원격 오케스트레이션 전용 시스템에서 루트 비밀번호를 비활성화하고 sudo를 제거하시겠습니까?

원격 오케스트레이션 전용 시스템에서 루트 비밀번호를 비활성화하고 sudo를 제거하시겠습니까?

문제의 시스템은 Ansible을 사용하여 원격으로만 관리할 수 있으므로 치명적인 명령을 사용자 그룹으로 제한하거나 쉬운 관리 액세스를 허용하는 것에 대해 걱정하지 않습니다. 저는 해커가 어떻게든 콘솔 액세스 권한을 얻거나 알 수 없는 취약점을 사용하여 명령을 실행할 수 없도록 시스템을 잠그는 것에 더 관심이 있습니다. 시스템은 또한 X를 설치하지 않으며 엄밀히 말하면 헤드리스입니다.

제가 (가) 결정한 계획은 다음과 같습니다.

  1. 장애를 입히다뿌리SSH를 통해 로그인(이것은 제공됨)
  2. 제거 sudo하고바퀴그룹,
  3. 개인 키 사용뿌리로그인,
  4. 루트 비밀번호를 완전히 비활성화합니다.

루트 액세스를 잠그려면 추가 조치를 취해야 합니까? 아니면 내가 너무 많은 조치를 취하고 있는 걸까?, 즉 내가 고려하지 않은 의도하지 않은 결과가 있습니까?

감사해요!


편집하다:댓글에 있는 누군가는 이 시스템이 조정만 가능하므로 그냥 허용하면 안 된다고 제안했습니다.뿌리키를 사용하여 SSH를 통해 로그인하시겠습니까? 다음은 우리의 사용 사례에 더 적합할 수 있습니다. 우리의 경우 중간 계정의 유일한 실제 사용은 통과할 수 있는 사람의 액세스를 허용하는 것이기 때문입니다 sudo.

  1. 현재 중개자를 제거합니다.권리 없음사용자,
  2. SSH 키 설정뿌리사용자
  3. 루트 비밀번호를 제거하는 데 사용합니다 passwd -d root.
  4. 계정 잠금 passwd -l root,
  5. ~할 수 있게 하다루트 사용자에 대한 SSH 액세스 및 오케스트레이션 시스템에서 사용됨뿌리직접 로그인하세요.

그럼 남은 질문은,이 접근 방식으로 인해 다른 보안 문제가 발생합니까?

관련 정보