কে রুট অ্যাক্সেস পায়?

8

আমি এমন একটি ওয়েব অ্যাপ্লিকেশন নিয়ে কাজ করছি যা কিছু সংবেদনশীল ডেটা পরিচালনা করে। আমরা সুরক্ষার উপর বেশ কড়া হয়ে উঠছি, এবং মেশিনগুলিতে অ্যাক্সেস লকড করার জন্য নীতিমালা তৈরি করছি এবং প্রযুক্তিগত নিরীক্ষণের উদ্দেশ্যে সমস্ত কিছু লগইন করব।

আমরা যে প্রশ্নটি ফিরে আসতে থাকি তা হ'ল: কে মূল হয়?

আমাদের সার্ভারের দৃষ্টান্তগুলির একটি রুট ব্যবহারকারী থাকবে। এই রুট ব্যবহারকারীর একটি পাসওয়ার্ড থাকবে। কার এই অ্যাক্সেস করা উচিত? নুনের রুট অ্যাক্সেস থাকতে পারে এমন কোনও মেশিন থাকা কি সম্ভব / পছন্দসই ?

আমি এই বিষয়ে আপনার কোন চিন্তা প্রশংসা করব।

root  security 
রস ম্যাকফারলেন
সূত্র
এটি আমার নজরে এসেছে। দেখতে ভালো অনুশীলন বলে মনে হচ্ছে।
রস ম্যাকফারলেন

উত্তর:

14

কেউ না. এগুলিকে ব্যবহার করুন sudoযাতে সমস্ত রুট-স্তরের কমান্ড লগ হয় এবং নির্দিষ্ট ব্যক্তির সাথে দায়বদ্ধ থাকে।

ceejayoz
সূত্র
6
+1 টি। রুট পাসওয়ার্ডটি খুব এলোমেলো কিছুতে পরিবর্তন করুন, এটি মুদ্রণ করুন এবং কেবল জরুরি ব্যবহারের জন্য একটি খামে এটি সিল করুন।
EEAA
4
এছাড়াও, আপনার রুট অ্যাকাউন্ট .bashrc পরিবর্তন করুন যাতে PROMPT_COMMAND সিসলোগে সরল রুট ব্যবহারকারী হিসাবে সবকিছু লগ করতে সেট করা থাকে। কুশলী।
সাইরেক্স
1
শেল চালাতে ব্যবহারকারী সুডো ব্যবহার করতে পারেন, তারপরে কমান্ড লগইন করবে না (কেবলমাত্র ব্যাশ লগইন করবে)
ওশ্রো
সত্য, যদি না তারা "sudo bash -l" না করেন - যা তাদের উচিত। আপনি যদি রুটটি সেট করে থাকেন। bashrc প্রম্পট_কম্যান্ড এটি এটিকেও লগ করে দেবে, যা এটি করার পক্ষে একটি কারণ।
সাইরেক্স
+1 এছাড়াও, উচ্চ অ্যাক্সেস স্তরের জন্য sudo সেটআপ করতে ভুলবেন না। এক জায়গায় সমস্ত মূল পাসওয়ার্ড সীলমোহর খামে রাখা হয়েছিল কেবল কারণের কারণেই, সীলটি ভেঙে গেলে এটি সুরক্ষার জন্য এবং পাসওয়ার্ড পরিবর্তনের জন্য রিপোর্ট করতে হবে।
st3v3o
3

হার্ডওয়ার প্রশাসক ছাড়া আর কেউ রুট পাসওয়ার্ড পাবে না! মূল পাসওয়ার্ডটি কেবল কনসোলে ব্যবহারযোগ্য হবে, এসএসএইচ বা অন্যান্য পরিষেবাদির মাধ্যমে নয়।

