আমাদের কি রুট ব্যবহারকারীকে নিষ্ক্রিয় করা উচিত?

আমরা কি মূল পাসওয়ার্ডটি সরিয়ে ফেলা উচিত, রিমোট লগইনটি অক্ষম করব এবং প্রশাসনিক ক্রিয়াকলাপ সম্পাদন করতে প্রশাসকদের সুডো ব্যবহার করা দরকার?

আমার সমস্ত সার্ভারের রুট অ্যাকাউন্টটি অক্ষম করা আছে ( sp_pwdpসেট করা *)। sudoসমস্ত রুট অ্যাক্সেসের জন্য এটি প্রয়োজন [[1] এর উদ্দেশ্য হ'ল সমস্ত সুপারভাইজার ক্রিয়াকলাপ নিরীক্ষণ করা, যাতে লোকেরা সিস্টেমে কী করা হয়েছে তা দেখতে পায়।

আরও sudoকঠোর বিকল্পের জন্য, আপনি লগ ফাইলটিতে লিখিত করতে পারেন (বিপরীতে হিসাবে syslog), এবং কেবলমাত্র ফাইলটি সংযুক্ত করতে পারেন ( chattrলিনাক্সে বা chflagsBSD ব্যবহার করে )। এইভাবে, পরে কেউ অডিট সম্পাদনা করতে পারবেন না।

[1] আমারও একটি রুট শেলটি চালাবেন না, বা শেলটি কোনও রুট প্রক্রিয়া থেকে পালাতে হবে না of ( sudo sh -c '...'যদিও পাইপলাইন বা পুনঃনির্দেশগুলি করার জন্য এটি ব্যবহার করা ঠিক আছে ))

আমি দৃ user়ভাবে মূল ব্যবহারকারীকে অক্ষম করার বিরুদ্ধে সুপারিশ করছি । নিষ্ক্রিয় বা সীমিত রুট লগইন (securetty- তে মাধ্যমে এবং sshd_config মাধ্যমে এবং পিএএম মাধ্যমে এবং এর মাধ্যমে কি আছে) আপনার সিস্টেমে এটা সীমা root এর বিশেষাধিকার অনুমতি দেয় অথবা (কিভাবে সদৃশ রুট ভূমিকা বিভক্ত তাহলে RSBAC এটা আছে।) কিন্তু দয়া করে দয়া করে , কি পাসওয়ার্ড সরিয়ে রুট অ্যাকাউন্টটি অক্ষম করবেন না, অন্যথায় এটির মাধ্যমে সিস্টেমে লগ ইন করা অসম্ভব হয়ে উঠবে sulogin। suloginfsck দ্বারা প্রতিবেদন করা গুরুতর ত্রুটির ক্ষেত্রে আমি জানি সমস্ত ইনস্ক্রিপ্টগুলি ব্যবহার করা হয় - এবং এর অর্থ যদি রুট ফাইল সিস্টেমটি দূষিত হয়ে যায় তবে আপনি সিস্টেম থেকে লক আউট হয়ে যাবেন।

স্পষ্ট করার জন্য: "পাসওয়ার্ড মুছে ফেলার মাধ্যমে রুট অ্যাকাউন্টটি অক্ষম করে" বলতে আমি বোঝাতে চাইছি এমন বিভিন্ন প্রক্রিয়া যার সাথে শেষ হয়! অথবা / ইত্যাদি / ছায়া, বা অনুরূপের পাসওয়ার্ড ক্ষেত্রে একটি *। আমি "রুট লগইন প্রক্রিয়াটি পরিবর্তন করি যাতে আপনি কোনও পাসওয়ার্ডের জন্য অনুরোধ না করেন।"

আমার সমস্ত সার্ভারে আমি রুট অ্যাকাউন্ট সক্ষম করেছি। সমস্ত প্রশাসকের নিজস্ব ব্যবহারকারী রয়েছে এবং তাদের মাধ্যমে লগ ইন করতে হবে। সেখান থেকে তারা রুটে স্যুইচ করে। (রুট এসএসএস অক্ষম করা আছে)

