আমি আমার অ্যাপ্লিকেশনগুলি থেকে বিভিন্ন পরিবেশে মোতায়েন করতে ওভার এসএসএইচ প্লাগইন ব্যবহার করি Jenkins। কিছু ডিপ্লোয়মেন্ট জব এনভায়রনমেন্ট প্রিপস করে এবং অ্যাপ সার্ভার সিস্টেম পরিষেবা বন্ধ ও পুনঃসূচনা করার মতো কাজ করে। এই আদেশের কিছু প্রয়োজন sudo।
আমি খুব কৌতূহলী, যদি জিনকিন্সের কাজগুলি দূরবর্তী প্রকাশ এবং কার্যকরকরণের মধ্যে সুডোর প্রয়োজন কোনও খারাপ সুরক্ষা অনুশীলন হতে পারে। সুডো ছাড়াই প্রয়োজনীয় ফাংশন সম্পাদন করার জন্য আমাদের লক্ষ্য হোস্টের সুরক্ষা নীতি পরিবর্তন করা উচিত?
উত্তর:
না, যখন আপনার উচ্চ স্তরের সুযোগ-সুবিধাগুলি প্রয়োজন হয় তখন এটি আসলে সুরক্ষার জন্য সত্যই ভাল অভ্যাস। এই কারণেই বেশিরভাগ বিতরণ ডিফল্ট লগইনকে নিষিদ্ধ করে এবং আপনাকে sudo suকেবল টাইপিংয়ের পরিবর্তে বাধ্য করে su- তারা আপনাকে সুরক্ষা সুবিধার জন্য সুডো ব্যবহার করতে উত্সাহিত করতে চায়। এর কয়েকটি কারণ রয়েছে:
অডিটিং। আপনি যখন সুডো করেন, সিস্টেম কে রক্ষণাবেক্ষণ করে এবং কমান্ডটি চালিয়েছিল তা রেকর্ড রাখে । যখন আপনার ফিরে যেতে হবে এবং কী ঘটেছিল তা নির্ধারণ করার দরকার হবে - এটি দোষ দেওয়ার জন্য, নিন্মমূলক কর্মকাণ্ডগুলি ধরা বা কেবল সমস্যার সমাধানের জন্য (এই সার্ভারটি আউওএল যাওয়ার আগে গতরাতে 7PM এ কি ঘটেছিল?)
সুডোর বিধি। কেবলমাত্র কোনও ব্যবহারকারীর বর্ধিত প্রাইভেলিজের সাথে কিছু চালানোর দরকারের অর্থ এই নয় যে তাদের বাড়ানো প্রাইভেলিজ দিয়ে সমস্ত কিছু চালানো দরকার । Su কমান্ড ব্যবহার বা চাকা করতে একটি ব্যবহারকারী যোগ করার সময় একটি ব্যবহারকারী করার অনুমতি দিয়েছে সবকিছু । উবুন্টু তবে সঙ্গে, এটা ব্যবহারকারী এবং ব্যবহার করতে পারবেন না কি উল্লেখ করা সম্ভব কমান্ড ওরফে যা ওয়াইল্ডকার্ড ব্যবহারের জন্য অনুমতি দেবেন, যার ফলে নমনীয় বিধি জারি করে যে কিছু কমান্ড ব্যবহার করার জন্য ব্যবহারকারীদের privleges দান, কিন্তু না অন্যদের জন্য অনুমতি দেয়।
শক্ত। রুট অক্ষম করা সম্ভব। যেমনটি, সমস্ত অভিপ্রায় এবং উদ্দেশ্যে, এটি বিদ্যমান নেই এবং কেবলমাত্র একক ব্যবহারকারী মোডে দরকারী / ব্যবহারযোগ্য - একটি সার্ভারের পুনরায় বুট প্রয়োজন (এবং একমাত্র কারণ এটি অনুমোদিত যা পাসওয়ার্ড পুনরুদ্ধারের জন্য)। sudo suআর কাজ করে না এটি root এর শেলটি / bin / nologin এ সেট করে করা হয়। যা অনেকগুলি রুট বৃদ্ধির দুর্বলতাগুলি রোধ করার দুর্দান্ত উপায়। এটি অবশ্যই ধরে নিয়েছে যে আপনি উপরের বুলেটটি সঠিকভাবে ব্যবহার করছেন (এবং আপনি এখনও কোনও নির্দিষ্ট, প্রশাসক ব্যবহারকারীকে সমস্ত অনুমতি দিতে পারেন, যদিও এটি আপনার সুরক্ষা অবস্থানকে ক্ষতিগ্রস্থ করবে)।
এই জিনিসগুলি অবশ্যই আপনার সুরক্ষা মডেলের অংশ। উদাহরণস্বরূপ, আপনার সম্পূর্ণ প্রশাসনিক সুযোগসুবিধারার ব্যবহারকারী না থাকলে (এবং কখনও কখনও এমনকি তখনও) আপনার ব্যবহারকারী লগ এবং ইতিহাস মুছতে সক্ষম (সম্ভবত সক্ষম) হতে পারে - যদি না আপনি লগ অফ বাক্সে লগ সার্ভার এবং সিসলগ ব্যবহার করেন। তারপরে সেই বিড়ালটিকে ব্যাগে ফিরিয়ে দেওয়ার কোনও উপায় নেই। অবশ্যই, আপনি যদি একটি কেন্দ্রীয় প্রমাণীকরণ ডিরেক্টরি কাঠামো ব্যবহার করেন, তবে এটি আবার কার্যকর হয়: আমি যদি একটি অ্যাকাউন্টে আপস করি তবে এটি সংস্থার সমস্ত সার্ভারের সাথে আপস করা হয় - সম্ভবত আপনার লগ সার্ভার সহ।
সংক্ষেপে, সুরক্ষা জটিল, তবে সুরডো একটি নিরাপদ পরিবেশের নকশাকরণের একটি দুর্দান্ত সরঞ্জাম এবং আরও বেশি লোককে এটির পুরোপুরি ব্যবহার করা উচিত।
আপনি sudoএমন কোনও কিছুতে দূরবর্তী বা দূরবর্তী অ্যাক্সেসের অনুমতি দিচ্ছেন SUID rootকি না যা আপনার কাছে একই রকমের আক্রমণাত্মক পৃষ্ঠ রয়েছে। আমি sudoশৃঙ্খলে রাখব কারণ এটি আপনাকে আদেশগুলি সহজেই সীমাবদ্ধ করতে দেয় এবং লগিং দেয় যা আপনার যদি পরে জিনিসগুলি নিরীক্ষণের প্রয়োজন হয় তবে তা অত্যাবশ্যক হবে। sudoএছাড়াও উত্পাদন একটি দীর্ঘ দীর্ঘ ইতিহাস আছে। অন্য কিছু করার সাথে কম ইতিহাস এবং অপ্রীতিকর আশ্চর্যের উচ্চতর পরিবর্তন আসবে।
এটিকে আরও সুরক্ষিত করতে আপনি আরও কিছু করতে পারেন তবে:
sshsudoলিঙ্কটি প্রদর্শিত হিসাবে আপনি কি টুইট করার চেষ্টা করেছেন ?
Defaults requiretty
sudo: "সুডো: দুঃখিত, আপনার অবশ্যই সুডো চালানোর জন্য একটি টিটি থাকতে হবে"