Arrêtons sudo!

introduction

sudo est une commande pratique qui peut être exécutée par un utilisateur général non root avec des privilèges root sans exécuter la commande su. Mais c'est dangereux. Comment désactiver sudo en expliquant la raison. J'expliquerai l'opération alternative lorsque sudo est désactivé.

Pour ceux qui comprennent le comportement de sudo et le définissent dans une plage limitée, veuillez l'ignorer car il s'agit de "Prêcher à Shaka".

Écrit avec la lecture à l'esprit.

Méthode d'authentification en deux étapes

La connexion nécessite un mot de passe. Une machine Linux qui peut ssh est protégée du monde extérieur avec un mot de passe unique. Mais passwd est très vulnérable. Quel que soit le mot de passe que vous définissez, il craquera toujours avec la technologie moderne. Mais qu'en est-il de l'authentification en deux étapes? C'est une authentification que vous devez déchiffrer passwd, vous connecter et à nouveau su avec un autre mot de passe. C'est facile à comprendre si vous déverrouillez l'entrée du bâtiment et imaginez que l'entrée de la salle de contrôle a également une porte et une autre serrure.

Interdire la connexion root

Pour assurer la sécurité, il est généralement défini de manière à ce que root ne puisse pas se connecter via SSH de l'extérieur.

/etc/ssh/sshd_config:
PermitRootLogin no

C'est le cadre de.

Retour à une porte

C'est un système bien conçu. Mais pensez-y, avez-vous besoin d'un mot de passe root pour exécuter sudo? Je n'en ai pas besoin.

/etc/sudoers.d/*
/etc/sudoers

L'utilisateur décrit dans peut exécuter sudo sans passwd. C'est la même chose que de retirer l'une des doubles portes d'entrée. La configuration de sudoers rend le système aussi faible que la configuration de PermitRootLogin yes.

Mesure de sécurité

Il est facile de le remettre dans la double porte. Vous n'avez pas besoin de définir d'utilisateurs dans sudoers. Si vous faites cela "Je ne peux pas gérer la machine!" Vous pouvez entendre un cri. Quand j'ai appris unix, il n'y avait pas de sudo. sudo est une commande maléfique très dangereuse créée plus tard, et même si elle n'est pas là, il n'y a aucun problème de gestion du système.

Moyens de supprimer sudo

Commencez par changer le mot de passe racine. Peut-être que vous ne connaissez pas le mot de passe root si vous utilisez uniquement sudo?

sudo passwd root

sudo C'est mon dernier travail. Pas question, vous ne définissez pas "1234". Veuillez vous assurer que 8 lettres, symboles et chiffres ou plus sont mélangés. C'est la clé du coffre-fort.

su
cd /etc/sudoers.d
rm *

Opération alternative pour la gestion de la machine

Je l'ai déjà fait maintenant.

su
Password: <root_pass>

Et vous n'avez besoin d'être root que lorsque vous avez besoin d'être root.

Autres pièges

Les paramètres par défaut de la machine ont des pièges dangereux qui peuvent être facilement fermés.

su
vipw
ftp:x:1005:1005:,,,:/home/ftp:/bin/false

Définissez le shell de connexion sur / bin / false comme dans.

À la fin

Qu'il s'agisse d'un petit SBC à la mode ou d'un petit SBC qui n'est pas très populaire, les crackers viendront lorsque vous vous connectez au net. Parce qu'il est petit, les contre-mesures peuvent être petites. 』. Veuillez prendre les mesures appropriées.

J'ai été surpris de voir le livre d'introduction sur Raspberry Pi. Tous sont connectés avec pi et définis avec sudo. Même si je ne sais pas quoi faire en premier

sudo passwd root
su
adduser your_name
deluser pi

est. C'est un appareil qui peut être connecté au réseau tel quel. Veuillez tenir compte de la sécurité du réseau lors de l'écriture. Les débutants fonctionnent comme écrit.

Recommended Posts

Arrêtons sudo!
Arrêtons de nous soucier de la journalisation !!