Posílení image Linuxu pro odebrání uživatelů sudo

Platí pro: ✔️ Image Linuxu

Tento postup ukazuje postup odebrání uživatelů sudo z image Linuxu a nasazení důvěrného virtuálního počítače (důvěrného virtuálního počítače) v Azure.

Cílem tohoto článku je vytvořit image Linuxu bez správy pro důvěrná nasazení virtuálních počítačů. Odebrání správce hosta má obrovskou hodnotu zabezpečení, snižuje oprávnění správce napříč operačním systémem.

Vysvětlení různých typů uživatelů v systémech Unix/Linux:

• Správa uživatel (sudoer): Běžní uživatelé s dodatečnými oprávněními. Tito uživatelé mohou provádět určité úlohy, které upravují konfigurace systému.

• Běžný uživatel: Běžní uživatelé jsou nesprávní uživatelé. Nemají oprávnění ke změnám konfigurace systému ani instalaci softwaru pro celý systém.

V kontextu imagí linuxových imagí bez správy je cílem nasadit systémy bez uživatelů sudo.

Poznámka:

Samotná konfigurace nezajistí, že uživatelé nebudou přidáni do skupiny sudo. Jakákoli služba s oprávněními root nebo sudo má potenciál eskalovat oprávnění.

Předpoklady

• Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.
• Image Ubuntu – můžete si ji vybrat z Azure Marketplace.

Odebrání uživatelů sudo a příprava generalizované image Linuxu

Navrhované řešení vede k imagi Linuxu bez uživatelů sudo.

Postup vytvoření generalizované image, která odebere uživatele sudo, jsou následující:

1. Stáhněte si image Ubuntu. Vytvoření vlastní image pro důvěrný virtuální počítač Azure

2. Připojte image.

   Existuje několik způsobů, jak to udělat Připojit disk, příklad používá zařízení smyčky k připojení image. Může to být disk připojený nebo zařízení smyčky Připojit image.

   $imagedevice je oddíl kořenového systému souborů na zařízení, které obsahuje image.

   mount /dev/$imagedevice /mnt/dev/$imagedevice
   

   Tento proces se běžně používá pro přístup k imagím disků a práci s ní. Tady se používá k odebrání uživatelů sudo na imagi Ubuntu.

3. Chroot do systému souborů vhd spusťte následující příkaz, který uvádí uživatele ve skupině sudo.

   sudo chroot /mnt/dev/$imagedevice/ getent group sudo
   

4. Krok 3 ověřte výpisem uživatelů v domovském adresáři sudoers.d a v souborech /etc/passwd, /etc/shadow. Pokud existují uživatelé s oprávněními sudo, jsou zde uvedeni,

   sudo ls /mnt/dev/$imagedevice/etc/sudoers.d
   
   sudo cat /mnt/dev/$imagedevice/etc/passwd
   
   sudo cat /mnt/dev/$imagedevice/etc/shadow
   

5. Odebrat oprávnění sudo: Pomocí příkazu deluser odeberte oprávnění sudo pro uživatele,

   sudo chroot /mnt/dev/$imagedevice/ deluser -r [sudo_username]
   

6. Opakováním kroku 4 ověřte, že uživatel nemá oprávnění sudo pro virtuální pevný disk.

7. Odpojte image.

   umount /mnt/dev/$imagedevice
   

Připravená image neobsahuje žádné uživatele sudo, které je možné použít k vytváření důvěrných virtuálních počítačů.

Postupujte podle kroků Vytvoření vlastní image pro důvěrný virtuální počítač Azure a vytvořte důvěrný virtuální počítač Azure. Použijte image bez správy v kroku 4 vytvoření vlastní image pro důvěrný virtuální počítač Azure při provádění příkazu azcopy a zbývající kroky zůstanou stejné.