Yanıtlar:
Tüm sunucularımda root hesabı devre dışı bırakıldı (olarak sp_pwdpayarlandı *). Bu, sudotüm root erişimi için gereklidir . [1] Bunun amacı, tüm süper kullanıcı faaliyetlerini denetlemektir, böylece insanlar sisteme ne yapıldığını görebilir.
Daha sert bir seçenek için, sudobir günlük dosyasına (aksine syslog) yazma yapabilir ve dosyayı yalnızca append ( chattrLinux veya chflagsBSD kullanarak ) yapabilirsiniz. Bu şekilde daha sonra hiç kimse denetimi düzenleyemez.
[1] Ayrıca, bir kök kabuğunu çalıştırmama ya da bir kök işleminden kaçan kabuk yapma politikam var. (Yine de sudo sh -c '...', boru hatları veya yönlendirmeler yapmak için kullanmak sorun değil .)
Kök kullanıcıyı devre dışı bırakmamaya şiddetle tavsiye ediyorum . Devre Dışı veya kısıtlamak kök giriş bilgileri (securetty aracılığı ile sshd_config aracılığı ile PAM ile ve sistem bunu, sınır root ayrıcalıkları izin ya da (nasıl benzer kök rolünü Eğer ayrılırsak yoluyla size ne) RSBAC edin. Öyle) Ama lütfen , do root hesabını şifresini kaldırarak etkisizleştirmeyin, aksi takdirde sisteme giriş yapmak imkansız hale gelir sulogin. suloginfsck tarafından bildirilen ciddi hatalar durumunda bildiğim tüm initscripts tarafından kullanılır - ve bu, kök dosya sistemi bozulursa sistemden kilitleneceğiniz anlamına gelir.
Netleştirmek için: "Parolayı kaldırarak kök hesabın devre dışı bırakılması" ile, a! veya / etc / shadow veya benzeri bir şifre alanındaki a *. "Kök oturum açma mekanizmasını değiştir, böylece şifreni istemeyeceksin" demek istemiyorum.
suya sudokullanıcıların araçlarına mevcut sisteminizde daha fazla güvenlik, yalnızca özel kök kullanıcıları varsa önleyebilirsiniz riske atar. Bu, Owl'un güvenli dağıtımının (ve aralarındaki Güneş Tasarımcısı) yazarlarının savunduğu bir pozisyon - unix.stackexchange.com/questions/8581/… konumlarını referanslarla sunmaya çalışıyor.
fastbootseçenekle başlatabilir, kök hesabın kilidini açabilir ve sonunda fsckmanuel olarak çalışmaya başlayabilirim .
Tüm sunucularımda root hesabım etkin. Tüm yöneticilerin kendi kullanıcıları var ve bu sayede oturum açmak zorundalar. Oradan köke geçer. (root ssh devre dışı bırakıldı)
Yönetici sayısını düşük tutun. Yalnızca bu sunucuda kök erişime gerçekten ihtiyacı olan kişiler şifreye sahiptir.
Ben bir sudo hayranı değilim. Kök kabuğu için sadece 'sudo bash' yapmak çok kolay. Bunun devre dışı bırakılabileceğini biliyorum ama neden rahatsız ediyorsun? Yönetici görevlerini yerine getirebilecek kullanıcıları sınırlayın ve birbirleriyle konuşun. Kök uçbirimlerinin katılımsız olarak açılmasına izin vermeyecek bir politikamız var. Yani giriş yap, su, işi yap, çıkış yap.
Not: Oldukça küçük bir şirkette (50 kişilik bir çalışan) çalışıyorum ve sadece 2 yarı zamanlı yönetici (1 pencere / 1 linux) ile uğraşıyoruz. Bu tür şeyler yapmanın yolu daha büyük kullanıcı siparişleriniz olduğunda en iyi olmayabilir. Şahsen ben hala sudo kullanmazdım. Kök aktivitesini kaydetmenin başka yolları da var.
Kök şifresini devre dışı bırakmak yanlış bir "iyi fikir" dır. İhtiyacın olacak gün, gerçekten ihtiyacın olacak. (yapılandırmanıza göre, örnek olarak tek kullanıcı modunda oturum açmanız gerekebilir)
Kök uzaktan girişini devre dışı bırakmak alakalı olabilir, ancak yalnızca yerel olarak oturum açabiliyorsanız.
Ve evet, sudo sunucularınızın her birine kurulmalıdır. Kullanışlı ve yapılandırması kolaydır. Neden kullanmak istemiyorsun?
Disabling root remote login might be relevant but only if you are able to log on locally.Bu sadece açıkça yanlış. Herhangi bir hesapla uzaktan giriş yapabilirsiniz ; root uzaktan girişini devre dışı bırakmak sizi yerel erişim ile sınırlandırmaz.
Sadece root için SSH erişimini devre dışı bırakıyorum ve kullanıcıların (genellikle sadece geliştiricilerin) ssh anahtarlarını kullanmasını istiyorum. Çok fazla sözlük saldırısı var ve SSH portunu değiştirmek bizim için bir seçenek değil.
Bu şekilde kimsenin iyi bir şifre yazma yeteneğine güvenmek zorunda değilsiniz. Bir keresinde sadece yöneticilerin sudo için izinleri var.
Bu iş parçacığının gerçekten eski olduğunu biliyorum ama bağlantılı makaleler mantığında bazı önemli kusurlar var ve "rant'ie" hissediyorum - sudo hem beyaz listeye hem de kara listeye izin veriyor. Bağlantılı makalede belirtildiği gibi yalnızca siyah değildir - Bu, AAA (Kimlik Doğrulama, Yetkilendirme ve Denetim) fikrini atlar - su & sudo hem dereceli kimlik doğrulama hem de hesap verebilirlik için izin verir.
Senaryo 1 Bir yönetici yanlışlıkla bir sisteme bazı kodlar girer, kodun erişimi tamamen kökü olarak oturum açmışsa ve yönetici ne olduğunu asla bilemeyebilir. En azından derecelendirilmiş girişlerde (örn. Su / sudo) yöneticiden, sahte kodun yükseltilmiş haklar kullanmaya çalışıp çalışmadığını doğrulaması istenir ... Yükseltilmezse, minimum zararla sonuçlanması gereken kullanıcı haklarıyla sınırlandırılır.
Senaryo 2 Bir sahte yönetici bilgi almak / değişiklik yapmak ister. Konsola bağlanırlar (fiziksel konsol erişimi, HP iLo / Similar veya vGuest konsol erişimi), root olarak giriş yapın ve ne isterlerse yapın. Konsol erişimini elde etmek için kullanılan bir hesap / erişim kartı olmadıkça, büyük olasılıkla bir denetim izi kalmaz.
Politika olarak herkesin her root komutu için sudo kullanmasını istemelisin. Hiçbir zaman "sudo bash" veya benzeri bir şey çalıştırmak için bir sebep yoktur, bu yalnızca cehalet nedeniyle veya kişinin izlerini örtmek için kolaylık sağlamak içindir.
Doğrudan kök hesaba girişleri devre dışı bırakırsanız, ciddi sorunlar olduğunda sistemi tamir etme kabiliyetini kaybedersiniz.
Yöneticilerinizi kendileri gibi giriş yapmaları ve kök olarak çalıştırılan her komut için sudo çalıştırmaları ve bir kabuğun içine girmemeleri için ikna edemiyorsanız, teknik bir çözümü olmayan ciddi sorunlarınız vardır.
Owl güvenli dağıtımının (ve Solar tasarımcısının) yazarları, dikkatlice gerekçelendirilmiş bir bakış açısına sahiptir; Örneğin yanıtı görmek /unix/8581/which-is-the-safest-way-to-get-root-privileges-sudo-su-or-login/8660#8660 için iddialarının bir sunum. Süper kullanıcı eylemlerini denetleme sorunu (hangi kişinin ne yaptığını) de kendi bakış açılarıyla ele alınır (temelde çözüm, farklı isimlerle birkaç kök kullanıcısı olmaktır).