sudo použijte jednu z následujících metod oprávnění pro uživatele.

   A. Spusťte následující příkaz a přidejte uživatele do wheel skupina

   usermod -aG wheel {username}
   

   Případně můžete upravit sudoery soubor, který uživateli poskytne sudo oprávnění.

   A. Spusťte následující příkaz:

   visudo
   

   Poznámka: U některých distribucí textový editor, který systém používá provisudo je vi . Protože vi není uživatelsky přívětivý editor, možná budete potřebovat pomoc ve výukovém programu vi.

   b. Přidejte následující řádek přímo za řádek obsahující root ALL=(ALL:ALL) ALL :

   {username}     ALL=(ALL)       ALL
   

   C. Uložte a ukončete.

3. Přepněte na nového uživatele a otestujte jeho oprávnění pomocí sudo ke spuštění příkazu, který vyžaduje přístup root:

   su {username}
   sudo systemctl status sshd
   

   Před provedením příkazu se zobrazí výzva k zadání hesla nového uživatele pro ověření.

4. Můžete také ověřit, že váš uživatel může postoupit do root účtu spuštěním následujícího příkazu:

    sudo -i
   

Pokud jste tyto kroky provedli správně, váš uživatel má nyní sudo přístup a může zvýšit oprávnění. Pokud neproběhne správně, zobrazí se zpráva, že uživatel není v sudoers soubor při pokusu o ověření.

Vygenerování páru klíčů SSH

Pro způsob přihlášení, který je bezpečnější než použití hesla, vytvořte pár klíčů SSH, který budete používat s uživatelem, kterého jste dříve vytvořili. Tyto pokyny fungují s jakoukoli distribucí Linuxu.

Poznámka: Tyto pokyny jsou pro stolní počítače se systémy Linux a macOS®. Pokud se připojujete z plochy Windows®, postupujte podle pokynů v části Generování klíčů RSA pomocí SSH PUTTYgena Přihlaste se pomocí soukromého klíče SSH ve Windows a vygenerujte a přidejte pár klíčů SSH.

1. Spuštěním následujícího příkazu vygenerujte pár klíčů na vašem místním umístění Počítač se systémem Linux nebo Mac®:

   ssh-keygen -b 4096 -t rsa
   

   Na dotaz, kam uložit klíč, použijte výchozí umístění. Přidání hesla je volitelné a je bezpečnější, ale může být nepohodlné.

   Tato operace vytvoří dva soubory. Výchozí názvy jsou id_rsa pro váš soukromý klíč a id_rsa.pub pro váš veřejný klíč.

2. Po vytvoření páru klíčů na místním počítači nahrajte veřejný klíč na vzdálený server pro uživatele, kterého jste vytvořili dříve.

   Upozornění: Nezapomeňte nahrát veřejné klíč a ne soukromý klíč.

   ssh-copy-id -i ~/.ssh/id_rsa.pub {username}@{remotePublicIPAddress}
   

3. Připojte se ke vzdálenému serveru pomocíssh {username}@{remotePublicIPAddress} a spusťte následující příkaz, abyste ověřili, že nebyly přidány žádné další klíče, které neočekáváte:

   cat .ssh/authorized_keys
   

V tomto okamžiku jste přidali ssh-key a ověření heslem pro uživatele. Následující část popisuje volitelné kroky, jak deaktivovat ověřování heslem.

Konfigurace démona Linux SSH

Nyní, když máte nového uživatele s sudo oprávnění a pár klíčů SSH, můžete pracovat s konfigurací démona (serveru) SSH a zlepšit tak zabezpečení.

Poznámka: Pouze pro zákazníky Managed Operations a RackConnect: Abychom zajistili, že naše automatizované systémy budou mít v případě potřeby přístup k vašemu serveru, žádáme vás, abyste neměnili konfiguraci SSH a přešli k další části. Při připojování k vašemu serveru se tým podpory Rackspace přihlásí jako uživatel rack a používá ověřování heslem na portu 22. Přestavba stávajících serverů nebo vytvoření nového serveru ze snímku navíc vyžaduje, abyste povolili přihlášení root nastavením PermitRootLogin možnost yes . Pokud potřebujete tyto hodnoty změnit, promluvte si s členem vašeho týmu podpory Rackspace, aby změna byla provedena způsobem, který neovlivní naši schopnost poskytnout vám Fanatical Experience™.

Vzorové příkazy pro zbytek článku předpokládají, že jste přihlášeni jako nový uživatel pomocí sudo provádět privilegované operace.

Možnosti konfigurace SSH

Tato část popisuje běžné možnosti v konfiguračním souboru SSH, které pomáhají zlepšit zabezpečení. Tyto informace se použijí k pozdější konfiguraci brány firewall.

Tato část nastiňuje pouze několik možností ke změně a popisuje, co dělají. Podrobnosti o dalších možnostech konfigurace najdete v dokumentaci OpenSSH.

Tato část se zaměřuje na následující možnosti:

• Port XX :Tato možnost je port, na kterém démon SSH naslouchá (výchozí port 22).
• PermitRootLogin :Tento příznak povolí (ano) nebo zakáže (ne) přihlášení uživatele root přes SSH. Ve výchozím nastavení je tento řádek komentován a umožňuje přihlášení uživatele root.
• PubkeyAuthentication :Tento příznak povolí (ano) nebo zakáže (ne) klíče SSH pro ověřování. Ve výchozím nastavení je tento řádek komentován a umožňuje ssh-key přístup.
• PasswordAuthentication :Tento příznak povolí (ano) nebo zakáže (ne) ověření hesla. Ve výchozím nastavení je tato možnost povolena.

SSH standardně používá pro komunikaci port 22. Špatní herci vyzkoušejí port 22 s uživatelským jménem root na každém serveru, který napadnou. Z tohoto důvodu deaktivace uživatele root přes SSH a změna SSH tak, aby naslouchal na nestandardním portu, pomáhá zabránit narušení.

Změna portu nezastaví odhodlaného vetřelce, ale způsobí, že většina povrchových skenů na příležitosti připojení SSH přehlédne váš server. Podobně odstranění přístupu SSH pro uživatele root narušuje útoky casualbrute-force prostřednictvím SSH.

Měli byste také zvážit, jakou metodu ověřování použít při přihlašování. Ve výchozím nastavení všechny systémy Linux používají ověřování heslem. Existuje několik způsobů, jak provést ověření na serveru, ale hlavní dva jsou pomocí hesla a klíčů SSH.

SSH klíče jsou generovány ve dvojicích, jeden veřejný a druhý soukromý, a můžete je používat pouze ve vzájemné kombinaci. Soukromý klíč byste měli uložit na bezpečné místo v počítači, ze kterého se připojujete, a nikdy byste jej neměli vydávat. Veřejný klíč můžete poskytnout a je to klíč, který umístíte na server, ke kterému se připojujete. Soukromý klíč na vašem místním počítači prochází algoritmem, když se připojujete, a poskytuje přístup, pokud se hash páru klíčů shoduje s veřejným klíčem.

Upravit sshd_config

V tomto okamžiku jste přidali nového uživatele pomocí sudo oprávnění, vytvořili pár klíčů SSH a nahráli svůj veřejný klíč SSH. Nyní můžete změnit svůj konfigurační soubor SSH a zlepšit tak své zabezpečení. Chcete-li to provést, můžete změnit SSH tak, aby naslouchalo na vlastním portu, omezit přihlášení uživatele root přes SSH, povolit ověřování veřejným klíčem a deaktivovat ověřování heslem pomocí následujících kroků:

1. Otevřete konfigurační soubor démona SSH pro úpravy:

   sudo vim /etc/ssh/sshd_config
   

2. Změňte následující řádky:

   Poznámka :Ve výchozím nastavení Port a PermitRootLogin řádky jsou komentovány tak, jak je označeno # symbol. Po zakomentování se tyto řádky čtou jako výchozí možnosti, i když jsou na řádku provedeny změny. Chcete-li tyto změny implementovat, musíte odkomentovat související řádky odstraněním # symbol na začátku přidruženého řádku. Navíc před deaktivací PasswordAuthentication ujistěte se, že jste nakonfigurovali klíč SSH, jinak se nemůžete připojit k serveru.

   Změna:

   #Port 22
   #PermitRootLogin yes
   PasswordAuthentication yes     
   

   Komu:

   Port 2222
   PermitRootLogin no
   PasswordAuthentication no
   

   Nahradit 2222 s portem, který chcete použít. Pomocí netstat se ujistěte, že nový port již nepoužívá jiný program.

   Důležité: Jak již bylo zmíněno dříve, neměli byste tuto změnu v sshd_config provádět Pokud má váš server úroveň služeb Managed Operations. Tyto změny mohou odepřít Rackspace přístup k vašemu serveru.

3. Otestujte změněnou konfiguraci SSH na chyby spuštěním následujícího příkazu:

   sshd -t
   

Pokud neobdržíte žádné chyby, SSH je nyní nakonfigurováno tak, aby běželo na vlastním portu a přijímalo pouze uživatele bez oprávnění root, kteří předají platný klíč SSH. Aby tato nastavení platila a přetrvávala, musíte restartovat službu SSH. Službu však zatím nerestartujte. Restartování SSH nyní může zablokovat přístup k serveru, což vyžaduje použití záchranného režimu nebo webové konzole k obnovení konfigurace. Před restartováním serveru musíte nakonfigurovat bránu firewall. Firewallu se věnujeme v další části.

Upravte softwarovou bránu firewall a restartujte SSH

Poznámka: Zákazníci RackConnect: Ke správě pravidel brány firewall použijte místo iptables správu RackConnect na serveru. Pokud používáte RackConnect, neměli byste měnit port SSH. Další informace o firewallech a RackConnect najdete v části Správa síťových zásad RackConnect v2.0.

Každá distribuce Linuxu používá jiné řešení softwarové brány firewall. V Red Hat Enterprise Linux (RHEL) a CentOS 7 je výchozí firewall firewalld . V distribucích založených na Debianu a Ubuntu je výchozím řešením firewallu Uncomplicated Firewall (UFW). Pro RHEL a CentOS 6 je výchozím řešením iptables . Operační systém vašeho serveru naleznete v následující části.

RHEL, CentOS 7 a firewalld

1. Otevřete nový port SSH spuštěním následujících příkazů:

    sudo firewall-cmd --permanent --remove-service=ssh
    sudo firewall-cmd --permanent --add-port=2222/tcp
    sudo firewall-cmd --reload
   

   Nahraďte 2222 s portem, který jste použili pro démona SSH.

2. Restartujte sshd službu spuštěním následujícího příkazu:

    sudo systemctl restart sshd
   

3. Ověřte, že váš vlastní port SSH je otevřen na serveru:

    netstat -plnt | grep ssh
   

Pokud jste postupovali podle těchto kroků, měli byste vidět něco podobného následujícímu výstupu:

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

Ubuntu, Debian a UFW

1. Otevřete nový port SSH spuštěním následujících příkazů:

    sudo ufw allow 2222
   

   Nahraďte 2222 s portem, který jste použili pro démona SSH.

2. Restartujte sshd službu spuštěním následujícího příkazu:

    sudo systemctl restart sshd
   

3. Ověřte, zda je váš vlastní port SSH otevřen na serveru spuštěním následujícího příkazu:

    netstat -plnt | grep ssh
   

Pokud jste postupovali podle těchto kroků, měli byste vidět něco podobného následujícímu výstupu:

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

CentOS 6 a iptables

Poznámka :RHEL a CentOS 6 budou označeny jako End of Life v listopadu 2020. Pro nejlepší bezpečnostní postupy důrazně doporučujeme zvážit použití novější verze operačního systému pro hostování vaší aplikace nebo webu.

1. Otevřete nový port SSH spuštěním následujícího příkazu:

   sudo iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT
   sudo service iptables-save
   

   Nahraďte 2222 s portem, který jste použili pro démona SSH.

