Härda en Linux-avbildning för att ta bort sudo-användare

Gäller för: ✔️ Linux-avbildningar

Den här "instruktioner" visar steg för att ta bort sudo-användare från Linux-avbildningen och distribuera en konfidentiell virtuell dator (konfidentiell virtuell dator) i Azure.

Målet med den här artikeln är att skapa en Linux-avbildning utan administratör för konfidentiella distributioner av virtuella datorer. Att ta bort gästadministratören har ett enormt säkerhetsvärde, vilket minskar administratörsbehörigheten i operativsystemet.

Förstå olika typer av användare i Unix/Linux-system:

• Administratörsanvändare (sudoer): Vanliga användare med extra behörigheter. Dessa användare kan utföra vissa uppgifter som ändrar systemkonfigurationer.

• Vanlig användare: Vanliga användare är icke-administratörsanvändare. De har inte behörighet att ändra systemkonfigurationer eller installera systemomfattande programvara.

När det gäller administratörslösa Linux-avbildningar är syftet att distribuera system utan sudo-användare.

Kommentar

Enbart konfigurationen säkerställer inte att användare hindras från att läggas till i sudo-gruppen. Alla tjänster med rot- eller sudoprivilegier kan eskalera privilegier.

Förutsättningar

• Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt Azure-konto innan du börjar.
• En Ubuntu-avbildning – du kan välja en från Azure Marketplace.

Ta bort sudo-användare och förbered en generaliserad Linux-avbildning

Den föreslagna lösningen resulterar i en Linux-avbildning utan sudo-användare.

Stegen för att skapa en generaliserad avbildning som tar bort sudo-användare är följande:

1. Ladda ned en Ubuntu-avbildning. Skapa en anpassad avbildning för en konfidentiell virtuell Azure-dator

2. Montera avbildningen.

   Det finns flera sätt att göra detta På så sätt ansluter du disken. I exemplet används loopenheten för att montera avbildningen. Det kan antingen vara en ansluten disk eller en loopenhet Montera avbildningen.

   $imagedevice är rotfilsystemets partition på den enhet som innehåller avbildningen.

   mount /dev/$imagedevice /mnt/dev/$imagedevice
   

   Den här processen används ofta för att komma åt och arbeta med diskbilder. Här används den för att ta bort sudo-användare på Ubuntu-avbildningen.

3. Chroot till vhd-filsystemet för att köra följande kommando, som listar användare under sudo-gruppen.

   sudo chroot /mnt/dev/$imagedevice/ getent group sudo
   

4. Verifiera steg 3 genom att visa användarna i sudoers.d-hemkatalogen och i /etc/passwd, /etc/shadow-filer. Om det finns några användare med sudo-behörigheter visas de här,

   sudo ls /mnt/dev/$imagedevice/etc/sudoers.d
   
   sudo cat /mnt/dev/$imagedevice/etc/passwd
   
   sudo cat /mnt/dev/$imagedevice/etc/shadow
   

5. Ta bort sudo-privilegier: Använd deluser-kommandot för att ta bort sudo-behörigheten för användaren,

   sudo chroot /mnt/dev/$imagedevice/ deluser -r [sudo_username]
   

6. Upprepa steg 4 för att verifiera att användaren inte har någon sudo-behörighet på den virtuella hårddisken.

7. Demontera avbildningen.

   umount /mnt/dev/$imagedevice
   

Den förberedda avbildningen innehåller inga sudo-användare som kan användas för att skapa de konfidentiella virtuella datorerna.

Följ stegen Skapa en anpassad avbildning för konfidentiell virtuell Azure-dator för att skapa en konfidentiell virtuell Azure-dator. Använd den administratörslösa avbildningen i steg 4 i Skapa en anpassad avbildning för konfidentiell virtuell Azure-dator när du gör azcopy och resten av stegen förblir desamma.