Best practice per la sicurezza dei server Linux

Il primo passo dopo aver creato un Linux® Cloud Server è impostare la sicurezza su di esso. Dovresti eseguire questo passaggio cruciale su ogni server per evitare che malintenzionati ottengano accessi indesiderati. Questa azione si traduce in un ambiente più sicuro che aiuta a prevenire la compromissione di te e della tua attività. L'esecuzione di questi passaggi di base e il rafforzamento della sicurezza sul tuo server scoraggia i malintenzionati e li fa passare a un nuovo obiettivo.

Gestione utenti

Per impostazione predefinita, l'utente root viene creato come primo utente su ogni sistema Linux. Dovresti disabilitarlo tramite Secure Shell (SSH). La disabilitazione di questo utente root tramite SSH rende più difficile l'accesso al sistema per un cattivo attore. Poiché l'utente root è creato per impostazione predefinita su ogni server Linux, i malintenzionati hanno già la metà delle informazioni di cui hanno bisogno per accedere al server se l'utente root è abilitato tramite SSH. Questa situazione consente attacchi SSH di forza bruta fino a quando l'hash della password non si interrompe.

Per evitare questa situazione, è necessario creare un utente secondario per quando è necessario accedere e amministrare il sistema. Ciascun utente finale del sistema deve disporre delle proprie credenziali di accesso ai fini della registrazione. A seconda delle azioni che l'utente finale deve eseguire, potrebbe essere necessario sudo autorizzazione a completare le azioni amministrative. Questa sezione fornisce esempi su come aggiungere un utente con autorizzazione sudo su entrambi i sistemi basati su Debian® e Red Hat® Enterprise Linux.

Linee guida sull'efficacia della password

Prima di creare utenti, assicurati di utilizzare password complesse che richiedono una lunghezza minima dei caratteri (e forse includono anche date di scadenza). Di seguito sono riportate le linee guida comuni sostenute dai sostenitori della sicurezza dei sistemi software:

• Utilizza una lunghezza minima della password compresa tra 12 e 14 caratteri, se consentito.
• Includi lettere minuscole e maiuscole, numeri e simboli, se consentito.
• Genera password casualmente, ove possibile.
• Evita di utilizzare la stessa password per più utenti, account o sistemi software.
• Evita la ripetizione dei caratteri, i modelli di tastiera, le parole del dizionario, le sequenze di lettere o numeri, i nomi utente, i nomi di parenti o di animali domestici, i collegamenti romantici (attuali o passati) o le informazioni personali (ad esempio numeri ID, nomi di antenati o date).
• Evita di utilizzare informazioni che sono o potrebbero essere associate pubblicamente all'utente o all'account.
• Evita di utilizzare informazioni che i colleghi o conoscenti dell'utente potrebbero sapere essere associate all'utente.
• Non utilizzare password composte da componenti deboli.

Aggiungi un utente (sistema operativo Debian e Ubuntu)

Per i sistemi operativi Debian e Ubuntu®, aggiungi un utente seguendo questi passaggi:

1. Crea un nuovo utente e imposta la sua password:

   useradd {nomeutente}passwd {nomeutente}

2. Dai al nuovo utente sudo autorizzazioni per operazioni privilegiate sul sistema.Questo utente è l'utente principale per l'accesso in remoto e apportare modifiche al server.

   Usa uno dei seguenti metodi per implementare sudo autorizzazioni per l'utente.

   un. Esegui il comando seguente per aggiungere l'utente a admin gruppo di utenti.

   usermod -aG admin {username}
   

   In alternativa, puoi modificare i sudoers file da fornire all'utente sudo autorizzazioni.

   un. Esegui il comando seguente come root per modificare l'elenco delle autorizzazioni utente:

   visudo
   

   Nota: Su alcune distribuzioni, i sistemi utilizzano vi editor di testo per visudo . Perché vi non è un editor intuitivo, potrebbe essere necessario consultare un tutorial vi per assistenza.

   b. Aggiungi la riga seguente direttamente dopo la riga contenente root ALL=(ALL:ALL) ALL :

   {username}     ALL=(ALL:ALL) ALL
   

   c. Salva ed esci.

