Linux 系统中可以限制 root 的权限?

2023-11-15 16:19:32 +08:00
 TossPig

又到一年等保季,又是这种狗屁倒灶的事情,前年查我 HTTP 方法

今年给了新课题,当前服务器仅有 root 账户,无安全管理员、审计管理员,未实现管理用户的权限分离。而且标记为高风险必须整改!

最后给出的修改建议是,把 root 用户改名,再新建两个用户去权限分离

???

root 改名了,还能改掉UID=0?这种脱了裤子放屁的事为什么要做?

还是说这样有什么特别意义?感恩有懂得大佬指教一下啊

3907 次点击
所在节点    Linux
36 条回复
cheng6563
2023-11-15 16:22:17 +08:00
等保就是这样的啊,他说啥是啥就行了
johnidy
2023-11-15 16:22:34 +08:00
应试,让怎么改就怎么改,给 pass 就行。
lambdaq
2023-11-15 16:22:54 +08:00
你新建一个 not_root 加入到 sudoer 禁止 root 登录不就整改完毕了?
cheng6563
2023-11-15 16:25:04 +08:00
之前给出一堆运维电脑的整改要求,洋洋洒洒好几页,然而我们运维用的 mac ,就说 mac 已经够安全了什么都不用做。
iminto
2023-11-15 16:25:16 +08:00
当前服务器仅有 root 账户,通常来说确实不合规,也不合理。

root 的权限也可以限制啊,selinux 不就是嘛,不过是限制了后 root 可以自己解开。
cheng6563
2023-11-15 16:26:55 +08:00
服务器也是全容器管理的,就在安装 k8s 时登录过一下,之后服务器就没登录过,还不是得把什么劳什子审计管理员用户建出来
TossPig
2023-11-15 16:38:43 +08:00
@cheng6563 说到 mac 让我想起了数据库也是,mysql 就需要这调整那修改的,pgsql 不会测就是安全。我们是私有部署,服务器是客户的,他们根本没 k8s

@johnidy 就很讨厌这种无意义的行为

@lambdaq 他们测试的时候都是要求 root 权限

@iminto 实际情况是就一个很边缘的系统,两三年都不会进操作系统一次,

还有一个讨厌的东西要求 90 天更换所有数据库密码,数据库端口都没外放。。。。

现在直接用定时脚本改,需要密码的时候再去看配置文件中的密码
defunct9
2023-11-15 16:47:29 +08:00
真想抽死这帮人,满嘴胡说八道,把 root 改掉,系统还跑的起来么。
NotFoundEgg
2023-11-15 16:52:13 +08:00
root 用户改名这个操作真是秀到了
ruanimal
2023-11-15 17:01:36 +08:00
SELinux ?
liuliancao
2023-11-15 17:42:03 +08:00
搭建个 Jumpserver 吧 配置下用户看看
euph
2023-11-15 17:55:52 +08:00
上面本意是好的,只是下面的人执行歪了(狗头)
julyclyde
2023-11-15 17:58:39 +08:00
仅有 root 肯定有问题啊
后台服务不应该用 root 身份运行
你应该单独建一个服务用户

至于说把 root 改名……这建议过于业余
dengshen
2023-11-15 18:21:49 +08:00
你不能用 Ubuntu 啊我们要求使用 Linux 🐶
x1aoYao
2023-11-15 18:41:54 +08:00
@julyclyde 是的。而且登录也一般是普通账户登录,登录之后再切 root 都可以。
error451
2023-11-15 18:50:29 +08:00
无安全管理员、审计管理员,未实现管理用户的权限分离
这个是等保的常见项目啊, 等保天天都在做这玩意。

但是这个整改的方案都是新增审计用户,开启审计,新增安全管理员,新增普通用户, 然后禁止 root ssh 登录(用普通用户登录,然后 su root 这样是不违规的) 这个方案

头一回听说要求改 root 用户的。

请问这是哪一家逗 B 提供的方案?

说出来好让大家以后避坑啊。
julyclyde
2023-11-15 18:58:19 +08:00
@x1aoYao su 命令、sudo 命令、setuid 函数都是用 uid 来表示的,其实 root 用户叫啥名字是无所谓的
大概能扛一些 login/sshd 的攻击?
julyclyde
2023-11-15 18:59:00 +08:00
@error451 要求改 root 用户的审计供应商其实不少
不知道这个行业怎么能,从行业刚兴起就这么烂
TossPig
2023-11-15 19:02:57 +08:00
@julyclyde 服务器上装了宝塔的,默认应用服务是 www 用户在跑,系统是 debian 12 怎么都不可能只有 root 用户

中间还有个坑,要求 root 也要密码过期,但是我给的是密钥登录,测试的人不会制作密钥,临时开启了密码登录,然后把密码相关都列为非检测项🐶
TossPig
2023-11-15 19:04:36 +08:00
真的就我遇到的等保公司,没有一家的测试人员会制作 ssh 密钥🐶

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/992162

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX