リモートオーケストレーション専用システムでルートパスワードを無効にしてsudoを削除しますか?

リモートオーケストレーション専用システムでルートパスワードを無効にしてsudoを削除しますか?

問題のシステムはAnsibleを使用してリモートでのみ管理できるため、致命的なコマンドをユーザーグループに制限したり、簡単な管理アクセスを許可したりすることを心配することはありません。私は、ハッカーが何らかの方法でコンソールアクセスを取得したり、不明な脆弱性を使用してコマンドを実行したりできないようにシステムをロックすることに興味があります。システムはXをインストールせず、厳密に言えばヘッドレスです。

私が決めた計画は次のとおりです。

  1. 障害を負うSSH経由でログイン(これは提供されています)
  2. 削除sudoしてホイールグループ、
  3. 秘密鍵の使用ログイン、
  4. ルートパスワードを完全に無効にします。

ルートアクセスをロックするには追加の措置を講じる必要がありますか?それとも私があまりにも多くの措置を取っているのでしょうか?つまり、私が考えていない意図しない結果はありますか?

ありがとうございます!


編集する:コメントにいる誰かは、このシステムは調整のみ可能なので、ただ許可してはいけないと提案しました。キーを使用してSSH経由でログインしますか?以下は私たちのユースケースに適しています。私たちの場合、中間アカウントの唯一の実際の使用は、通過できる人のアクセスを許可することですsudo

  1. 現在の仲介者を削除します。権利なしユーザー、
  2. SSHキー設定ユーザー
  3. ルートパスワードを削除するために使用しますpasswd -d root
  4. アカウントロックpasswd -l root
  5. 〜できるようにするrootユーザーへのSSHアクセスおよびオーケストレーションシステムで使用直接ログインしてください。

では、残りの質問は、このアプローチは他のセキュリティ問題を引き起こしますか?

関連情報