【專家主場】形外佳興 ─ 特權帳號 4 大災難

權限（Access Rights）是一件很好玩的東西，在電腦系統中，處處可見其身影。例如，你登入你的網上銀行，你只能見到你的資料，見唔到我的資料，這就是你的「權」的「限」。理論上，系統中的一切活動，都需要夠權。不夠權，就睇唔到、改唔到、用唔到（此即上文的 C/I/A）。所以，世上所有黑客，都想抵達一個超高權限的境界，有如系統 Administrator 所有的特權咁高。如此，佢就乜都睇到、乜都改到、乜都用到（理論上）。

對於 Administrator 呢一類特權帳號（Privileged Accounts），係要好好管理的。但係……點管呢？因為佢係特權帳號，佢所有活動紀錄都可抹去、一切對佢設限嘅手段都可以被他撤去，反過來，佢可以更改所有其他帳號，叫其他人奈佢唔何。咁又問，可唔可以取消呢 D 特權帳號，人人平等呢？咁又好危險，因為電腦成日壞，在緊急關頭要救機，唔通仲要圍十條友用十個帳號做十樣嘢咩？一定要用特權帳號，bypass everything，救到個系統再算。

（如果你再問我，點解系統會故障、點解要救機，你可以打去消費者委員會問。）

以前，管理這些特權，唯有由政策入手，再加信封。政策上講清講楚，冇人可以有特權帳號嘅密碼，要用的話，拆信封讀密碼，兩個人一齊做嘢，然後再改個新密碼入信封，再將信封鎖入夾萬。幾十年過去，好多機構仍係咁做。

以上這些，行家好清楚，煩親大家唔好意思。

現在係講真話時間。在塵世上，多數會出現以下情況：

• 特權帳號一地都係。有 D 秘密特權帳號，唔係叫 root 或者 Administrator 嘅，而係好似人名咁，但係佢已經靜雞雞取得特權。點解呢？因為部機成日壞，拆信封太辛苦了，叫老闆開夾萬又口黑面黑，不如整個 Back Door 特權帳號，有乜急事，拿出來用，利己利人，情況就好似係門口地氈底放條應急鎖匙咁。所以，好多管理員千方百計，種一些秘密特權帳號入系統度，並以自己的人格擔保，我唔會做壞事！
• 信封個 Password 唔Work。呢 D 恐怖過 Stephen King 嘅場面，係 IT 人健康的頭號敵人。你想想，個系統已經 Down 左，全世界嘅主管走晒入來，睇你救機，附之以富有鼓勵作用的說話，在一個莊嚴的拆信封禮儀之後，發現個 Password 係錯嘅！跟住你眼望我眼！
• 特權帳號個 Password 係 0000。因為舊嘢出廠之後，冇人知道有一個系統帳號，Default Password 就係咁。
• 叻 D 嘅機構，會用 Privileged Account Management System，但係叻唔晒，只係將全世界九萬個系統嘅特權帳號，原封不動，就咁倒入去，然後行十年……十年後，人事全非，特權帳號日日增加，但係，冇人知道邊部機打邊部機（果 D 機名改到好似密碼咁樣），唔知誰在使用，點解係佢 Approve，甚至唔知部機存在不存在！

現今 Cloud Platform 就係一部勁大嘅電腦，特權帳號的設置，必須深入了解。

（Neo按：啱啱飲完茶，諗諗，唔知在「特權帳號」之外，會唔會有「小權帳號」、「大權帳號」、「頂權帳號」、「味部帳號」、「廚部帳號」等…）