2. Spuštěním následujícího příkazu restartujte démona SSH, aby démon použil novou konfiguraci, kterou jste nastavili:

   sudo service sshd restart
   

3. Ověřte, zda je váš vlastní port SSH otevřen na serveru spuštěním následujícího příkazu:

    netstat -plnt | grep ssh
   

Pokud jste postupovali podle těchto kroků, měli byste vidět něco podobného následujícímu výstupu:

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

Po provedení změn pro váš operační systém otevřete další okno terminálu na místním počítači a přihlaste se k serveru jako uživatel, kterého jste vytvořili dříve. Nezapomeňte zadat nově změněný port. Ponechte své původní připojení aktivní pro případ, že byste potřebovali vyřešit problémy s konfigurací.

Chcete-li se připojit k SSH s novou konfigurací, možná budete muset zadat číslo portu a klíč, který se má použít. Například:

    ssh -p 2222 -i ~/.ssh/id_rsa {username}@{remotePublicIPAddress}

-p volba určuje port a -i volba určuje soukromý klíč, který se má použít pro připojení.

Pokud se připojujete z plochy Windows, můžete při vytváření připojení v PuTTY zadat číslo portu a soukromý klíč.

Jednoduchá prevence narušení

Většina potenciálních narušitelů provádí několik útoků proti stejnému portu, aby se pokusila najít něco, co by mohli zneužít v softwaru běžícím na tomto portu. Naštěstí můžete na svém serveru nastavit nástroj prevence narušení, jako je fail2ban, abyste zablokovali opakované útoky na port.

Poznámka: Servery Managed Operations mají fail2Ban nainstalováno a ve výchozím nastavení nakonfigurováno tak, aby sledovalo pokusy o přihlášení SSH. Máte-li jakékoli dotazy nebo obavy, kontaktujte tým podpory.

fail2ban monitoruje protokoly a automaticky blokuje připojení, pokud vidí příliš mnoho od stejného hostitele během krátké doby. Chcete-li nastavit a nakonfigurovat fail2ban na vašem serveru, použijte následující kroky:

1. Chcete-li nainstalovat fail2ban na svém serveru spusťte jeden z následujících příkazů.

   RHEL a CentOS:

   sudo yum install fail2ban
   

   Debian a Ubuntu:

   sudo apt-get install fail2ban
   

2. Pomocí následujícího příkazu zkopírujte výchozí fail2ban config. Nově vytvořený soubor přepíše výchozí konfiguraci a umožní vám soubor bezpečně upravit.

   sudo cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
   

3. Upravte svůj soubor a přizpůsobte si úroveň zabezpečení v fail2ban .

   vim /etc/fail2ban/jail.local
   

   V tomto souboru můžete nastavit následující možnosti:

   • ignoreip :Tento parametr umožňuje zadat jakoukoli IP adresu, která by neměla být zakázána.
   • bantime :Tento parametr umožňuje zadat počet sekund, po které má být IP adresa zakázána.
   • findtime :Tento parametr kontroluje indikace maxretry spouští v určený čas.
   • maxretry :Tento parametr nastavuje počet opakování povolených, než bude IP adresa zakázána.

4. Vytvořte soubor vězení pro pokusy o přihlášení SSH.

   vim /etc/fail2ban/jail.d/sshd.local
   

5. Do vytvořeného souboru zkopírujte a vložte následující text:

   [sshd]
   enabled = true
   port = ssh
   #action = firewallcmd-ipset
   logpath = %(sshd_log)s
   maxretry = 3
   bantime = 86400
   

   Tyto možnosti zakazují IP adresu po třech neúspěšných pokusech o připojení přes SSH na 24 hodin. Pokud znáte svou místní IP adresu, důrazně doporučujeme přidat tuto IP adresu do předchozí části jako ignoreip parametr.

6. Spusťte a povolte fail2ban na vašem serveru pomocí následujících příkazů:

   RHEL a CentOS 7 nebo Debian a Ubuntu:

    sudo systemctl start fail2ban
    sudo systemctl enable fail2ban
   

   RHEL a CentOS 6:

    sudo service fail2ban start
    sudo chkconfig fail2ban on
   

Detekce narušení

Systém detekce narušení (IDS) může správci pomoci monitorovat systémy pro podezřelou aktivitu a možné zneužití. IDS je robustnější než preventivní nástroj jako fail2ban ale může být složitější na nastavení a údržbu.