3. Passa al nuovo utente e verifica le sue autorizzazioni utilizzando sudo per eseguire un comando che richiede l'accesso come root, come il seguente comando:

   su {username}
   sudo systemctl status sshd
   

   Un prompt ti chiede di inserire la password del nuovo utente per la verifica prima di eseguire il comando.

4. Puoi anche verificare che il tuo utente possa elevare a root account eseguendo il comando seguente:

    sudo -i
   

Se esegui correttamente questi passaggi, il tuo utente ora ha sudo access e può elevare le autorizzazioni. Se non viene eseguito correttamente, viene visualizzato un messaggio che indica che l'utente non è nei sudoers filequando tenti di autenticarti.

Aggiungi un utente (Red Hat e CentOS)

Per i sistemi operativi Red Hat e CentOS®, aggiungi un utente seguendo questi passaggi:

1. Crea un nuovo utente con adduser e imposta la password dell'utente con passwd :

   useradd {username}
   passwd {username}
   

2. Dai al nuovo utente sudo autorizzazioni per operazioni privilegiate sul sistema.Questo utente è l'utente principale per l'accesso in remoto e apportare modifiche al server.

   Usa uno dei seguenti metodi per implementare sudo autorizzazioni per l'utente.

   un. Esegui il comando seguente per aggiungere l'utente alla wheel gruppo

   usermod -aG wheel {username}
   

   In alternativa, puoi modificare i sudoers file da fornire all'utente sudo autorizzazioni.

   un. Esegui il seguente comando:

   visudo
   

   Nota: Su alcune distribuzioni, l'editor di testo utilizzato dal sistema per visudo è vi . Perché vi non è un editor intuitivo, potrebbe essere necessario consultare un tutorial vi per assistenza.

   b. Aggiungi la riga seguente direttamente dopo la riga contenente root ALL=(ALL:ALL) ALL :

   {username}     ALL=(ALL)       ALL
   

   c. Salva ed esci.

3. Passa al nuovo utente e verifica le sue autorizzazioni utilizzando sudo per eseguire un comando che richiede l'accesso come root:

   su {username}
   sudo systemctl status sshd
   

   Un prompt ti chiede di inserire la password del nuovo utente per la verifica prima di eseguire il comando.

4. Puoi anche verificare che il tuo utente possa elevare a root account eseguendo il comando seguente:

    sudo -i
   

Se hai eseguito correttamente questi passaggi, il tuo utente ora ha sudo access e può elevare le autorizzazioni. Se non viene eseguito correttamente, viene visualizzato un messaggio che indica che l'utente non è nei sudoers filequando tenti di autenticarti.

Genera una coppia di chiavi SSH

Per un metodo di accesso più sicuro rispetto all'utilizzo di una password, creare una coppia di chiavi SSH da utilizzare con l'utente creato in precedenza. Queste istruzioni funzionano con qualsiasi distribuzione Linux.

Nota: Queste istruzioni sono per desktop Linux e macOS®. Se ti stai connettendo da un desktop Windows®, segui le istruzioni in Genera chiavi RSA con SSH PUTTY e Accedi con una chiave privata SSH su Windows per generare e aggiungere la coppia di chiavi SSH.

1. Esegui il comando seguente per generare una coppia di chiavi sul tuo locale Computer Linux o Mac®:

   ssh-keygen -b 4096 -t rsa
   

   Quando viene chiesto dove salvare la chiave, utilizzare la posizione predefinita. L'aggiunta di una password è facoltativa ed è più sicura, ma può essere scomoda.

   Questa operazione crea due file. I nomi predefiniti sono id_rsa per la tua chiave privata e id_rsa.pub per la tua chiave pubblica.

2. Dopo aver creato la coppia di chiavi sul tuo computer locale, carica la chiave pubblica sul tuo server remoto per l'utente che hai creato in precedenza.

   Avviso: Assicurati di caricare il pubblico chiave e non la chiave privata.

   ssh-copy-id -i ~/.ssh/id_rsa.pub {username}@{remotePublicIPAddress}
   

3. Connettiti al server remoto utilizzandossh {username}@{remotePublicIPAddress} ed esegui il comando seguente per verificare che non siano state aggiunte chiavi extra che non ti aspetti:

   cat .ssh/authorized_keys
   

A questo punto, hai aggiunto ssh-key e l'autenticazione della password per l'utente. La sezione successiva illustra i passaggi opzionali su come disabilitare l'autenticazione della password.

Configurazione del demone SSH Linux

Ora che hai un nuovo utente con sudo autorizzazioni e una coppia di chiavi SSH, puoi lavorare con la configurazione del demone SSH (server) per migliorare la sicurezza.

Nota: Solo per i clienti Managed Operations e RackConnect: Per garantire che i nostri sistemi automatizzati abbiano accesso al tuo server quando necessario, ti chiediamo di non modificare la configurazione SSH e di saltare alla sezione successiva. Quando ci si connette al server, il team di supporto Rackspace accede come utente rack e utilizza l'autenticazione tramite password sulla porta 22. Inoltre, la ricostruzione di server esistenti o la creazione di un nuovo server da uno snapshot richiede che tu abiliti gli accessi root impostando PermitRootLogin opzione per yes . Se hai bisogno di modificare questi valori, parla con un membro del tuo team di supporto Rackspace in modo che la modifica venga apportata in un modo che non influisca sulla nostra capacità di fornirti una Fanatical Experience™.

I comandi di esempio per il resto dell'articolo presuppongono che tu abbia effettuato l'accesso come nuovo utente, utilizzando sudo per eseguire operazioni privilegiate.

Opzioni di configurazione SSH

Questa sezione illustra le opzioni comuni nel file di configurazione SSH che aiutano a migliorare la sicurezza. Queste informazioni vengono utilizzate per configurare il firewall in un secondo momento.

Questa sezione delinea solo alcune opzioni per modificare e descrive ciò che fanno. Per i dettagli su altre opzioni di configurazione, vedere la documentazione di OpenSSH.

Questa sezione si concentra sulle seguenti opzioni:

• Port XX :questa opzione è la porta su cui è in ascolto il demone SSH (porta 22 per impostazione predefinita).
• PermitRootLogin :questo flag abilita (sì) o disabilita (no) l'accesso root tramite SSH. Per impostazione predefinita, questa riga è commentata e consente l'accesso come root.
• PubkeyAuthentication :questo flag abilita (sì) o disabilita (no) le chiavi SSH per l'autenticazione. Per impostazione predefinita, questa riga è commentata e consente ssh-key accesso.
• PasswordAuthentication :Questo flag abilita (sì) o disabilita (no) l'autenticazione tramite password. Per impostazione predefinita, questa opzione è abilitata.

SSH utilizza la porta 22 per impostazione predefinita per la comunicazione. I malintenzionati provano la porta 22 con il nome utente root su ogni server che attaccano. Per questo motivo, la disabilitazione dell'utente root tramite SSH e la modifica di SSH in ascolto su una porta non standard aiuta a prevenire una violazione.

La modifica della porta non fermerà un determinato intruso, ma fa sì che la maggior parte delle scansioni superficiali per le opportunità di connessione SSH trascurino il tuo server. Allo stesso modo, la rimozione dell'accesso SSH per l'utente root interferisce con gli attacchi di forza bruta tramite SSH.

Dovresti anche considerare quale metodo di autenticazione utilizzare durante l'accesso. Per impostazione predefinita, tutti i sistemi Linux utilizzano l'autenticazione tramite password. Esistono diversi modi per eseguire l'autenticazione sul server, ma i due principali sono l'utilizzo di una password e chiavi SSH.

Le chiavi SSH vengono generate in coppia, una pubblica e l'altra privata, e puoi usarle solo in combinazione tra loro. Dovresti archiviare la chiave privata in un luogo sicuro sul computer da cui ti connetti e non dovresti mai distribuirla. Puoi dare la chiave pubblica, ed è la chiave che metti sul server a cui ti stai connettendo. La chiave privata sul computer locale viene eseguita tramite un algoritmo quando si effettua una connessione, garantendo l'accesso se l'hash della coppia di chiavi corrisponde alla chiave pubblica.

Modifica sshd_config

A questo punto, hai aggiunto un nuovo utente con sudo autorizzazioni, creato una coppia di chiavi SSH e caricato la tua chiave SSH pubblica. Ora puoi modificare il tuo file di configurazione SSH per migliorare la tua sicurezza. Per fare ciò, puoi modificare SSH in modo che sia in ascolto su una porta personalizzata, limitare l'accesso come root tramite SSH, abilitare l'autenticazione con chiave pubblica e disabilitare l'autenticazione con password utilizzando i seguenti passaggi:

1. Apri il file di configurazione del demone SSH per la modifica:

   sudo vim /etc/ssh/sshd_config
   

2. Modifica le seguenti righe:

   Nota :Per impostazione predefinita, la Port e PermitRootLogin le righe sono commentate come indicato da # simbolo. Se commentate, queste righe vengono lette come opzioni predefinite, anche se vengono apportate modifiche alla riga. Per implementare queste modifiche, devi decommentare le righe associate rimuovendo il # simbolo all'inizio della riga associata. Inoltre, prima di disabilitare PasswordAuthentication assicurati di aver configurato una chiave SSH o non puoi connetterti al server.

   Modifica:

   #Port 22
   #PermitRootLogin yes
   PasswordAuthentication yes     
   

   A:

   Port 2222
   PermitRootLogin no
   PasswordAuthentication no
   

   Sostituisci 2222 con la porta che vuoi usare. Assicurati che la nuova porta non sia già utilizzata da un altro programma utilizzando netstat.

   Importante: Come accennato in precedenza, non dovresti apportare questa modifica a sshd_config file se il tuo server ha un livello di servizio Operazioni gestite. Queste modifiche potrebbero negare a Rackspace l'accesso al tuo server.

3. Testare la configurazione SSH modificata per errori eseguendo il comando seguente:

   sshd -t
   

Se non ricevi errori, SSH è ora configurato per essere eseguito su una porta personalizzata e accetta solo utenti non root che passano una chiave SSH valida. Affinché queste impostazioni vengano applicate e mantenute, è necessario riavviare il servizio SSH. Tuttavia, non riavviare ancora il servizio. Il riavvio di SSH ora potrebbe bloccarti fuori dal server, richiedendo di utilizzare la modalità di ripristino o la console Web per ripristinare la configurazione. È necessario configurare il firewall prima di riavviare il server. Parleremo del firewall nella prossima sezione.

Modifica il firewall del software e riavvia SSH

Nota: Clienti RackConnect: Per gestire le regole del firewall, usa la gestione RackConnect invece di iptables sul server. Non dovresti cambiare la porta SSH se usi RackConnect. Per ulteriori informazioni sui firewall e RackConnect, vedere Gestione delle politiche di rete RackConnect v2.0.

Ogni distribuzione Linux utilizza una diversa soluzione di firewall software. In Red Hat Enterprise Linux (RHEL) e CentOS 7, il firewall predefinito è firewalld . Nelle distribuzioni basate su Debian e Ubuntu, la soluzione firewall predefinita è Uncomplicated Firewall (UFW). Per RHEL e CentOS 6, la soluzione predefinita è iptables . Fare riferimento alla sezione seguente per il sistema operativo del server.

RHEL, CentOS 7 e firewalld

1. Apri la nuova porta SSH eseguendo i seguenti comandi:

    sudo firewall-cmd --permanent --remove-service=ssh
    sudo firewall-cmd --permanent --add-port=2222/tcp
    sudo firewall-cmd --reload
   

   Sostituisci 2222 con la porta che hai usato per il demone SSH.

2. Riavvia sshd servizio eseguendo il comando seguente:

    sudo systemctl restart sshd
   

3. Verifica che la tua porta SSH personalizzata sia aperta sul server:

    netstat -plnt | grep ssh
   

Se hai seguito questi passaggi, dovresti vedere qualcosa di simile al seguente output:

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

Ubuntu, Debian e UFW

1. Apri la nuova porta SSH eseguendo i seguenti comandi:

    sudo ufw allow 2222
   

   Sostituisci 2222 con la porta che hai usato per il demone SSH.

2. Riavvia sshd servizio eseguendo il comando seguente:

    sudo systemctl restart sshd
   

3. Verifica che la tua porta SSH personalizzata sia stata aperta sul server eseguendo il comando seguente:

    netstat -plnt | grep ssh
   

Se hai seguito questi passaggi, dovresti vedere qualcosa di simile al seguente output:

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

CentOS 6 e iptables

Nota :RHEL e CentOS 6 saranno contrassegnati come End of Life a novembre 2020. Per le migliori pratiche di sicurezza, ti consigliamo vivamente di prendere in considerazione una versione più recente del sistema operativo per ospitare la tua applicazione o il tuo sito web.

1. Apri la nuova porta SSH eseguendo il comando seguente:

   sudo iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT
   sudo service iptables-save
   

   Sostituisci 2222 con la porta che hai usato per il demone SSH.

2. Esegui il comando seguente per riavviare il demone SSH in modo che il demone applichi la nuova configurazione che hai impostato:

   sudo service sshd restart
   

3. Verifica che la tua porta SSH personalizzata sia stata aperta sul server eseguendo il comando seguente:

    netstat -plnt | grep ssh
   

Se hai seguito questi passaggi, dovresti vedere qualcosa di simile al seguente output:

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

Dopo aver apportato le modifiche per il tuo sistema operativo, apri un'altra finestra del terminale sul tuo computer locale e accedi al server come l'utente che hai creato in precedenza. Ricordarsi di specificare la porta appena modificata. Mantieni attiva la connessione originale nel caso in cui sia necessario risolvere i problemi di configurazione.

Per connettersi a SSH con la nuova configurazione, potrebbe essere necessario specificare il numero di porta e la chiave da utilizzare. Ad esempio:

    ssh -p 2222 -i ~/.ssh/id_rsa {username}@{remotePublicIPAddress}

Il -p l'opzione specifica la porta e -i opzione specifica la chiave privata da utilizzare per la connessione.

Se ti connetti da un desktop Windows, quando crei la connessione in PuTTY, puoi specificare il numero di porta e una chiave privata.

Semplice prevenzione delle intrusioni

La maggior parte dei potenziali intrusi esegue più attacchi contro la stessa porta per cercare di trovare qualcosa da sfruttare nel software in esecuzione su quella porta. Fortunatamente, puoi impostare uno strumento di prevenzione delle intrusioni come fail2ban sul tuo server per bloccare attacchi ripetuti a una porta.

Nota: I server Managed Operations hanno fail2Ban installato e configurato per impostazione predefinita per controllare i tentativi di accesso SSH. Contatta il tuo team di assistenza in caso di domande o dubbi.

fail2ban controlla i log e blocca automaticamente le connessioni se ne vede troppe dallo stesso host in un breve periodo di tempo. Per impostare e configurare fail2ban sul tuo server, segui i seguenti passaggi:

1. Per installare fail2ban sul tuo server, esegui uno dei seguenti comandi.

   RHEL e CentOS:

   sudo yum install fail2ban
   

   Debian e Ubuntu:

   sudo apt-get install fail2ban
   

2. Usa il comando seguente per copiare il tuo fail2ban predefinito config. Il file appena creato sovrascrive la configurazione predefinita e consente di modificare il file in modo sicuro.

   sudo cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
   

3. Modifica il tuo file per personalizzare il tuo livello di sicurezza in fail2ban .

   vim /etc/fail2ban/jail.local
   

   In questo file puoi impostare le seguenti opzioni:

   • ignoreip :questo parametro ti consente di specificare qualsiasi indirizzo IP che non dovrebbe essere bannato.
   • bantime :questo parametro consente di specificare il numero di secondi per escludere un indirizzo IP.
   • findtime :Questo parametro verifica le indicazioni di maxretry si attiva nel tempo specificato.
   • maxretry :questo parametro imposta il numero di tentativi consentiti prima che l'indirizzo IP venga bannato.

4. Crea un file jail per i tentativi di accesso SSH.

   vim /etc/fail2ban/jail.d/sshd.local
   

5. Nel file creato, copia e incolla il seguente testo:

   [sshd]
   enabled = true
   port = ssh
   #action = firewallcmd-ipset
   logpath = %(sshd_log)s
   maxretry = 3
   bantime = 86400
   

   Queste opzioni vietano un indirizzo IP dopo tre tentativi falliti di connessione tramite SSH per 24 ore. Se conosci il tuo indirizzo IP locale, ti consigliamo vivamente di aggiungere questo indirizzo IP nella sezione precedente come ignoreip parametro.

6. Avvia e abilita fail2ban sul tuo server utilizzando i seguenti comandi:

   RHEL e CentOS 7 o Debian e Ubuntu:

    sudo systemctl start fail2ban
    sudo systemctl enable fail2ban
   

   RHEL e CentOS 6:

    sudo service fail2ban start
    sudo chkconfig fail2ban on
   

Rilevamento intrusioni

Un sistema di rilevamento delle intrusioni (IDS) può aiutare un amministratore a monitorare i sistemi per attività sospette e possibili exploit. Un IDS è più robusto di uno strumento di prevenzione come fail2ban ma può essere più complicato da configurare e mantenere.

Un popolare IDS open source è OSSEC. OSSEC gestisce agenti su più sistemi che riportano al server principale, consentendo l'analisi di registri e avvisi da un server potenzialmente compromesso anche se tale server è spento.

Se sospetti che un sistema sia già compromesso, puoi indagare con procedure come il controllo di backdoor e intrusi e l'indagine sulla modalità di salvataggio.

Mantieni aggiornato il tuo sistema operativo (patch)

Mantenere aggiornati il ​​kernel, i pacchetti e le dipendenze è molto importante, specialmente per i moduli ei pacchetti relativi alla sicurezza. Alcuni aggiornamenti, come gli aggiornamenti del kernel, richiedono il riavvio del server. Dovresti programmare le manutenzioni in modo che si svolgano durante i periodi meno dannosi per gli utenti, perché queste manutenzioni causano un breve periodo di inattività.

Importante :Sebbene mantenere aggiornato il tuo sistema sia di vitale importanza, assicurati che gli aggiornamenti che stai applicando non influiscano negativamente sul tuo ambiente di produzione.

Per verificare e installare gli aggiornamenti sui sistemi operativi Ubuntu e Debian, esegui i seguenti comandi:

sudo apt-get update
sudo apt-get upgrade

Per verificare e installare gli aggiornamenti sui sistemi CentOS, Red Hat e Fedora, eseguire il comando seguente:

sudo yum update

Fine vita del sistema operativo

Scopri quando la versione della distribuzione Linux in esecuzione sui tuoi server raggiunge la fine del ciclo di vita (EOL). Quando una versione raggiunge la sua EOL, i manutentori della distribuzione non la supportano più o forniscono aggiornamenti dei pacchetti tramite i loro repository ufficiali. Dovresti pianificare la migrazione a una versione più recente molto prima che la versione corrente raggiunga l'EOL.

Usa i seguenti link per scoprire quando la versione della tua distribuzione Linux è pronta per raggiungere la sua EOL:

• Sistemi operativi Ubuntu:https://wiki.ubuntu.com/Releases
• Red Hat Enterprise Linux (RHEL):https://access.redhat.com/support/policy/updates/errata/
• CentOS:come Red Hat
• Fedora:https://fedoraproject.org/wiki/End_of_life
• Debian:https://wiki.debian.org/DebianReleases

Sicurezza a livello di account

Sebbene la protezione dei server sia una parte essenziale delle operazioni su Internet, è necessaria anche la protezione del proprio account. Il nome del tuo account, la password e le chiavi API sono parti essenziali del modo in cui interagisci con le offerte Rackspace Cloud. Proprio come qualsiasi altra password o credenziali di accesso, vuoi mantenerle al sicuro. Tuttavia, devi anche consentire al tuo team di agire ed eseguire le attività necessarie.

Utilizzando il Role Based Access Control (RBAC), è possibile creare utenti e concedere autorizzazioni a individui o applicazioni responsabili dell'utilizzo di vari servizi Rackspace. Sfruttando l'RBAC, puoi fornire al tuo team e agli appaltatori l'accesso solo alle utenze di cui hanno bisogno e revocare l'accesso se necessario.

Di seguito sono riportati alcuni scenari di utilizzo:

• Concedi agli appaltatori l'accesso per configurare l'ambiente che hai assunto loro per creare, ma limita la loro capacità di visualizzare o modificare i dati della carta di credito o eliminare il tuo account.
• Consenti al tuo commercialista di vedere la fattura ma non di eliminare i tuoi server.
• Assumi un amministratore di database (DBA) e concedi al DBA l'accesso alle tue istanze DBaaS.
• Consenti a un cliente di caricare file direttamente sul tuo account Cloud Files.
• Configura i tuoi server per registrare e utilizzare utenti specifici per il tuo monitoraggio e agenti di backup separati dal tuo account amministratore.

Per ulteriori informazioni su RBAC, consulta le domande frequenti sul controllo degli accessi in base al ruolo (RBAC).