Een Linux-installatiekopieën beperken om sudo-gebruikers te verwijderen
Van toepassing op: ✔️ Linux-installatiekopieën
In deze procedure ziet u de stappen voor het verwijderen van sudo-gebruikers uit de Linux-installatiekopieën en het implementeren van een vertrouwelijke virtuele machine (vertrouwelijke VM) in Azure.
Het doel van dit artikel is het maken van een linux-installatiekopieën met beheerdersrechten voor vertrouwelijke VM-implementaties. Het verwijderen van de gastbeheerder heeft een enorme beveiligingswaarde, waardoor beheerdersbevoegdheden in het besturingssysteem worden verminderd.
Informatie over verschillende typen gebruikers in Unix-/Linux-systemen:
Beheer gebruiker (sudoer): Reguliere gebruikers met extra machtigingen. Deze gebruikers kunnen bepaalde taken uitvoeren die systeemconfiguraties wijzigen.
Gewone gebruiker: reguliere gebruikers zijn niet-beheerders. Ze zijn niet gemachtigd om systeemconfiguraties te wijzigen of systeembrede software te installeren.
In de context van Linux-installatiekopieën zonder beheerder is het doel systemen zonder sudo-gebruikers te implementeren.
Notitie
De configuratie alleen zorgt er niet voor dat gebruikers niet worden toegevoegd aan de sudo-groep. Elke service met root- of sudo-bevoegdheden kan bevoegdheden escaleren.
Vereisten
- Als u nog geen abonnement op Azure hebt, maakt u een gratis Azure-account voordat u begint.
- Een Ubuntu-installatiekopie: u kunt er een kiezen in Azure Marketplace.
Sudo-gebruikers verwijderen en een gegeneraliseerde Linux-installatiekopieën voorbereiden
De voorgestelde oplossing resulteert in een Linux-installatiekopieën zonder sudo-gebruikers.
Stappen voor het maken van een gegeneraliseerde installatiekopieën waarmee de sudo-gebruikers worden verwijderd, zijn als volgt:
Download een Ubuntu-installatiekopie. Een aangepaste installatiekopieën maken voor Azure Confidential VM
Koppel de afbeelding.
Er zijn verschillende manieren om de schijf te koppelen. In het voorbeeld wordt het lusapparaat gebruikt om de installatiekopieën te koppelen. Het kan een schijf zijn gekoppeld of een lusapparaat de installatiekopieën koppelen.
$imagedevice is de partitie van het hoofdbestandssysteem op het apparaat dat de installatiekopieën bevat.
mount /dev/$imagedevice /mnt/dev/$imagedevice
Dit proces wordt vaak gebruikt voor toegang tot schijfinstallatiekopieën en het werken met schijfinstallatiekopieën. Hier wordt het gebruikt om de sudo-gebruikers op de Ubuntu-installatiekopie te verwijderen.
Chroot in het vhd-bestandssysteem om de volgende opdracht uit te voeren, waarin gebruikers onder de sudo-groep worden vermeld.
sudo chroot /mnt/dev/$imagedevice/ getent group sudo
Valideer stap 3 door de gebruikers in de basismap sudoers.d en in /etc/passwd, /etc/schaduwbestanden weer te geven. Als er gebruikers zijn met sudo-bevoegdheden, worden ze hier vermeld,
sudo ls /mnt/dev/$imagedevice/etc/sudoers.d sudo cat /mnt/dev/$imagedevice/etc/passwd sudo cat /mnt/dev/$imagedevice/etc/shadow
Sudo-bevoegdheden verwijderen: gebruik de opdracht waanidee om sudo-bevoegdheden voor de gebruiker te verwijderen,
sudo chroot /mnt/dev/$imagedevice/ deluser -r [sudo_username]
Herhaal stap 4 om te controleren of de gebruiker geen sudo-bevoegdheid heeft op de vhd.
Ontkoppel de installatiekopieën.
umount /mnt/dev/$imagedevice
De voorbereide installatiekopieën bevatten geen sudo-gebruikers die kunnen worden gebruikt voor het maken van de vertrouwelijke VM's.
Volg de stappen Een aangepaste installatiekopieën voor azure confidential VM maken om een azure confidential VM te maken. Gebruik de installatiekopie met beheerders minder in stap 4 van Een aangepaste installatiekopie maken voor azure confidential VM terwijl u azcopy uitvoert en de rest van de stappen hetzelfde blijft.