ক্রমবর্ধমান প্রাইভেলিজ ব্যবহার করে বিভিন্ন সেট প্রোগ্রামের অ্যাক্সেসের সংজ্ঞা দিতে গ্রুপগুলি ব্যবহার করুন sudo। উদাহরণস্বরূপ হুইল গ্রুপটি সাধারণত এমন লোকদের জন্য হয় যেগুলি রুট এমিকসগুলি পায় তবে সবকিছুই তাদের ব্যবহারকারী হিসাবে লগ হয়। যদি লোকেদের সম্পূর্ণ রুট বেসরকারীগুলির প্রয়োজন না হয় তবে কিছু অন্যান্য ব্যবহারকারী হিসাবে কেবল কয়েকটি কমান্ড থাকে তবে অন্য একটি গোষ্ঠী তৈরি করুন।

কালেব
সূত্র
-1

আপনি যদি সেলিনাক্স ব্যবহার এবং স্থাপন করে থাকেন তবে সাধারণ "সমস্ত দেখার, সমস্ত জ্ঞাত" "শ্বরের অ্যাকাউন্ট যা সাধারণ মূল সেটআপ হয় তা মুছে ফেলা এবং এটি আরও সুরক্ষিত সচেতন অ্যাকাউন্টে রূপান্তর করা সম্ভব।

Sirex
সূত্র
1
কীভাবে? উত্তরটি ততক্ষণ কার্যকর হবে না যতক্ষণ না এটি কোনও পয়েন্টার দেয় না কীভাবে;)
0xC0000022L
এটি একটি উত্তরের মতো ফিট করার মতো বিষয় নয়। তবে আমার জ্ঞানের কাছে সেলিনাক্স এই উদ্দেশ্যে ব্যবহৃত হতে পারে (এবং প্রায়শই ব্যবহৃত হয়)।
সাইরেক্স
-5

আমার অভিমত হ'ল লোকেরা মূল অনুমতি হিসাবে প্রয়োজনীয় কমান্ডগুলি চালিত করা উচিত নয়, অবশ্যই তারা যখন মূল হিসাবে লগইন হয়।

আমি এই কারণে sudo (সাময়িকভাবে একটি কমান্ডের জন্য রুট স্তরে অনুমতিগুলি উত্থাপন করে) এর পরিবর্তে su (রুট ব্যবহারকারীদের স্যুইচগুলি) ব্যবহার করার পরামর্শ দেব। যদি তাদের রুট অনুমতি প্রয়োজন হয়, তাদের রুট ব্যবহারকারীতে পরিবর্তন করুন।

আমার প্রশ্নটি হল, আপনার ব্যবহারকারীরা কী করছেন যে তারা মনে করে যে তাদের মূলের প্রয়োজন?

user76897
সূত্র
4
@ ব্যবহারকারী 6868৮৯7: আমি একমত নই। sudoএই উদ্দেশ্যটির জন্য পুরোপুরি উপযুক্ত এবং এটি প্রতিটি কমান্ড সরাসরি চাপ দেওয়া সহ লগ করে sudo। যেখানে, su ব্যবহার করা হয়, আপনি একটি শেল পাবেন এবং সেই শেলের ভিতরে কিছুই লগ নেই। /etc/sudoersখুব সুর করা যেতে পারে। কোন কমান্ডটি কোন ব্যবহারকারীর দ্বারা কোন ব্যবহারকারী হিসাবে কার্যকর করা যায় এবং পাসওয়ার্ডের প্রয়োজন হয় কিনা তাও আপনি বলতে পারবেন, পাশাপাশি অন্যান্য দরকারী বিকল্পগুলির মধ্যে অনেকগুলি। কারও কাছে শিকড় প্রয়োজন হতে পারে তার একটি কারণ ডেমোন পুনরায় চালু করা। sudoমূল অ্যাকাউন্টটিতে সম্পূর্ণ অ্যাক্সেস না দিয়ে এটি সহজেই অর্জন করা যায় ।
0xC0000022L
এই উত্তরটি কোনও অর্থ দেয় না বা প্রশ্নের সমাধান করে না। suওভারের পছন্দটি sudoরক্ষা করা হয় না এবং এখানে বেশিরভাগ অন্যান্য ভয়েস অনুসারে আসলে ছেলেটির মূল সমস্যার অংশ হবে, কোনও সমাধান নয়।
কালেব
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.