Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : ✔️ Images Linux
Cette procédure vous montre comment supprimer les utilisateurs sudo de l’image Linux et déployer une machine virtuelle confidentielle (machine virtuelle confidentielle) dans Azure.
L’objectif de cet article est de créer une image Linux sans administrateur pour les déploiements de machines virtuelles confidentielles. La suppression de l’administrateur invité a une valeur de sécurité immense, elle réduit les privilèges d’administrateur entre le système d’exploitation.
Présentation des différents types d’utilisateurs dans les systèmes Unix/Linux :
Utilisateur administrateur (sudoer) : utilisateurs réguliers disposant d’autorisations supplémentaires. Ces utilisateurs peuvent effectuer certaines tâches qui modifient les configurations système.
Utilisateur régulier : les utilisateurs réguliers sont des utilisateurs nonadministratifs. Ils n’ont pas l’autorisation de modifier les configurations système ou d’installer des logiciels à l’échelle du système.
Dans le contexte d’images Linux sans administrateur, l’objectif est de déployer des systèmes sans utilisateurs sudo.
Note
La configuration à elle seule ne garantit pas la prévention de l’ajout d’utilisateurs au groupe sudo. Tout service disposant de privilèges racine ou sudo peut augmenter les privilèges.
Prerequisites
- Si vous n’avez pas d’abonnement Azure, créez un compte Azure gratuit avant de commencer.
- Image Ubuntu : vous pouvez en choisir une dans la Place de marché Azure.
Supprimer les utilisateurs sudo et préparer une image Linux généralisée
La solution proposée génère une image Linux sans utilisateurs sudo.
Les étapes de création d’une image généralisée qui supprime les utilisateurs sudo sont les suivantes :
Téléchargez une image Ubuntu. Créer une image personnalisée pour une machine virtuelle confidentielle Azure
Montez l’image.
Il existe plusieurs façons de faire cela : attacher le disque. L'exemple utilise le périphérique en boucle pour monter l'image. Il peut s’agir d’un disque attaché ou d’un appareil de boucle Monter l’image.
$imagedevice est la partition du système de fichiers racine sur l’appareil qui contient l’image.
mount /dev/$imagedevice /mnt/dev/$imagedeviceCe processus est couramment utilisé pour accéder aux images de disque et les utiliser. Ici, il est utilisé pour supprimer les utilisateurs sudo sur l’image Ubuntu.
Chrootez dans le système de fichiers vhd pour exécuter la commande suivante, qui répertorie les utilisateurs appartenant au groupe sudo.
sudo chroot /mnt/dev/$imagedevice/ getent group sudoValidez l’étape 3 en listant les utilisateurs dans le répertoire sudoers.d home et dans /etc/passwd, /etc/shadow files. S’il existe des utilisateurs disposant de privilèges sudo, ils sont répertoriés ici,
sudo ls /mnt/dev/$imagedevice/etc/sudoers.d sudo cat /mnt/dev/$imagedevice/etc/passwd sudo cat /mnt/dev/$imagedevice/etc/shadowSupprimer des privilèges sudo : utilisez la commande deluser pour supprimer le privilège sudo pour l’utilisateur,
sudo chroot /mnt/dev/$imagedevice/ deluser -r [sudo_username]Répétez l’étape 4 pour vérifier que l’utilisateur n’a pas de privilège sudo sur le disque dur virtuel.
Démonter l’image.
umount /mnt/dev/$imagedevice
L’image préparée n’inclut aucun utilisateur sudo qui peut être utilisé pour créer les machines virtuelles confidentielles.
Suivez les étapes de création d’une image personnalisée pour une machine virtuelle confidentielle Azure pour créer une machine virtuelle confidentielle Azure. Utilisez l’image sans administrateur à l’étape 4 de la création d’une image personnalisée pour une machine virtuelle confidentielle Azure tout en effectuant azcopy et le reste des étapes reste le même.