谁有root访问权限？

8

我正在处理一些敏感数据的Web应用程序。我们在安全性方面非常严格，并制定了策略来锁定对计算机的访问，并记录所有内容以进行技术审核。

我们不断回到的问题是：谁扎根了？

我们的服务器实例将具有root用户。该root用户将具有一个密码。谁应该有权使用此功能？是否可能/希望有一台没有人可以拥有root访问权限的计算机？

如果您对此有任何想法，我将不胜感激。

root security

— 罗斯·麦克法兰
source

这引起了我的注意。看起来不错。

— 罗斯·麦克法兰

14

没有人。使其使用，sudo以便记录所有根级命令并将其归于特定人员。

— 塞贾约兹
source

6

+1。将root密码更改为非常随机的密码，将其打印出来并密封在信封中，仅供紧急使用。

— EEAA 2011年

4

另外，更改您的根帐户.bashrc，以便将PROMPT_COMMAND设置为以普通root用户身份将所有日志记录到syslog。便利。

— Sirex

1

用户可以使用sudo运行shell，然后命令将不会记录日志（仅登录bash）

— ooshro 2011年

正确，除非他们执行“ sudo bash -l”-应该这样做。如果您设置根.bashrc提示命令，它也会记录下来，这是值得这样做的原因之一。

— Sirex

+1另外，请确保将sudo设置为更高的访问级别。为了以防万一，将所有的根密码都保存在一个密封的信封中，以防万一，如果密封被破坏，则必须报告安全性并更改密码。

— st3v3o 2011年

3

除了硬件管理员，没有人获得root密码！root密码只能在控制台上使用，不能通过SSH或其他服务使用。

使用组使用来定义对具有升级权限的不同程序集的访问sudo。例如，wheel组通常适用于拥有root特权的人，但是所有内容都以其用户的身份登录。如果人们不需要完整的root特权，而仅需要几个命令，就像其他用户一样，请建立另一个组。

— 卡列布
source

-1

如果使用和部署selinux，则可以删除通常的root设置即典型的“全知全知”上帝帐户，并将其转换为更具安全意识的帐户。

— 西雷克斯
source

1

怎么样？只要没有提供任何有关如何的指示，答案就不是真正有用的；）

— 0xC0000022L

它的主题范围太大，无法容纳一个答案。但是据我所知，selinux可以（并且经常）用于此目的。

— Sirex

-5

我的意见是，人们不应运行需要root权限的命令，除非他们实际上是以root身份登录的。

因此，我建议使用su（切换到root用户）而不是sudo（临时为一个命令提高对root级的权限）。如果他们需要root权限，请将其更改为root用户。

我的问题是，您的用户认为他们需要root会做什么？

— 用户名
source

4

@ user76897：我不同意。sudo非常适合此目的，它会记录直接以sudo前置命令发出的每个命令。在使用su的地方，您会得到一个外壳程序，并且该外壳程序中的任何内容均未记录。/etc/sudoers可以非常好地调整您可以告诉哪个用户可以由哪个用户作为哪个用户执行哪个命令，以及是否需要密码，以及一系列其他有用的选项。某人可能需要root的原因之一是重新启动守护程序。sudo无需完全访问根帐户即可轻松实现。

— 0xC0000022L

这个答案没有任何意义，也没有解决这个问题。su过度的偏爱sudo并没有得到捍卫，按照这里的大多数其他声音，这实际上将是伙计们最初的问题的一部分，而不是解决方案。

— Caleb