Linuxでスーパーユーザー権限へのアクセスを厳格かつ恒久的に制限する方法は？ [閉鎖]

Question

スーパーユーザーを削除することは実用的ではありませんが、rootセキュリティ上の理由からユーザーのアクセスを制限することは可能です。

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-controlling_root_access#sec-Disallowing_Root_Access

一部の抜粋を含める予定ですが、すべてコピーすると回答が長すぎる可能性があるため、主な内容だけを説明します。

管理者がルートログインが禁止されているかどうかをさらに確認できる4つの方法は次のとおりです。

ルートシェルの変更

ユーザーがrootとして直接ログインするのを防ぐために、システム管理者は/ etc / passwdファイルでrootアカウントのシェルを/ sbin / nologinに設定できます。

コンソールデバイス（tty）を使用してルートアクセスを無効にします。

ルートアカウントへのアクセスをさらに制限するために、管理者は/ etc / securettyファイルを編集してコンソールでrootログインを無効にできます。このファイルには、rootユーザーがログインできるすべてのデバイスが一覧表示されます。ファイルがまったく存在しない場合、rootユーザーはコンソールまたはネイティブネットワークインターフェースなど、システム内のすべての通信デバイスを介してログインできます。これは、ユーザーがネットワーク経由でプレーンテキストにパスワードを送信するTelnetを使用してrootとしてコンピュータにログインできるため、危険です。

ルートSSHログインを無効にする

ルートがSSHプロトコルを介してログインしないようにするには、SSHデーモンの設定ファイル/etc/ssh/sshd_configを編集し、次の行を変更します。
#PermitRootLogin yes
以下をお読みください：
PermitRootLogin no
PAM を使用してサービスへのルートアクセスを制限します。

PAM は、/lib/security/pam_listfile.so モジュールを通じて特定のアカウントを拒否するための優れた柔軟性を提供します。管理者はこのモジュールを使用して、ログインが許可されていないユーザーのリストを参照できます。システムサービスへのルートアクセスを制限するには、/etc/pam.d/ディレクトリでターゲットサービスのファイルを編集し、認証にpam_listfile.soモジュールが必要であることを確認してください。

すべてのセクションに私が省略した追加情報がありますが、興味があればもっと読むことができます。

セルリンク

selinuxrootサービス/実行ファイル/ポート/などのselinuxコンテキストを変更して、権限を完全に削除できます。しかし、これは大きなトピックを扱うので、これについて深く議論するのではなく、RHEL文書にリンクします。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/index

非常に残酷な例の制限を適用するには、以下を実行してみselinuxてenforcingくださいsemanage login -a -s user_u root。

これにより、標準ユーザー権限がrootユーザーに配布され（実行すると仮定し、現在レンガにすることができるシステムがないためわからない）、タスクなどの「root」操作を実行できないように制限されます。

ただし、これによりinit多くのサービスが開始されない可能性があるため、そのサービスを他のユーザーとして実行できるようにするには、多くの追加selinux構成が必要になる可能性があります（1つのサービスが破損しないことを考慮すると、非常に安全でメンテナンスが非常に困難になる可能性があります）。他の人にアクセスを提供します。

Answer 1

スーパーユーザーを削除することは実用的ではありませんが、rootセキュリティ上の理由からユーザーのアクセスを制限することは可能です。

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-controlling_root_access#sec-Disallowing_Root_Access

一部の抜粋を含める予定ですが、すべてコピーすると回答が長すぎる可能性があるため、主な内容だけを説明します。

管理者がルートログインが禁止されているかどうかをさらに確認できる4つの方法は次のとおりです。

ルートシェルの変更

ユーザーがrootとして直接ログインするのを防ぐために、システム管理者は/ etc / passwdファイルでrootアカウントのシェルを/ sbin / nologinに設定できます。

コンソールデバイス（tty）を使用してルートアクセスを無効にします。

ルートアカウントへのアクセスをさらに制限するために、管理者は/ etc / securettyファイルを編集してコンソールでrootログインを無効にできます。このファイルには、rootユーザーがログインできるすべてのデバイスが一覧表示されます。ファイルがまったく存在しない場合、rootユーザーはコンソールまたはネイティブネットワークインターフェースなど、システム内のすべての通信デバイスを介してログインできます。これは、ユーザーがネットワーク経由でプレーンテキストにパスワードを送信するTelnetを使用してrootとしてコンピュータにログインできるため、危険です。

ルートSSHログインを無効にする

ルートがSSHプロトコルを介してログインしないようにするには、SSHデーモンの設定ファイル/etc/ssh/sshd_configを編集し、次の行を変更します。
#PermitRootLogin yes
以下をお読みください：
PermitRootLogin no
PAM を使用してサービスへのルートアクセスを制限します。

PAM は、/lib/security/pam_listfile.so モジュールを通じて特定のアカウントを拒否するための優れた柔軟性を提供します。管理者はこのモジュールを使用して、ログインが許可されていないユーザーのリストを参照できます。システムサービスへのルートアクセスを制限するには、/etc/pam.d/ディレクトリでターゲットサービスのファイルを編集し、認証にpam_listfile.soモジュールが必要であることを確認してください。

すべてのセクションに私が省略した追加情報がありますが、興味があればもっと読むことができます。

セルリンク

selinuxrootサービス/実行ファイル/ポート/などのselinuxコンテキストを変更して、権限を完全に削除できます。しかし、これは大きなトピックを扱うので、これについて深く議論するのではなく、RHEL文書にリンクします。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/index

非常に残酷な例の制限を適用するには、以下を実行してみselinuxてenforcingくださいsemanage login -a -s user_u root。

これにより、標準ユーザー権限がrootユーザーに配布され（実行すると仮定し、現在レンガにすることができるシステムがないためわからない）、タスクなどの「root」操作を実行できないように制限されます。

ただし、これによりinit多くのサービスが開始されない可能性があるため、そのサービスを他のユーザーとして実行できるようにするには、多くの追加selinux構成が必要になる可能性があります（1つのサービスが破損しないことを考慮すると、非常に安全でメンテナンスが非常に困難になる可能性があります）。他の人にアクセスを提供します。

Linuxでスーパーユーザー権限へのアクセスを厳格かつ恒久的に制限する方法は？ [閉鎖]

ベストアンサー1

セルリンク

おすすめ記事