我试图了解直接与 root 进行 ssh 或在维护服务器的上下文中创建辅助 sudo 用户之间的技术论点/安全含义。为了澄清,我们谈论的是由单个管理员拥有的服务器。对于在机器上工作的多人来说,很明显,每个真实的人都有唯一的用户和细粒度的权限有审计跟踪的好处。
我的想法是,如果这是一个桌面站,这是有道理的,建议使用非 root 用户进行日常工作,但在服务器上,您通常登录来维护它,并且 99% 的时间您的所有活动都需要 root权限。
那么创建一个“代理”用户是否有任何安全优势,您无论如何都要 sudo 到 root,而不是直接提供对 root 的 ssh 访问?
我能想到的唯一好处是通过默默无闻的安全性,即机器人通常会尝试探测“root”用户。但是从我的角度来看,如果sudoers的用户被盗用了,就和盗用root用户一样,所以游戏结束。
此外,大多数远程管理框架、NAS 系统、管理程序都鼓励使用 root 用户进行 Web 登录。
我在 Linux 服务器上运行 VPS,选择 CentOS 7(64 位)作为操作系统。
我最近擦除了 VPS,所以它目前只安装了全新的 Plesk Onyx。我现在想在设置域和电子邮件之前通过 SSH 禁用对 VPS 的 root 访问。
为此,我通过 PuTTY 终端获得了 SSH 访问权限。使用 Nano 文本编辑器,我输入了以下命令行:
# nano /etc/ssh/sshd_config
这打开了正确的文件,然后我将#PermitRootLogin条目从“是”更改为“否”;根据以下屏幕截图:
我能够保存并退出文件。在再次访问文件时,我还能够看到更改确实已保存。
我知道为了进行此类更改,SSH 服务需要重新启动。为此,我尝试了以下命令行(单独):
# service ssh reload
# sudo systemctl restart sshd.service
# sudo systemctl restart sshd
# sudo systemctl restart sshd.service
以上命令行均未确认 SSH 是否已重新启动。无论如何,我仍然可以使用 root 凭据登录 SSH。
有没有人能够确定我可能出错的地方?
我需要从 cron 以非 root 用户身份运行命令(只有一个命令)。
尝试了两个版本,都失败了;
克朗:
* * * * * php script.php
脚本.php:
exec("whoami"); // returns 'root'
// version 1
exec("runuser -u www-data -- ls"); // error -> sh: 1: runuser: not found
// version 2
exec("su www-data -c 'ls'"); // error -> This account is currently not available.
我在一家拥有各种系统(主要是 Windows 和 Ubuntu Linux)的大型研究机构(10k 用户)工作。我不是这种网络结构的专家,但我自己在家使用 Ubuntu 工作,也喜欢安装软件。我们确实有一个 sudo 安装通用 dep 包的白名单。但是,我们没有完全的 sudo 访问权限。Windows 用户在 Windows 上拥有完整的管理员帐户。我的管理员告诉我,我们不能在本地笔记本电脑上拥有完整的 sudo 访问权限,因为这样我还可以将用户切换到我的管理员帐户,并拥有网络范围的 root 访问权限。我想知道,如果没有解决方案可以让我在没有网络范围的 root 访问权限的情况下成为本地 root。我的管理员告诉我这是不可能的。
有谁知道这样的权限管理系统,它允许本地根但不允许网络范围的根?
提前致谢。
我知道 /root 不在 /home 中的一个原因是 /home 通常安装在不同的磁盘上,如果它失败了,我们仍然希望 root 可以访问。这种结构的其他一些原因是什么?
我收到以下错误:
Permission denied var/run/nginx.pid
在我的 nginx docker 容器中,问题是运行的用户是具有随机用户 ID的非特权用户(由我的公司安全强制)如何绕过这个问题?
我正在尝试使用newusersubuntu 18 上的 util 从文件中批量创建一些用户。
以 root 用户身份在 cron 中运行时,没有任何反应。当我手动运行命令时,它会按预期工作并在文件中创建用户。这是我的 crontab,每分钟运行一次以进行测试:
*/1 * * * * newusers /tmp/ftp_users.txt
像这样手动运行它很好newusers /tmp/ftp_users.txt。
我不知道让这个命令在 cron 中运行我缺少什么。
我们有一些在ubuntu 14.04上运行的旧服务器,我们需要以 root 身份执行zabbix-agentd以获取一些性能信息。
zabbix-agentd version = 5.0
我已按照本指南进行操作,但由于无法执行该步骤,它不起作用systemctl daemon-reload ubuntu 14.04
我已经设置了这些指令:
User=rootAllowRoot=1但是用户zabbix仍然是进程的所有者。
我最近开始尝试 EC2 服务器,并在尝试从快照备份实例时遇到了一个问题(这是我遇到的另一个奇怪问题,因为您无法在启动设置中更改根快照)我尝试了很多的答案在这里,仍然无处...
实际上,这是我第一次不得不直接在论坛上寻求任何帮助,因为在过去 2 年多的时间里,互联网已经证明非常有帮助。
更多信息:我终止了实例,认为停止它仍然会向我收费,但在保留之后仍想使用该卷。然后我创建了一个与前一个相同的新实例,分离了根卷并将旧的附加为 xvda,但由于某种原因,它给了我这个“无法启动实例 i-omitted Invalid value 'i-省略' for instanceId。实例在根目录 (/dev/xvda) 没有附加卷”
