Мы должны отключить пользователя root?
Я также использую основанный на Linux сервер хранилища файлов "собственной разработки" на основе хинду - я также использовал ноутбук ЦП для сокращения суммы электричества, которого это требует. Программное обеспечение RAID 5 сохранило меня вначале, когда облупленный кабель SATA помог повредить данные по одному из дисков.
Необходимо также рассмотреть использование чего-то как rsnapshot, который делает периодические резервные копии данных. Это поможет предотвратить ущерб, нанесенный своенравными командами комнаты, и т.п..
Все мои серверы имеют корневую отключенную учетную запись (sp_pwdp набор к *). Это должно потребовать sudo для всего корневого доступа. [1] цель этого состоит в том, чтобы иметь все контролируемые операции суперпользователя, таким образом, люди видят то, что было сделано к системе.
Для более жесткой опции можно сделать sudo запишите в файл журнала (в противоположность syslog), и сделайте только добавление файла (использование chattr на Linux, или chflags на BSD). Таким образом, никто не может отредактировать аудит впоследствии.
[1] У меня также есть политика не выполнения корневой оболочки, или выполнение оболочки сбегает из корневого процесса. (Это должно хорошо использовать sudo sh -c '...' для того, чтобы сделать конвейеры или перенаправления, все же.)
-
1" Никакое выполнение оболочек, также! " Uhm, Вы знаете, сколько программ имеет " спад shell" команда в них? Даже прежде Вы начинаете смотреть на управление заданиями оболочки... – womble♦ 2 May 2009 в 05:29
-
2I' m говорящий о " никакой shell" как политика, не как sudo опция. (sudo действительно имеет noexec опцию, но очевидно that' s не водонепроницаемый, если Вы не ограничиваете определенные программы, которые пользователь может запустить.) – Chris Jester-Young 2 May 2009 в 05:33
-
3Это возможный настроить sudo так, чтобы " sudo-s" can' t использоваться? I' ve только использовал sudoers для конфигурирования отдельных команд. – 2 May 2009 в 12:06
-
4@Graham: Вы можете. Однако, поскольку Вы видите из комментариев выше, это doesn' t останавливают что-либо, если Ваши пользователи могут иначе выполнить что-нибудь. Единственным водонепроницаемым решением является подход белого списка, где Вы перечисляете определенную программу, которую могут запустить пользователи, и они должны все быть динамично связаны (так, чтобы " noexec" опция может сделать свою вещь). – Chris Jester-Young 2 May 2009 в 17:03
-
5Как политика, где Вы доверяете администраторам, это хорошо. Вы видите то, что управляет людьми, выполненными, который может быть действительно полезным при попытке разработать то, что изменилось. – Hamish Downer 2 May 2009 в 19:57
Я решительно рекомендую против отключения пользователя root. Отключите или ограничьте корневые логины (через securetty и через sshd_config и через PAM и через то, что имеет Вас), Если Ваша система разрешает его, предельные полномочия корня или разделила корневую роль (сродни тому, как RSBAC делает это.), Но, не отключают корневую учетную запись путем удаления пароля, иначе станет невозможно войти в систему через sulogin. sulogin используется всем initscripts, который я знаю в случае серьезных ошибок, о которых сообщает fsck - и это означает, что Вы будете заблокированы из системы, если корневая файловая система будет повреждена.
Разъясниться: Путем "отключения корневой учетной записи путем удаления пароля" я имею в виду различные механизмы, которые заканчиваются с a! или * в поле пароля/etc/shadow, или подобный. Я не имею в виду, "изменяют корневой механизм входа в систему, таким образом, Вы не становитесь предложенными пароль".
-
1Действительно ли это - проблема в системах как Ubuntu, которые никогда не устанавливают пароль root? Я, кажется, могу выполнить " sudo sulogin" но возможно я don' t постигают критический аспект. – jldugger 3 May 2009 в 01:48
-
2К сожалению, I' m не знакомый с путем Ubuntu обрабатывает корень. Но если you' ре, которое в состоянии сделать " sudo sulogin" и получите корневую оболочку, не будучи предложенным пароль root, затем не, it' s не проблема, так как очевидно тот же механизм будет применяться при начальной загрузке. Вы могли попытаться выглядеть держащими для sulogin через initscripts, чтобы проверить когда и как it' s вызванный. – Mihai Limbăşan 3 May 2009 в 02:51
-
3Ubuntu doesn' t используют sulogin. При входе в однопользовательский режим, Вы немедленно получаете корневую оболочку. Однако прочитайте мой комментарий (в моем сообщении) для наблюдения почему этот isn' t проблема, в большинстве случаев. – Chris Jester-Young 4 May 2009 в 07:12
Мне включили корневую учетную запись на всех моих серверах. Все администраторы имеют своего собственного пользователя и должны войти в систему через это. Оттуда они переключаются на корень. (корень ssh отключен),
Проведите подсчет администратора низко. Только у людей, которые действительно должны базироваться доступ на том сервере, есть пароль.
Я не поклонник sudo. Слишком легко просто сделать 'sudo удар' для корневой оболочки. Я знаю, что это может быть отключено, но почему беспокойство? Просто ограничьте пользователей, которые могут выполнить задачи администратора и говорить друг с другом. У нас есть политика не позволить корневым терминалам открыться необслуживаемый. Таким образом, это, входят в систему, su, сделайте работу, выйдите из системы.
