Endurecer una imagen Linux para eliminar usuarios sudo
Se aplica a: ✔️ Imágenes de Linux
En este "procedimiento" se muestran los pasos para quitar usuarios de sudo de la imagen de Linux e implementar una máquina virtual confidencial (VM confidencial) en Azure.
El objetivo de este artículo es crear una imagen linux sin administrador para implementaciones de máquinas virtuales confidenciales. La eliminación del administrador invitado tiene un gran valor de seguridad, lo que reduce los privilegios de administrador en todo el sistema operativo.
Descripción de diferentes tipos de usuarios en sistemas Unix/Linux:
Administración usuario (sudoer): usuarios normales con permisos adicionales. Estos usuarios pueden realizar determinadas tareas que modifican las configuraciones del sistema.
Usuario normal: los usuarios normales son usuarios no administrativos. No tienen permiso para modificar configuraciones del sistema ni instalar software para todo el sistema.
En el contexto de las imágenes de Linux sin administrador, el objetivo es implementar sistemas sin usuarios de sudo.
Nota:
La configuración por sí sola no garantiza la prevención de que los usuarios se agreguen al grupo de sudo. Cualquier servicio con privilegios raíz o sudo tiene la posibilidad de escalar los privilegios.
Requisitos previos
- Si no tiene una suscripción a Azure, cree una cuenta gratuita de Azure antes de empezar.
- Una imagen de Ubuntu: puede elegir una de Azure Marketplace.
Eliminación de usuarios de sudo y preparación de una imagen generalizada de Linux
La solución propuesta da como resultado una imagen de Linux sin usuarios sudo.
Los pasos para crear una imagen generalizada que quite los usuarios de sudo son los siguientes:
Descargue una imagen de Ubuntu. Creación de una imagen personalizada para una máquina virtual confidencial de Azure
Monte la imagen.
Hay varias maneras de hacerlo Conectar el disco, en el ejemplo se usa el dispositivo de bucle para montar la imagen. Puede ser un disco conectado o un dispositivo de bucle Montar la imagen.
$imagedevice es la partición del sistema de archivos raíz en el dispositivo que contiene la imagen.
mount /dev/$imagedevice /mnt/dev/$imagedeviceEste proceso se usa normalmente para acceder a imágenes de disco y trabajar con ellas. Aquí se usa para quitar los usuarios de sudo en la imagen de Ubuntu.
Chroot en el sistema de archivos vhd para ejecutar el siguiente comando, que enumera los usuarios del grupo sudo.
sudo chroot /mnt/dev/$imagedevice/ getent group sudoValide el paso 3 enumerando los usuarios en el directorio principal sudoers.d y en /etc/passwd, /etc/shadow files. Si hay usuarios con privilegios sudo, se muestran aquí,
sudo ls /mnt/dev/$imagedevice/etc/sudoers.d sudo cat /mnt/dev/$imagedevice/etc/passwd sudo cat /mnt/dev/$imagedevice/etc/shadowQuitar privilegios sudo: use el comando deluser para quitar el privilegio sudo para el usuario,
sudo chroot /mnt/dev/$imagedevice/ deluser -r [sudo_username]Repita el paso 4 para validar que el usuario no tiene ningún privilegio sudo en el disco duro virtual.
Desmonte la imagen.
umount /mnt/dev/$imagedevice
La imagen preparada no incluye ningún usuario de sudo que se pueda usar para crear las máquinas virtuales confidenciales.
Siga los pasos Creación de una imagen personalizada para una máquina virtual confidencial de Azure para crear una máquina virtual confidencial de Azure. Use la imagen sin administrador en el paso 4 de Creación de una imagen personalizada para una máquina virtual confidencial de Azure mientras realiza azcopy y el resto de los pasos sigue siendo el mismo.