Linux 系统中可以限制 root 的权限?

2023-11-15 16:19:32 +08:00
 TossPig

又到一年等保季,又是这种狗屁倒灶的事情,前年查我 HTTP 方法

今年给了新课题,当前服务器仅有 root 账户,无安全管理员、审计管理员,未实现管理用户的权限分离。而且标记为高风险必须整改!

最后给出的修改建议是,把 root 用户改名,再新建两个用户去权限分离

???

root 改名了,还能改掉UID=0?这种脱了裤子放屁的事为什么要做?

还是说这样有什么特别意义?感恩有懂得大佬指教一下啊

3908 次点击
所在节点    Linux
36 条回复
billlee
2023-11-15 19:09:38 +08:00
@iminto SELinux 只是默认策略不限制 root, 真要限制 root 也是解不开的。它的权限体系和基于用户那套是平行的
IvanLi127
2023-11-15 19:16:40 +08:00
众所周知,搞等保并不是为了安全。
不过感觉找个有脑子的测评机构至少不会花钱买恶心,有些机构钱真特喵好赚
lanlanye
2023-11-15 20:01:34 +08:00
我之前还遇到一个"使用高权限用户的 Token 可以访问高权限的接口"。
怎么?难道要我给你做个生物识别?
duzhuo
2023-11-15 20:03:46 +08:00
@TossPig 这样还能考别人的吗,还在上学的我大开眼界
yanqiyu
2023-11-15 20:51:45 +08:00
@billlee 倒不是默认不限制
只是默认情况下用户的登录会话都不限制

[root@karubook]~# id -Z
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

但是对于作为服务启动的程序而言:
[root@karubook]~# systemd-run --shell --collect --quiet
[root@karubook]~# id -Z
system_u:system_r:initrc_t:s0

虽然还是 root ,但是就受到了 system_u:system_r:initrc_t 这一属性的约束

要限制传统登录上来的要 semanage ,但是很容易翻车(把自己权限改没了改不回去了)
yanqiyu
2023-11-15 20:55:32 +08:00
毕竟要限制登录上来的 root 的权限,你就要把登录上来的 root 用户设置成不能修改 SELinux 状态...然后改错了就除非设置 kargs 重启不让恢复不了了;)
ruanimal
2023-11-15 21:19:56 +08:00
提供一个想法,应该可以糊弄过去
在 bashrc 里面做一些检测,当识别到 ssh 登陆 root 时,做一些特定的配置(比如屏蔽一些命令)。
zzznow
2023-11-15 22:00:54 +08:00
应该是禁止 root 用户直接登录或远程。平常使用普通用户
inframe
2023-11-15 23:18:37 +08:00
合规而已,适当地糊弄一下算了。这看起来对面也不大专业啊
SunZm
2023-11-16 00:35:07 +08:00
走个形式而已, 不用太较真, 简单点, 建三个新用户, 然后说给他们权限分离了, 问 root 就说禁了, 他们检查的也是工作而已, 并不会特别较真...
cwcc
2023-11-16 00:43:40 +08:00
作业指导书的问题,这个问题是从 1.0 延续过来的,2.0 的作业指导书其实已经更新了,但是很多人就还是习惯性的老一套。你可以和他们谈,如果他们不懂,那就是他们不懂。另外,权限没有分离根本判不了高风险,瞎判。
msg7086
2023-11-16 01:13:23 +08:00
装宝塔搞等保,你在期待什么。
DeWjjj
2023-11-16 01:43:01 +08:00
创个新账户叫 administer=>删掉 root=>就行了吧。
devopsdogdog
2023-11-16 07:09:25 +08:00
等保实施人员压根不动技术,都是照本宣科,讨论不了,就改吧,后面恢复就是了
lyxxxh2
2023-11-16 13:06:22 +08:00
我也是这样做的

1. 新建两个用户并设置密码
2. 把用户 a 设置为 root 权限, 编辑 `/etc/passwd` `user_a:x:0:0::/home/user_a:/bin/bash`
3. 禁用 root 密码, 编辑 `/etc/shadow`, `root:!!$6$JDiFFDS....`

最后就是:
root 不可能登录的了
user_a 有 root 权限
user_b 运行项目用的
96368a
2023-11-16 16:41:26 +08:00
等保公司的安服仔来说一句,我公司的等保测评人员都是其他行业转过来的,例如会计和商务之类的,表示这种事情见怪不怪

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/992162

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX