Linux 系统中可以限制 root 的权限?

363 天前
 TossPig

又到一年等保季,又是这种狗屁倒灶的事情,前年查我 HTTP 方法

今年给了新课题,当前服务器仅有 root 账户,无安全管理员、审计管理员,未实现管理用户的权限分离。而且标记为高风险必须整改!

最后给出的修改建议是,把 root 用户改名,再新建两个用户去权限分离

???

root 改名了,还能改掉UID=0?这种脱了裤子放屁的事为什么要做?

还是说这样有什么特别意义?感恩有懂得大佬指教一下啊

3892 次点击
所在节点    Linux
36 条回复
cheng6563
363 天前
等保就是这样的啊,他说啥是啥就行了
johnidy
363 天前
应试,让怎么改就怎么改,给 pass 就行。
lambdaq
363 天前
你新建一个 not_root 加入到 sudoer 禁止 root 登录不就整改完毕了?
cheng6563
363 天前
之前给出一堆运维电脑的整改要求,洋洋洒洒好几页,然而我们运维用的 mac ,就说 mac 已经够安全了什么都不用做。
iminto
363 天前
当前服务器仅有 root 账户,通常来说确实不合规,也不合理。

root 的权限也可以限制啊,selinux 不就是嘛,不过是限制了后 root 可以自己解开。
cheng6563
363 天前
服务器也是全容器管理的,就在安装 k8s 时登录过一下,之后服务器就没登录过,还不是得把什么劳什子审计管理员用户建出来
TossPig
363 天前
@cheng6563 说到 mac 让我想起了数据库也是,mysql 就需要这调整那修改的,pgsql 不会测就是安全。我们是私有部署,服务器是客户的,他们根本没 k8s

@johnidy 就很讨厌这种无意义的行为

@lambdaq 他们测试的时候都是要求 root 权限

@iminto 实际情况是就一个很边缘的系统,两三年都不会进操作系统一次,

还有一个讨厌的东西要求 90 天更换所有数据库密码,数据库端口都没外放。。。。

现在直接用定时脚本改,需要密码的时候再去看配置文件中的密码
defunct9
363 天前
真想抽死这帮人,满嘴胡说八道,把 root 改掉,系统还跑的起来么。
NotFoundEgg
363 天前
root 用户改名这个操作真是秀到了
ruanimal
363 天前
SELinux ?
liuliancao
363 天前
搭建个 Jumpserver 吧 配置下用户看看
euph
363 天前
上面本意是好的,只是下面的人执行歪了(狗头)
julyclyde
363 天前
仅有 root 肯定有问题啊
后台服务不应该用 root 身份运行
你应该单独建一个服务用户

至于说把 root 改名……这建议过于业余
dengshen
363 天前
你不能用 Ubuntu 啊我们要求使用 Linux 🐶
x1aoYao
363 天前
@julyclyde 是的。而且登录也一般是普通账户登录,登录之后再切 root 都可以。
error451
363 天前
无安全管理员、审计管理员,未实现管理用户的权限分离
这个是等保的常见项目啊, 等保天天都在做这玩意。

但是这个整改的方案都是新增审计用户,开启审计,新增安全管理员,新增普通用户, 然后禁止 root ssh 登录(用普通用户登录,然后 su root 这样是不违规的) 这个方案

头一回听说要求改 root 用户的。

请问这是哪一家逗 B 提供的方案?

说出来好让大家以后避坑啊。
julyclyde
363 天前
@x1aoYao su 命令、sudo 命令、setuid 函数都是用 uid 来表示的,其实 root 用户叫啥名字是无所谓的
大概能扛一些 login/sshd 的攻击?
julyclyde
363 天前
@error451 要求改 root 用户的审计供应商其实不少
不知道这个行业怎么能,从行业刚兴起就这么烂
TossPig
363 天前
@julyclyde 服务器上装了宝塔的,默认应用服务是 www 用户在跑,系统是 debian 12 怎么都不可能只有 root 用户

中间还有个坑,要求 root 也要密码过期,但是我给的是密钥登录,测试的人不会制作密钥,临时开启了密码登录,然后把密码相关都列为非检测项🐶
TossPig
363 天前
真的就我遇到的等保公司,没有一家的测试人员会制作 ssh 密钥🐶

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/992162

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX