Protezione avanzata di un'immagine Linux per rimuovere gli utenti sudo.
Si applica a: ✔️ immagini Linux
Questa procedura illustra i passaggi per rimuovere gli utenti sudo dall'immagine Linux e distribuire una macchina virtuale riservata (VM riservata) in Azure.
L'obiettivo di questo articolo è creare un'immagine Linux senza amministratore per le distribuzioni di macchine virtuali riservate. La rimozione dell'amministratore guest ha un enorme valore di sicurezza, riducendo i privilegi di amministratore nel sistema operativo.
Informazioni sui diversi tipi di utenti nei sistemi Unix/Linux:
Utente amministratore (sudoer): utenti regolari con autorizzazioni aggiuntive. Questi utenti possono eseguire determinate attività che modificano le configurazioni di sistema.
Utente normale: gli utenti normali sono utenti non amministratori. Non hanno l'autorizzazione per modificare le configurazioni di sistema o installare software a livello di sistema.
Nel contesto delle immagini Linux senza amministratore, l'obiettivo è distribuire sistemi senza utenti sudo.
Nota
La configurazione da sola non garantisce che gli utenti vengano aggiunti al gruppo sudo. Qualsiasi servizio con privilegi radice o sudo può inoltrare i privilegi.
Prerequisiti
- Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.
- Un'immagine Ubuntu: è possibile sceglierne una da Azure Marketplace.
Rimuovere utenti sudo e preparare un'immagine Linux generalizzata
La soluzione proposta restituisce un'immagine Linux senza utenti sudo.
I passaggi per creare un'immagine generalizzata che rimuove gli utenti sudo sono le seguenti:
Scaricare un'immagine Ubuntu. Creare un'immagine personalizzata per una macchina virtuale riservata di Azure
Montare l'immagine.
Esistono diversi modi per eseguire questa operazione di Collegamento al disco; l'esempio utilizza il dispositivo ciclo per montare l'immagine. Può essere un disco collegato o un dispositivo ciclo Montare l'immagine.
$imagedevice è la partizione del file system radice nel dispositivo che contiene l'immagine.
mount /dev/$imagedevice /mnt/dev/$imagedeviceTale processo viene comunemente utilizzato per accedere e lavorare con le immagini del disco. In questo caso viene usato per rimuovere gli utenti sudo nell'immagine Ubuntu.
Chroot nel file system vhd per eseguire il comando seguente, che elenca gli utenti nel gruppo sudo.
sudo chroot /mnt/dev/$imagedevice/ getent group sudoConvalidare il passaggio 3 elencando gli utenti nella home directory sudoers.d e nei file /etc/passwd, /etc/shadow. Se sono presenti utenti con privilegi sudo, sono elencati qui,
sudo ls /mnt/dev/$imagedevice/etc/sudoers.d sudo cat /mnt/dev/$imagedevice/etc/passwd sudo cat /mnt/dev/$imagedevice/etc/shadowRimuovere i privilegi sudo: usare il comando deluser per rimuovere i privilegi sudo per l'utente,
sudo chroot /mnt/dev/$imagedevice/ deluser -r [sudo_username]Ripetere il passaggio 4 per verificare che l'utente non goda di privilegi sudo nel disco rigido virtuale.
Smontare l'immagine.
umount /mnt/dev/$imagedevice
L'immagine preparata non include alcun utente sudo che può essere usato per creare le macchine virtuali riservate.
Seguire la procedura Creare un'immagine personalizzata per una macchina virtuale riservata di Azure per creare una macchina virtuale riservata di Azure. Usare l'immagine senza amministratore nel passaggio 4 di Creare un'immagine personalizzata per una macchina virtuale riservata di Azure mentre si esegue azcopy e il resto dei passaggi rimane invariato.