権限のベストプラクティスと一般的にsudoの使用を防ぐ方法は? [閉鎖]

権限のベストプラクティスと一般的にsudoの使用を防ぐ方法は? [閉鎖]

要点は、1人のユーザーにのみsudoアクセス権を付与したいということです。実際には、設定と緊急の状況にのみ適用されます。私はいつもsudoアクセス権があるとは信じていません。これを行うベストプラクティスはありますか?例:

sudoアクセス権を付与せずに、ユーザー/グループに特定のポート(他のポートではない)へのアクセス権を付与します。 (一部の回答はnet_bind、iptables、およびauthbindです。)ユーザーがsudoなしでapacheなどのサービスを使用できるようにNode.jsなどをインストールします。システムは次のように設計されています。他のユーザーが使用できるプログラムをインストールするための広範な権限をユーザーまたはグループに付与する方法。他のユーザーにsudoまたはrootアクセスを許可しなくても、そのユーザーにはこれを行う権限がありません。 。マシンが中断された場合(sudoerの中断、/ etc / passwdの中断[実際に私に起こったこと]、rootでsshを介したログインを妨げるすべての中断など)発生した場合はどうすればよいですか?

要点は、1人のユーザーにのみsudoアクセス権を付与したいということです。実際には、設定と緊急の状況にのみ適用されます。私はいつもsudoアクセス権があるとは信じていません。これを行うベストプラクティスはありますか?

答え1

「最良の」方法はわかりませんが、sudo基本的な制限よりも快適であると感じた場合は、次のことを行う必要があると思います。

  1. かなり異なるプロンプトを使用して、明示的なログインが必要で、root権限でインストーラ/etc/sudoers(など)を実行できる一般ユーザー「インストール」ユーザーを作成します。apt-getyum

  2. 以下を使用して、root権限全体を持つ別の名前付きユーザーを設定します。/etc/sudoers

ルート権限を必要とする他の特定のタスクに対して最初のタスクを繰り返すことができます。

2番目のポイントではなく root で明示的にログインできます。 1つ以上の特別なアカウントを持つ利点は、一部の操作でユーザーに気付かない、または追加の人員(印刷して封筒に入れるなど)なしでアクセスできないアカウントのパスワードを生成できることです。 )一人だけがそれぞれを知っています)。結合する離れてロギング機能(rootマシン自体のログは変更される可能性があります)誰がアクセス権を取得したかを追跡し、その理由と実際に必要かどうかを確認できます。

私は過去30年間、UnixとLinuxシステムにこれらの「コントロール」のいずれかを何らかの形で追加してきました。完璧ではないかもしれませんが、ダメージを制限し、場合によってはソフトウェア盗難を明らかにするための抑制策として機能するのに十分です。

関連情報