Populární open-source IDS je OSSEC. Zástupci údržby OSSEC na více systémech, kteří podávají zprávy hlavnímu serveru, což umožňuje prošetření protokolů a výstrah z potenciálně kompromitovaného serveru, i když je server vypnutý.

Pokud máte podezření, že systém je již kompromitován, můžete to prošetřit pomocí postupů, jako je kontrola zadních vrátek a vetřelců a vyšetřování záchranného režimu.

Udržujte svůj operační systém aktuální (záplatování)

Udržování aktuálního jádra, balíčků a závislostí je velmi důležité, zejména pro moduly a balíčky související se zabezpečením. Některé aktualizace, jako jsou aktualizace jádra, vyžadují restartování serveru. Údržbu byste měli naplánovat tak, aby se prováděla v době, která uživatele nejméně ruší, protože tyto údržby způsobují krátké prostoje.

Důležité :I když je udržování vašeho systému v aktuálním stavu životně důležité, ujistěte se, že aktualizace, které používáte, nemají negativní dopad na vaše produkční prostředí.

Chcete-li zkontrolovat a nainstalovat aktualizace v operačních systémech Ubuntu a Debianu, spusťte následující příkazy:

sudo apt-get update
sudo apt-get upgrade

Chcete-li zkontrolovat a nainstalovat aktualizace v systémech CentOS, Red Hat a Fedora, spusťte následující příkaz:

sudo yum update

Konec životnosti operačního systému

Zjistěte, kdy vydání distribuce Linuxu, které provozujete na svých serverech, dosáhne konce životnosti (EOL). Když vydání dosáhne své EOL, správci distribuce jej již nepodporují nebo nedodávají aktualizace balíčků prostřednictvím svých oficiálních úložišť. Svou migraci na novější vydání byste měli naplánovat dříve, než vaše aktuální vydání dosáhne konce své životnosti.

Pomocí následujících odkazů zjistíte, kdy je vaše vydání distribuce Linuxu nastaveno na dosažení EOL:

• Operační systémy Ubuntu:https://wiki.ubuntu.com/Releases
• Red Hat Enterprise Linux (RHEL):https://access.redhat.com/support/policy/updates/errata/
• CentOS:Stejné jako Red Hat
• Fedora:https://fedoraproject.org/wiki/End_of_life
• Debian:https://wiki.debian.org/DebianReleases

Zabezpečení na úrovni účtu

I když je zabezpečení vašich serverů nezbytnou součástí operací na internetu, je také nutné zabezpečit váš účet. Název vašeho účtu, heslo a klíče API jsou základní součástí vaší interakce s Rackspace Cloudofferings. Stejně jako jakékoli jiné heslo nebo přístupové údaje je chcete mít v bezpečí. Musíte však také svému týmu umožnit jednat a provádět nezbytné úkoly.

Pomocí Role Based Access Control (RBAC) můžete vytvářet uživatele a udělovat oprávnění jednotlivcům nebo aplikacím, které jsou odpovědné za používání různých služeb Rackspace. Využitím RBAC můžete svému týmu a dodavatelům poskytnout přístup pouze k těm utilitám, které potřebují, a v případě potřeby přístup zrušit.

Níže jsou uvedeny některé scénáře použití:

• Umožněte dodavatelům přístup k nastavení prostředí, které jste si k vytvoření najali, ale omezte jejich schopnost zobrazovat nebo měnit jakékoli informace o kreditní kartě nebo smazat váš účet.
• Umožněte svému účetnímu vidět účet, ale nemazat vaše servery.
• Najměte si správce databáze (DBA) a udělte mu přístup k vašim instancím DBaaS.
• Umožněte klientovi nahrávat soubory přímo do vašeho účtu Cloud Files.
• Nakonfigurujte své servery tak, aby se registrovaly a používali konkrétní uživatele pro agenty pro monitorování a zálohování, kteří jsou odděleni od vašeho účtu správce.

Další informace o RBAC najdete v nejčastějších dotazech k řízení přístupu založeného na rolích (RBAC).