Примечание: Я работаю в довольно небольшой компании (50 - что-то сотрудники), и мы двигаемся только с 2 частично занятыми администраторами (1 окно/1 Linux). Этот способ сделать вещи не мог бы быть лучшим, когда у Вас есть порядки величины больше пользователей. Я был бы лично все еще не использовать sudo. Существуют другие способы зарегистрировать корневое действие.
-
1Если Вы хотите корневую оболочку от консоли, Вы могли бы просто сделать ' sudo-i' вместо того, чтобы открыть его от удара sudo. Лично я действительно don' t как идея войти в систему как пользователь root непосредственно, так как это слишком опасно для злонамеренного goating (т.е. случайно отъезд компьютера, разблокированного с корневой открытой оболочкой). – Spoike 2 May 2009 в 11:44
-
2Вы теряете вход/аудит с этим, все же. Заставьте всех использовать sudo и мешать людям делать удар sudo, или sudo-i или sudo-s с корпоративной политикой. Это дает Вам журнал аудита, и если Вы продвигаете все свои журналы к центральному loghost, он, потому что легкий проверить, что люди следуют за политиками. – Christopher Cashell 16 May 2009 в 03:26
Необходимо потребовать, чтобы все использовали sudo для каждой корневой команды как политика. Никогда нет причины выполнить "sudo удар" и т.п., это только для удобства, из-за незнания, или замести следы.
При отключении логинов корневой учетной записи непосредственно Вы наносите вред своей способности зафиксировать систему, когда существуют серьезные проблемы.
Если Вы не можете убедить своих администраторов входить в систему как самих и выполнять sudo для каждой команды, выполненной как корень и не убегать из него в оболочку, у Вас есть серьезные проблемы, для которых нет никакого технического решения.
Отключение пароля root является, по моему скромному мнению, ложной "хорошей идеей". День Вам будет нужен он, Вам действительно будет нужен он. (согласно Вашей конфигурации Вам, возможно, понадобился бы он для входа в систему однопользовательского режима для exemple),
Отключение корневого удаленного входа в систему могло бы быть релевантным, но только если Вы можете войти в систему локально.
И да, sudo должен установленный на каждых из Ваших серверов. Это полезно и легко настроить. Почему хотели бы Вы не использовать его?
-
1Что, если начальная загрузка в однопользовательский режим является опцией личинки? – jldugger 29 May 2009 в 21:25
-
2Что целью отключения является корневая учетная запись? Что Вы сделаете, если Ваш тормоз Ваш sudo двоичный файл или конфигурация (или безотносительно инструмента Вы используете)? – Benoit 29 May 2009 в 23:17
Я просто отключаю доступ SSH для корня и требую пользователей (часто просто разработчики) использовать ssh ключи. Существует только слишком много атак с подбором по словарю, и изменение порта SSH не является опцией для нас.
Тем путем Вы не должны доверять ничьей способности записать хороший пароль. После того как внутри просто у администраторов есть полномочия для sudo.
-
1Порт Changing SSH бессмыслен так или иначе. Простое сканирование портов отдает его легко. Когда я telnet для портирования 22 на моей машине я получаю SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1.2 – Matt Simmons 29 May 2009 в 21:32
Авторы Совы защищают distribuion (и Солнечный разработчик) имеют противоположную тщательно выровненную по ширине точку зрения; посмотрите, например, ответ https://unix.stackexchange.com/questions/8581/which-is-the-safest-way-to-get-root-privileges-sudo-su-or-login/8660#8660 для презентации их требований. Проблема аудита действий суперпользователя (какой человек сделал, что) также решается в их точке зрения (в основном, решение состоит в том, чтобы иметь несколько пользователей root с различными именами).
Я знаю, что этот поток действительно старый, но есть некоторые основные недостатки в логике связанных статей, и я чувствую себя "rant'ie". - sudo позволяет занесение в белый и черный списки. Не просто черный, как они указывают в связанной статье. - Это пропускает идею AAA (аутентификация, авторизация и аудит). - su & sudo допускают как градуированную аутентификацию, так и отчетность.
Сценарий 1 Администратор случайно вводит в систему какой-то неавторизованный код, заходит в систему как root, код имеет полный доступ, и администратор может никогда не узнать, что случилось. По крайней мере, при градуированных входах (например, su/sudo) администратору будет предложено пройти аутентификацию, если неавторизованный код попытается использовать повышенные права.... Если он не повысит свои права, то они будут ограничены правами пользователей, что должно привести к минимальному ущербу.
Сценарий 2 Жулик-администратор хочет получить информацию/изменить обстановку. Они подключаются к консоли (физический доступ к консоли, HP iLo/подобный или vGuest доступ к консоли), войти в систему как корень и делать все, что они захотят. Если нет именованной учетной записи/карты доступа, используемой для получения доступа в консоль, то, вероятно, не так уж и много аудиторского следа.
- Убедитесь, что они действительно те, за кого себя выдают. Кража личности - это не проблема, а проверка личности.
- Проверьте их авторизацию, дайте им только то, что им нужно на тот момент. Рейтинговая авторизация позволяет им поднимать уровень, когда они в ней нуждаются.
- Проверьте все это, запишите, чтобы вы знали, кто, что, что, когда и где. Лучше всего, почему