如何解决将 Google 用户名禁用为 Sudoer
第一篇文章和堆栈的新手。我正在使用 Ubuntu 20.04 LTS 处理 Google Cloud VM 实例。为了访问 VM 实例,我通过自定义端口使用 SSH。当我完成 SSH 登录后,我在 shell 终端中显示为我的 Google 用户名 googleuser@vm-instance:~$。作为 googleuser,我拥有完全的 sudo 权限而无需输入密码,而且我担心安全性。如果我的 Google 帐户遭到入侵并且黑客获得了对 Google Cloud Platform 的访问权限,SSH 将提供完整的 sudo 功能。如何禁用 googleuser 的 sudo 权限或在初始 SSH 后允许 sudo 权限之前至少需要密码?如果可能,我仍然希望通过自定义端口使用 SSH,而不是标准端口 22 访问。
作为 googleuser,groups 命令产生:googleuser adm dialout cdrom floppy audio dip video plugdev netdev lxd ubuntu google-sudoers 我认为 google-sudoers 是问题?
我运行了 sudo nano /etc/sudoers.d/google_sudoers,这个 sudoers 文件中唯一的一行代码是这样的:%google-sudoers ALL=(ALL:ALL) NOPASSWD:ALL
我应该将 NOPASSWD:ALL 更改为其他内容吗?在执行此操作之前如何设置 google_sudoers 密码以避免被锁定?我的其他选择是什么?我已经在常规 sudo 组中设置了一个单独的用户,该用户受密码保护并需要 Google 2FA,但我的 googleuser 问题在受到威胁时会提供完全访问权限。
解决方法
要从组中删除用户,您可以使用 linux 命令 sudo gpasswd -d username groupname。它直接适用于 Debian 10。
但更重要的是,如果您的 Google 帐户遭到黑客入侵,则无法阻止他人访问您的 VM。即使您设置了密码并以任何方式强化了您的 VM 操作系统。
攻击者唯一需要做的就是在您的 VM 的元数据中放入一个简单的 startup script 并重新启动它。它将以 root 权限执行。
我知道这一点,因为如果您无法访问 VM,我建议您这样做。即使您的防火墙会阻止所有人,或者虚拟机将完全没有以太网接口 - 它仍然可以通过 interaction with the serial console 访问。
看看this answer,看看它有多简单。
我建议您专注于保护您的 Google 帐户并使用 2FA 进行身份验证。硬件密钥将是这里的最佳解决方案。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。