Есть еще несколько вещей, которые вы можете сделать.
корень _тыква
Общие ресурсы NFS можно сделать доступными с помощью флага root_squash
.
Таким образом, общий сетевой ресурс может быть подключен, но привилегированный пользователь на клиенте не получает привилегированного доступа к файлам, размещенным на сервере, который делает доступной NFS. При этом вы можете сделать файлы доступными для другого хоста, и даже если пользователь на этом хосте имеет root-права на своем компьютере, ваш контент по-прежнему в безопасности.
Это полезно в корпоративных средах, например, если вы хотите разрешить сетевым администраторам доступ к журналам своих устройств, но не хотите, чтобы они могли вносить какие-либо изменения. Несмотря на то, что у них есть права администратора в Linux, они не могут изменять журналы.
Вот мое любимое руководство, если вы хотите читать дальше:http://fullyautolinux.blogspot.com/2015/11/nfs-norootsquash-and-suid-basic-nfs.html
сш
Есть еще несколько вещей, которые вы можете сделать. Например, вы можете запретить пользователю root подключаться к устройству по SSH. Это означает, что для того, чтобы стать root, пользователю необходимо получить доступ к устройству, используя другую учетную запись (, например. учетную запись администратора, которую вы создали ), а затем переключитесь на пользователя root с помощью команды, например su
.
Простое руководство можно найти здесь:https://mediatemple.net/community/products/dv/204643810/how-do-i-disable-ssh-login-for-the-root-user
RHEL7/CentOS7
Вот некоторая документация от Redhat о том, как ограничить учетную запись root в корпоративных средах :https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-controlling_root_access
Обновление:
Как обсуждалось в других ответах, вы также можете изменить возможности учетной записи root.
Поиск "bytes" сделал это:-s strsize
контролирует количество печатаемых байтов. К сожалению, нет никакого способа напечатать все, что--s 0
выводит пустую строку, а -s -1
считается недопустимым аргументом.