পাসওয়ার্ডহীন সুডো সহ কোনও উত্তরবান ব্যবহারকারী থাকা কি অনিরাপদ?

10

আমি উত্তরযোগ্য নতুন। আমি এখনও অবধি দেখেছি বেশিরভাগ ভিপিএসের বিধানাবলী গাইড:

  1. লগ ইন থেকে রুট অক্ষম করুন
  2. একটি নতুন ব্যবহারকারী তৈরি করুন যিনি কেবল ssh(পাসওয়ার্ড নয়) দিয়ে লগইন করতে পারবেন
  3. পাসওয়ার্ডহীন সুডো অনুমতি wheelনিয়ে নতুন ব্যবহারকারীকে দলে যুক্ত করুন

আমি বুঝতে পারি (1) এবং (2), তবে (3) নয়।

অবশ্যই পাসওয়ার্ডহীন sudoঠিক যেমন লগ ইন করার মতো root? আমি সুবিধা (সুবিধার্থে) বুঝতে পারি, তবে এটি কি অত্যন্ত সুরক্ষিত নয়?

আমি বুঝতে পারি যে অ্যাডমিনরা তাদের নেটওয়ার্কগুলি বিভিন্ন উপায়ে চালায় এবং তাই এটি "সাবজেক্টিভ" বলা যেতে পারে তবে এটি একটি খুব সাধারণ অনুশীলন, এটি এমনকি বিভিন্ন সরকারী উত্তরযোগ্য ডক্সের পাশাপাশি হোস্টিং সংস্থাগুলি দ্বারা প্রকাশিত গাইডগুলিতেও দেখানো হয়েছে। এটি সাধারণ জ্ঞানের বিরুদ্ধে যায়। এর পিছনে যুক্তি কী?

linux  security  vps  ansible  sudo 
lonix
সূত্র
1
উত্তরীয় প্রশাসনিক কাজগুলি স্বয়ংক্রিয় করার উদ্দেশ্যে করা হয়, তাই সাধারণত "পাসওয়ার্ডহীন সুডো" শীর্ষস্থানীয় (মূল) স্তরের অ্যাক্সেসের প্রয়োজন হয়। আপনার সিস্টেমে উপলব্ধ কমান্ডগুলির একটি উপসেট চালানোর জন্য যদি আপনার কেবল এটির প্রয়োজন হয় তবে আপনি এটিকে আরও বিশদ সুডো কনফিগারেশন সহ কেবলমাত্র সেই কমান্ডগুলিতে লক করতে পারেন। পাসওয়ার্ডহীন সুডো অগত্যা রুট যা কিছু করতে পারে তার অ্যাক্সেসের অর্থ নয় (যদিও এটি উপলব্ধি করা কার্যকর হয় যখন আপনি বুঝতে পারেন ব্যবহারকারী সম্ভবত সুডোর মাধ্যমে আপনার সুডো কনফিগারেশন সংশোধন করতে পারে তাদের আরও বেশি নিয়ন্ত্রণ দেওয়ার জন্য ...)।
ডেভিড স্পিলিট
@ ডেভিডস্পিলিট আমি সে সম্পর্কে ভাবছিলাম - যেমন সুডোর ফাইলগুলিতে কোন সূডো কমান্ডের সংজ্ঞা দিচ্ছি তা নির্ধারণ করছি ... তবে আমি কোথাও পড়েছি যে জটিল অজগর কমান্ডের মাধ্যমে ব্যাখ্যা করার মাধ্যমে উত্তরসূরি সবকিছু করে, এবং সেই পদ্ধতিটি দ্রুত অগোছালো হয়ে উঠবে।
লোনিক্স

উত্তর:

18

যদি পরিষেবা অ্যাকাউন্টটি পাসওয়ার্ডহীন সুডো করতে পারে তবে আপনাকে সেই অ্যাকাউন্টে অ্যাক্সেস রক্ষা করতে হবে।

রয়ে অ্যাকাউন্ট না একটি পাসওয়ার্ড আছে, এবং তা করতে লগ ইন করার একমাত্র SSH কীগুলি ব্যবহার করে, এই accomplishes, আপনি SSH ব্যক্তিগত কী পাশাপাশি নিরাপদ রাখতে পারবেন না দেওয়া।

মাইকেল হ্যাম্পটন
সূত্র
সুতরাং আমি এই কনভেনশন দ্বারা বিচলিত বোধ করার জন্য সঠিকভাবে "ধরণের" - এবং তবুও, এটি প্রয়োজনীয়তা / বাস্তববাদিতার বাইরে উত্তরদাতাদের জন্য কনভেনশন।
লোনিক্স
সুতরাং আপনি বলছেন যে আমি মূলত ভিপিএস থেকে আমার স্থানীয় সিস্টেমে মূল সুরক্ষাটি "সরান", যাতে উত্তরীয় অ্যাকাউন্টের এসএস কী থাকে? কোন ক্ষেত্রে, দুর্বল বিন্দুটি ভিপিএস নিজেই নয়, বরং এটি আমি! উত্তরসূচক অটোমেশন আমাকে যে সুবিধার সুযোগ দেয় তার বিনিময়ে আমাকে এই এসএস কী রক্ষা করতে অতিরিক্ত সচেতন হতে হবে।
লোনিক্স
6
ssh কী, পাসফ্রেজ ssh- এজেন্ট দ্বারা সুরক্ষিত, একটি যুক্তিসঙ্গতভাবে ভাল শংসাপত্র।
জন মাহোয়াল্ড
@ লোনিক্স সমস্ত সুরক্ষিত সিস্টেমে শংসাপত্রের প্রয়োজন হয়। সুরক্ষিত সিস্টেমগুলি এই শংসাপত্রগুলিকে সুরক্ষিত করার ক্ষেত্রে আপনি যে ব্যবস্থাগুলি রেখেছেন সেগুলি সর্বাধিক সুরক্ষিত, যেহেতু সেগুলিতে তাদের 100% অ্যাক্সেস দেয়। সুতরাং হ্যাঁ, আপনি যদি নিজের এসএসএইচ কী (বা রুট পাসওয়ার্ড বা যাই হোক না কেন) যথাযথভাবে সুরক্ষিত না করেন তবে আপনি আপনার ভিপিএস সুরক্ষিত করার আশা করতে পারবেন না। আপনি পাসওয়ার্ডহীন সুডো কনফিগার করার অর্থ এই দৃষ্টিকোণ থেকে কিছুই নেই, পাসওয়ার্ড সহ সুডো সক্ষম করা এই সত্যটি পরিবর্তন করে না যে আপনি এসএসএইচ কী সুরক্ষিত করা অপরিহার্য।
গিয়াকোমো আলজেটা
@ জিয়াকোমো অলজিটা আমি জানি যে, আমি উপরে বোঝাতে চেয়েছিলাম যে দায়িত্বটি দূরবর্তী থেকে স্থানীয় মেশিনে স্থানান্তরিত করা হচ্ছে। যেহেতু sudo ক্রমবর্ধমান পাসওয়ার্ড ছাড়াই করা হয়, দুর্বল বিন্দু স্থানীয় হয়ে যায়।
লেনিক্স
4

(2) এ তৈরি করা নতুন ব্যবহারকারী কেবল এসএসএইচ কী দিয়ে লগইন করতে পারবেন, কোনও পাসওয়ার্ড নেই। এসএসএইচ কীটি পরোক্ষ রুট অ্যাক্সেস দেয়। সুতরাং এটি কেবল একটি কী দিয়ে রুট লগইনকে অনুমতি দেওয়ার সমতুল্য।

অ্যাকাউন্টটিতে পাসওয়ার্ড না থাকায় পাসওয়ার্ড sudoচাওয়া সম্ভব নয় । এছাড়াও কমান্ডগুলি কার্যকর করতে সক্ষম হওয়া দরকার। কী হিসাবে একই জায়গায় সরবরাহ করার জন্য অতিরিক্ত পাসওয়ার্ড রাখলে সুরক্ষা বাড়বে না।

RalfFriedl
সূত্র
2

সমস্যাটি হ'ল উত্তরদাতা প্রশাসকগণ এবং অটোমেশনের জন্য, সুতরাং আপনাকে যদি কোনও স্ক্রিপ্ট চালানোর জন্য কোনও পাসওয়ার্ড দেওয়ার প্রয়োজন হয় তবে এটি সর্বোত্তম উপায় নয়। এছাড়াও এটি কোনও ফাইল বা ডাটাবেসে সুডোর জন্য পাসওয়ার্ড সংরক্ষণ করা সুরক্ষিত নয় এবং প্রতিবার প্লেবুক চালানোর সময় উত্তরীয় এটি পান। সুতরাং পাসওয়ার্ডহীন sudo এবং ssh কীগুলির সাথে প্রমাণীকরণের সংমিশ্রণটি সুরক্ষা এবং প্লেবুক চালিয়ে কোনও সঠিক সমস্যা নিশ্চিত করার জন্য সেরা পদ্ধতি। এছাড়াও আপনি একজন প্রশাসক এবং জানেন আপনি প্লেবুকে কী প্রোগ্রামিং করছেন। সুতরাং প্লেবুক আপনার সার্ভারগুলি ধ্বংস করতে পারে না।

NicoKlaus
সূত্র
প্লেবুকগুলি আপনার সিস্টেমগুলিকে ধ্বংস করতে পারে , তবে আপনি যদি পৃথক পরীক্ষার পরিবেশের কীগুলি ব্যবহার করেন তবে এটি উত্পাদন হোস্টকে ধ্বংস করবে না।
জন মাহোয়াল্ড
হুবহু, উত্পাদনশীল সিস্টেমে কাজ করার সময় এটি আশানুরূপ একটি পূর্বশর্ত।
নিকক্লাউস
1
উত্তরীয়দের কাছে 'উত্তরযোগ্য-ভল্ট', এবং প্লাগইন / মডিউল / লাইব্রেরি রয়েছে যা বিটওয়ার্ডেন, হ্যাশিকর্প ভল্ট, কিপাস ইত্যাদির মতো অনেক তৃতীয় পক্ষের গোপনীয় স্টোরেজ সিস্টেমে গোপনীয়তা সংরক্ষণের অনুমতি দেয়।
জোরডেচে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.