প্রশাসকের সংখ্যা কম রাখুন। কেবলমাত্র সেই সার্ভারে যে সমস্ত লোকদের সত্যিকারের রুট অ্যাক্সেসের প্রয়োজন রয়েছে তাদের পাসওয়ার্ড রয়েছে।

আমি সুডোর ভক্ত নই। মূল শেলটির জন্য 'সুডো বাশ' করা সহজ উপায়। আমি সচেতন যে এটি অক্ষম করা যেতে পারে তবে কেন বিরক্ত করবেন? প্রশাসকদের কাজ সম্পাদন করতে এবং প্রত্যেকের সাথে কথা বলতে পারে এমন ব্যবহারকারীদের সীমাবদ্ধ করুন। রুট টার্মিনালগুলি যাতে বিনা খালি খোলা না দেয় সে জন্য আমাদের নীতি আছে। সুতরাং এটি লগ ইন, su, কাজটি, লগ আউট।

দ্রষ্টব্য: আমি মোটামুটি ছোট একটি সংস্থায় (50-কিছু কর্মচারী) কাজ করি এবং আমরা মাত্র 2 খণ্ডকালীন অ্যাডমিন (1 উইন্ডোজ / 1 লিনাক্স) পেয়েছি। আপনার যখন আরও বেশি ব্যবহারকারীদের অর্ডার পাবেন তখন জিনিসগুলি করার এই উপায়টি সেরা নাও হতে পারে। আমি ব্যক্তিগতভাবে এখনও sudo ব্যবহার করবেন না। মূল ক্রিয়াকলাপ লগ করার অন্যান্য উপায় আছে।

রুট পাসওয়ার্ড অক্ষম করা একটি মিথ্যা "ভাল ধারণা"। যেদিন আপনার এটি প্রয়োজন হবে, আপনার সত্যই এটি প্রয়োজন হবে। (আপনার কনফিগারেশন অনুসারে উদাহরণের জন্য আপনার একক ব্যবহারকারী মোডে লগ ইন করার প্রয়োজন হতে পারে)

রুট রিমোট লগইন অক্ষম করা প্রাসঙ্গিক হতে পারে তবে কেবল যদি আপনি স্থানীয়ভাবে লগ ইন করতে সক্ষম হন।

এবং হ্যাঁ, আপনার প্রতিটি সার্ভারে sudo ইনস্টল করা উচিত। এটি দরকারী এবং কনফিগার করা সহজ। আপনি এটি ব্যবহার না করতে চান কেন?

আমি কেবল মূলের জন্য এসএসএইচ অ্যাক্সেস অক্ষম করেছি এবং এসএসএস কী ব্যবহার করার জন্য ব্যবহারকারীদের (প্রায়শই কেবল বিকাশকারীদের) প্রয়োজন। এখানে মাত্র অনেকগুলি আক্রমণাত্মক আক্রমণ এবং এসএসএইচ বন্দর পরিবর্তন করা আমাদের পক্ষে বিকল্প নয়।

এইভাবে আপনাকে কোনও ভাল পাসওয়ার্ড লেখার ক্ষমতার উপর নির্ভর করতে হবে না। একবার মাত্র প্রশাসকের ভিতরে সুডোর অনুমতি রয়েছে।

আমি জানি এই থ্রেডটি আসলেই পুরানো তবে লিঙ্কযুক্ত নিবন্ধের যুক্তিতে কিছু বড় ত্রুটি রয়েছে এবং আমি "রেন্টি" অনুভব করছি - সুডো হোয়াইটলিস্টিং এবং ব্ল্যাকলিস্টিং উভয়কেই অনুমতি দেয়। তারা লিঙ্কযুক্ত নিবন্ধে নির্দিষ্ট হিসাবে কেবল কালো নয় - এএএ (প্রমাণীকরণ, অনুমোদন এবং নিরীক্ষণ) এর ধারণাটি ছাড়িয়ে যায় - সু ও সুডো শ্রেণিবদ্ধ প্রমাণীকরণ এবং জবাবদিহিতা উভয়ের জন্য মঞ্জুরি দেয়।

