Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a: ✔️ Linux Images
Este tutorial mostra os passos para remover utilizadores sudo da imagem do Linux e implantar uma máquina virtual confidencial (VM confidencial) no Azure.
O objetivo deste artigo é criar uma imagem Linux sem administrador para implantações confidenciais de VM. Remover o administrador convidado tem imenso valor de segurança, reduz os privilégios de administrador em todo o sistema operacional.
Entendendo diferentes tipos de usuários em sistemas Unix/Linux:
Usuário administrador (sudoer): Usuários regulares com permissões extras. Esses usuários podem executar determinadas tarefas que modificam as configurações do sistema.
Utilizador regular: Os utilizadores regulares são utilizadores não administrativos. Eles não têm permissão para modificar as configurações do sistema ou instalar software em todo o sistema.
No contexto de imagens Linux sem privilégios de administrador, o objetivo é implantar sistemas sem utilizadores de sudo.
Observação
A configuração por si só não garante impedir que utilizadores sejam adicionados ao grupo sudo. Qualquer serviço com privilégios root ou sudo tem o potencial de escalar privilégios.
Pré-requisitos
- Se não tiver uma subscrição do Azure, crie uma conta do Azure gratuita antes de começar.
- Uma imagem do Ubuntu - você pode escolher uma no Azure Marketplace.
Remova utilizadores com privilégios de sudo e prepare uma imagem generalizada de Linux
A solução proposta resulta numa imagem de Linux sem utilizadores sudo.
As etapas para criar uma imagem generalizada que remove os utilizadores sudo são as seguintes:
Faça o download de uma imagem do Ubuntu. Criar uma imagem personalizada para VM confidencial do Azure
Monte a imagem.
Há várias maneiras de fazer isso Anexe o disco, o exemplo usa o dispositivo de loop para montar a imagem. Pode ser um disco conectado ou um dispositivo de loop Monte a imagem.
$imagedevice é a partição do sistema de arquivos raiz no dispositivo que contém a imagem.
mount /dev/$imagedevice /mnt/dev/$imagedeviceEsse processo é comumente usado para acessar e trabalhar com imagens de disco. Aqui, este procedimento é usado para remover os utilizadores "sudo" na imagem do Ubuntu.
Chroot no sistema de arquivos vhd para executar o seguinte comando, que lista os usuários no grupo sudo.
sudo chroot /mnt/dev/$imagedevice/ getent group sudoValide a etapa 3 listando os usuários no diretório inicial sudoers.d e nos arquivos /etc/passwd, /etc/shadow. Se houver algum utilizador com privilégios de sudo, eles estão listados aqui.
sudo ls /mnt/dev/$imagedevice/etc/sudoers.d sudo cat /mnt/dev/$imagedevice/etc/passwd sudo cat /mnt/dev/$imagedevice/etc/shadowRemover privilégios sudo: Use o comando deluser para remover o privilégio sudo para o usuário,
sudo chroot /mnt/dev/$imagedevice/ deluser -r [sudo_username]Repita o passo 4 para validar que o utilizador não tem privilégios de sudo no vhd.
Desmonte a imagem.
umount /mnt/dev/$imagedevice
A imagem preparada não inclui nenhum usuário sudo que possa ser usado para criar as VMs confidenciais.
Siga as etapas Criar uma imagem personalizada para VM confidencial do Azure para criar uma VM confidencial do Azure. Use a imagem sem administração na etapa 4 de Criar uma imagem personalizada para VM confidencial do Azure ao executar o azcopy e o restante das etapas permanece as mesmas.