我试图理解直接使用 root 进行 ssh 或在维护服务器的情况下创建辅助 sudo 用户之间的技术参数/安全影响。为了澄清这一点,我们讨论的是单个管理员拥有的服务器。对于在机器上工作的多人来说,很明显,为每个实际人员拥有唯一的用户和细粒度的权限可以带来审计跟踪的好处。
我的想法是,如果这是一个桌面站,那么这是有道理的,建议使用非root用户进行日常工作,但在服务器上,您通常登录来维护它,并且99%的时间您的所有活动都需要root权限。
那么,创建一个“代理”用户(无论如何都要 sudo 到 root,而不是直接提供对 root 的 ssh 访问权限)是否有任何安全优势呢?
我能想到的唯一好处是通过模糊性实现安全性,即机器人通常会尝试探测“root”用户。但从我的角度来看,如果 sudoers 的用户受到威胁,就等同于 root 用户受到威胁,所以游戏就结束了。
此外,大多数远程管理框架、NAS 系统、虚拟机管理程序都鼓励使用 root 用户进行 Web 登录。
我们正在印度聘请一名顾问作为我们的 Linux 管理员。我们不太了解他,他需要 Root 访问我们所有的服务器才能完成他的工作(包括安全审计)。
为此类工作启用远程顾问以保护我们免受任何恶意活动的最佳做法是什么?
提前致谢。
我想将 root 收到的电子邮件转发到 Ubuntu 节点上的外部电子邮件。我看过这篇文章,但它并没有对要遵循的程序进行太多解释。网上还有一些其他帖子,但它们通常不完整或不清楚。
谁有完整的程序分享一下?应该在我的节点上安装邮件服务器吗?如果是,是哪一个?节点上的配置步骤是什么?我严格使用命令行(节点是服务器)。
我有一台较旧的 ubuntu 服务器和一台较新的 debian 服务器,我正在将数据从旧服务器迁移到新服务器。我想使用 rsync 来传输数据,使最终迁移比等效的 tar/scp/untar 过程更容易、更快。
例如,我想一次将一个主文件夹同步到新服务器。这需要两端的 root 访问权限,因为并非源端的所有文件都是世界可读的,目标必须以正确的权限写入 /home。我不知道如何在双方都授予 rsync 根访问权限。
我看过一些相关的问题,但没有一个完全符合我想要做的。
我已经 sudo 设置并在两台服务器上工作。
我们的服务器最近用完了文件描述符,对此我有一些疑问。ulimit -n应该给我最大数量的打开文件描述符。这个数字是 1024。我通过运行检查了打开的文件描述符的数量,lsof -u root |wc -l得到了 2500 个 fds。这比 1024 多得多,所以我猜这意味着数字 1024 是每个进程,而不是每个用户,就像我一样。好吧,我跑了lsof -p$PidOfGlassfish|wc -l,得到了 1300。这是我没有得到的部分。如果ulimit -n不是每个用户或每个进程的最大进程数,那么它有什么用?它不适用于root用户吗?如果是这样,我怎么能得到关于文件描述符用完的错误消息?
编辑:我能理解的唯一方法ulimit -n是它是否应用打开文件的数量(如 bash 手册中所述)而不是文件句柄的数量(不同的进程可以打开同一个文件)。如果是这种情况,那么仅列出打开文件的数量(grepping '/',从而排除内存映射文件)是不够的:
lsof -u root |grep /|sort -k9 |wc -l #prints '1738'
要实际查看打开文件的数量,我需要对名称列进行过滤,仅打印唯一条目。因此,以下可能更正确:
lsof -u root |grep /|sort -k9 -u |wc -l #prints '604'
上面的命令需要 lsof 以以下格式输出:
java 32008 root mem REG 8,2 11942368 72721 /usr/lib64/locale/locale-archive
vmtoolsd 4764 root mem REG 8,2 18624 106432 /usr/lib64/open-vm-tools/plugins/vmsvc/libguestInfo.so
这至少给了我小于 …
我正在运行一个生产级 Amazon ec2 实例,我想关闭所有用户的 root 权限。通常,当以 ec2-user 身份登录实例时,ec2-user 会立即获得 sudo 权限,我试图取消该权限以确保安全。
我能够为 root 用户设置一个新密码,我进入 /etc/sudoers 尝试从 sudo 权限中删除 ec2-user,但该用户甚至没有列在文件中。有人知道如何从运行默认 linux 安装的 Amazon ec2 实例上的 sudo 权限中删除 ec2-user 吗?
我希望能够从 php 脚本重新启动服务。在 www-user 帐户下运行。
执行这些操作的首选方式是什么?
我认为我可以使用 que'd 命令创建一个文件,由 CRON 读取,但解决方案很痒。
我在想的是一个在 root 下运行的小服务,允许预定义的“方法”,因此无法执行任意的 root 操作。
有什么工具可以做到这一点吗?
我使用~/.ssh/configfile 以便我可以轻松输入ssh myserver,它会提供正确的用户名、端口、主机名、身份文件等。
但是对于许多服务器,我做的第一件事是输入su -以 root 身份登录。我可以在命令行上做到这一切在一个命令像这样:ssh myserver -t su -。有什么我可以添加到我的~/.ssh/config文件中的东西吗?我希望能够做到ssh myserver-root并且它会做与ssh myserver -t su -?
我知道PermitRootLogin,这台服务器已关闭,我不愿意打开它。我更想看看是否有办法在客户端使用 ssh 来做到这一点。
我有centos5。
有什么方法可以让我只使用特定 IP 地址的 root 用户登录我的 vps 服务器。
我已经读到我可以使用私钥登录到 sshd。但问题是我所有的网站都使用 SFTP,我不希望非 IT 用户使用密钥登录 SFTP。
或者有什么方法可以让只有root才能使用密钥登录shell,但其他人可以使用普通密码
我们使用 git 来跟踪/etc/我们服务器上的变化。
管理员在更改 /etc/ 中的文件时以 root 身份工作,因此他们的提交具有作者
root <root@machinename>
这不是很令人满意,因为您看不到哪个管理员实际进行了更改。
我们如何才能在 git 日志中获得真正的管理员名称?我不认为保留存储库的本地克隆是可行的,因为我们经常进行交互更改,直到某些事情起作用为止,并且更改-提交-推送-查看错误-重复循环在这里无济于事。