問題のシステムはAnsibleを使用してリモートでのみ管理できるため、致命的なコマンドをユーザーグループに制限したり、簡単な管理アクセスを許可したりすることを心配することはありません。私は、ハッカーが何らかの方法でコンソールアクセスを取得したり、不明な脆弱性を使用してコマンドを実行したりできないようにシステムをロックすることに興味があります。システムはXをインストールせず、厳密に言えばヘッドレスです。
私が決めた計画は次のとおりです。
- 障害を負う根SSH経由でログイン(これは提供されています)
- 削除
sudoしてホイールグループ、 - 秘密鍵の使用根ログイン、
- ルートパスワードを完全に無効にします。
ルートアクセスをロックするには追加の措置を講じる必要がありますか?それとも私があまりにも多くの措置を取っているのでしょうか?つまり、私が考えていない意図しない結果はありますか?
ありがとうございます!
編集する:コメントにいる誰かは、このシステムは調整のみ可能なので、ただ許可してはいけないと提案しました。根キーを使用してSSH経由でログインしますか?以下は私たちのユースケースに適しています。私たちの場合、中間アカウントの唯一の実際の使用は、通過できる人のアクセスを許可することですsudo。
- 現在の仲介者を削除します。権利なしユーザー、
- SSHキー設定根ユーザー
- ルートパスワードを削除するために使用します
passwd -d root。 - アカウントロック
passwd -l root、 - 〜できるようにするrootユーザーへのSSHアクセスおよびオーケストレーションシステムで使用根直接ログインしてください。
では、残りの質問は、このアプローチは他のセキュリティ問題を引き起こしますか?