禁用Google用户名作为Sudoer
第一篇文章,是堆栈的新成员。我正在使用Ubuntu 20.04 LTS开发一个Google Cloud VM实例。为了访问VM实例,我通过一个自定义端口使用SSH。当我完成SSH登录时,我在shell终端中显示为我的Google用户名googleuser@vm-instance:~$。作为googleuser,我拥有完整的sudo权限,而无需输入密码,而且我关心的是安全性。如果我的Google帐户被攻破,黑客获得了访问Google Cloud平台的权限,SSH将提供完整的sudo功能。如何禁用googleuser的sudo权限,或在初始SSH后允许sudo权限之前至少要求输入密码?如果可能的话,我仍然希望通过自定义端口使用SSH,而不是标准的22端口访问。
作为googleuser,groups命令产生:googleuser adm dialout cdrom floppy audio dip video plugdev netdev lxd ubuntu google-sudoers我认为google-sudoers是问题所在?
我运行了sudo nano /etc/sudoers.d/google_sudoers,这个sudoers文件中唯一的一行代码是:%google-sudoers ALL=(ALL:ALL) NOPASSWD:ALL
我是否应该将NOPASSWD:ALL更改为其他值?如何在执行此操作之前设置google_sudoers密码以避免被锁定?我的其他选择是什么?我已经在受密码保护并需要Google 2FA的常规sudo组中设置了一个单独的用户,但我的googleuser问题如果被攻破,则会提供完全访问权限。
回答 1
Stack Overflow用户
发布于 2021-07-14 00:00:02
linux要从组中删除用户,可以使用命令sudo gpasswd -d username groupname。它在Debian10上开箱即用。
但更重要的是,如果我如果你的谷歌账户被黑客入侵,那么就没有什么能阻止别人访问你的虚拟机的。即使您设置了密码并以任何方式强化了您的虚拟机操作系统。
攻击者唯一需要做的就是在VM的元数据中添加一个简单的startup script,然后重新启动它。它将以root权限执行。
我知道这一点,因为如果你不能访问你的虚拟机,我建议你这样做,即使你的防火墙会阻止所有人,或者虚拟机完全没有以太网接口--它仍然可以通过interaction with the serial console访问。
看看this answer,看看它有多简单。
我建议把重点放在保护你的谷歌账户上,并使用2FA进行身份验证。硬件密钥将是最好的解决方案。
https://stackoverflow.com/questions/68356344
复制相似问题
腾讯云开发者
