Renforcer une image Linux pour supprimer les utilisateurs sudo

S’applique à : ✔️ Images Linux

Cette procédure vous montre comment supprimer les utilisateurs sudo de l’image Linux et déployer une machine virtuelle confidentielle (machine virtuelle confidentielle) dans Azure.

L’objectif de cet article est de créer une image Linux sans administrateur pour les déploiements de machines virtuelles confidentielles. La suppression de l’administrateur invité a une valeur de sécurité immense, elle réduit les privilèges d’administrateur entre le système d’exploitation.

Présentation des différents types d’utilisateurs dans les systèmes Unix/Linux :

• Administration utilisateur (sudoer) : utilisateurs réguliers disposant d’autorisations supplémentaires. Ces utilisateurs peuvent effectuer certaines tâches qui modifient les configurations système.

• Utilisateur régulier : les utilisateurs réguliers sont des utilisateurs nonadministratifs. Ils n’ont pas l’autorisation de modifier les configurations système ou d’installer des logiciels à l’échelle du système.

Dans le contexte d’images Linux sans administrateur, l’objectif est de déployer des systèmes sans utilisateurs sudo.

Remarque

La configuration seule ne garantit pas l’ajout d’utilisateurs au groupe sudo. Tout service disposant de privilèges racine ou sudo peut augmenter les privilèges.

Prérequis

• Si vous n’avez pas d’abonnement Azure, créez un compte Azure gratuit avant de commencer.
• Image Ubuntu : vous pouvez en choisir une dans la Place de marché Azure.

Supprimer les utilisateurs sudo et préparer une image Linux généralisée

La solution proposée génère une image Linux sans utilisateurs sudo.

Les étapes de création d’une image généralisée qui supprime les utilisateurs sudo sont les suivantes :

1. Téléchargez une image Ubuntu. Créer une image personnalisée pour une machine virtuelle confidentielle Azure

2. Montez l’image.

   Il existe plusieurs façons d’attacher le disque, l’exemple utilise l’appareil de boucle pour monter l’image. Il peut s’agir d’un disque attaché ou d’un appareil de boucle Montez l’image.

   $imagedevice est la partition du système de fichiers racine sur l’appareil qui contient l’image.

   mount /dev/$imagedevice /mnt/dev/$imagedevice
   

   Ce processus est couramment utilisé pour accéder aux images de disque et les utiliser. Ici, il est utilisé pour supprimer les utilisateurs sudo sur l’image Ubuntu.

3. Chroot dans le système de fichiers vhd pour exécuter la commande suivante, qui répertorie les utilisateurs sous le groupe sudo.

   sudo chroot /mnt/dev/$imagedevice/ getent group sudo
   

4. Validez l’étape 3 en listant les utilisateurs dans le répertoire sudoers.d home et dans /etc/passwd, /etc/shadow files. S’il existe des utilisateurs disposant de privilèges sudo, ils sont répertoriés ici,

   sudo ls /mnt/dev/$imagedevice/etc/sudoers.d
   
   sudo cat /mnt/dev/$imagedevice/etc/passwd
   
   sudo cat /mnt/dev/$imagedevice/etc/shadow
   

5. Supprimer des privilèges sudo : utilisez la commande deluser pour supprimer le privilège sudo pour l’utilisateur,

   sudo chroot /mnt/dev/$imagedevice/ deluser -r [sudo_username]
   

6. Répétez l’étape 4 pour vérifier que l’utilisateur n’a pas de privilège sudo sur le disque dur virtuel.

7. Démontez l’image.

   umount /mnt/dev/$imagedevice
   

L’image préparée n’inclut aucun utilisateur sudo qui peut être utilisé pour créer les machines virtuelles confidentielles.

Suivez les étapes de création d’une image personnalisée pour une machine virtuelle confidentielle Azure pour créer une machine virtuelle confidentielle Azure. Utilisez l’image sans administrateur à l’étape 4 de la création d’une image personnalisée pour une machine virtuelle confidentielle Azure tout en effectuant azcopy et le reste des étapes reste le même.