পরিস্থিতি 1 প্রশাসক দুর্ঘটনাক্রমে একটি সিস্টেমে কিছু দুর্বৃত্ত কোড প্রবর্তন করে, মূল হিসাবে লগ ইন করা কোডটির সম্পূর্ণ অ্যাক্সেস থাকে এবং প্রশাসক কী হতে পারে তা কখনই জানতে পারে না। কমপক্ষে গ্রেড লগইন (উদাহরণস্বরূপ su / sudo) দিয়ে অ্যাডমিনিস্ট্রেটরকে প্রমাণীকরণের জন্য অনুরোধ করা হবে যদি দুর্বৃত্ত কোড উচ্চতর অধিকার ব্যবহার করার চেষ্টা করে ... এটি যদি উন্নত না হয় তবে এটির ব্যবহারকারীর অধিকারগুলিতে সীমাবদ্ধ যার ফলে সর্বনিম্ন ক্ষতির কারণ হতে পারে।

পরিস্থিতি 2 একজন দুর্বৃত্ত প্রশাসক তথ্য পেতে / পরিবর্তন করতে চান। তারা কনসোলের সাথে সংযোগ স্থাপন করে (ফিজিক্যাল কনসোল অ্যাক্সেস, এইচপি আইলো / অনুরূপ, বা ভিগুয়েস্ট কনসোল অ্যাক্সেস), রুট হিসাবে লগইন করে এবং যা খুশি তাই করে। কনসোল অ্যাক্সেস পাওয়ার জন্য কোনও নামযুক্ত অ্যাকাউন্ট / অ্যাক্সেস কার্ড ব্যবহার না করা থাকলে সম্ভবত অডিট ট্রেইলের খুব বেশি কিছু নেই।

1. নিশ্চিত করুন যে তারা আসলেই তারা তারা বলে যে তারা। পরিচয় চুরি বিষয়টি নয়, পরিচয় যাচাইকরণ।
2. তাদের অনুমোদন পরীক্ষা করুন, কেবল সেই সময়ে তাদের যা প্রয়োজন তা কেবল তাদেরই দিন। শ্রেণিবদ্ধ অনুমোদন যখন তাদের প্রয়োজন হয় তাদের উন্নত করতে দেয়।
3. এগুলি নিরীক্ষণ করুন, একটি রেকর্ড রাখুন যাতে আপনি জানেন যে কে, কী করেছে, কখন এবং কোথায়। সাধারণত কেন

আপনার প্রত্যেককে নীতি হিসাবে প্রতিটি রুট কমান্ডের জন্য sudo ব্যবহার করা উচিত। "সুডো বাশ" বা এর মতো চালানোর কোনও কারণ নেই, এটি কেবল সুবিধার জন্য, অজ্ঞতার কারণে বা নিজের ট্র্যাকগুলি coverেকে রাখার জন্য।

আপনি যদি সরাসরি রুট অ্যাকাউন্টে লগইনগুলি অক্ষম করে থাকেন, গুরুতর সমস্যা হলে আপনি সিস্টেমটি ঠিক করার ক্ষমতাটিকে পঙ্গু করে দিন।

আপনি যদি নিজের প্রশাসকদেরকে নিজের হিসাবে লগ ইন করতে এবং রুট হিসাবে চলমান প্রতিটি কমান্ডের জন্য সুডো চালাতে এবং এটির শেল না ছড়িয়ে দিতে রাজি করতে না পারেন তবে আপনার গুরুতর সমস্যা রয়েছে যার জন্য কোনও প্রযুক্তিগত সমাধান নেই।

আউল সুরক্ষিত বিতরণ (এবং সৌর ডিজাইনার) এর লেখকদের একটি বিপরীত সাবধানতার সাথে ন্যায়সঙ্গত দৃষ্টিভঙ্গি রয়েছে; দেখুন, যেমন, উত্তর /unix/8581/which-is-the-safest-way-to-get-root-privileges-sudo-su-or-login/8660#8660 জন্য তাদের দাবির একটি উপস্থাপনা। সুপারউজার ক্রিয়াকলাপগুলির নিরীক্ষণের সমস্যা (কোন ব্যক্তি কী করেছিলেন) তাদের দৃষ্টিকোণেও সমাধান করা হয়েছে (মূলত, সমাধানটি বিভিন্ন নামের সাথে একাধিক মূল ব্যবহারকারী থাকা)।