1. Accueil
  2. Question et réponse
  3. Azure - Désactiver VM Agent pour empêcher la modification du mot de passe root

Azure - Désactiver VM Agent pour empêcher la modification du mot de passe root

2017-08-04 1 views
0

Je crée actuellement une application Azure pour le marché et je souhaite interdire à l'utilisateur de se connecter à la machine virtuelle pour éviter toute modification de la configuration de la machine virtuelle. Donc, pour ce faire, je veux bloquer la mise à jour du mot de passe root que l'utilisateur a défini lors de la création de la machine virtuelle. Je pense que c'est un agent VM qui met à jour le mot de passe root sur la VM avec celui défini par l'utilisateur.Azure - Désactiver VM Agent pour empêcher la modification du mot de passe root

Est-il possible d'empêcher la mise à jour de ce mot de passe?

Source

2017-08-04 Gabriel

+0

Voulez-vous dire que vous ne voulez pas que les utilisateurs réinitialisent le mot de passe du portail Azure? –

+0

Oui et je veux aussi interdire à l'utilisateur de faire une commande sudo (comme sudo su) qui lui donnerait des droits root – Gabriel

+0

Pour l'instant, nous ne pouvons pas supprimer sudo de cet utilisateur, comme une solution de contournement, nous pouvons créer un nouvel utilisateur pour accéder à cette machine virtuelle, ce nouvel utilisateur n'aura pas le mot de passe pour root. –

Répondre

1

Afin d'éviter le client de mon application pour se connecter sur la machine virtuelle d'hébergement ma demande à l'utilisateur qu'il a créé lors de l'instanciation, je l'ai créé un script qui supprime cet utilisateur de l'utilisateur sudoers:

  • USER=`getent group sudo | cut -d: -f4`
  • sudo deluser $USER sudo
  • sudo rm /etc/sudoers.d/90-cloud-init-users
  • sudo gpasswd -d $USER adm

De cette façon, l'utilisateur n'a pas la possibilité de devenir root et de modifier les applications exécutées sur le VM.

Source

2017-08-08 08:39:30 Gabriel

+0

Merci pour votre partage :) –

0

Vous ne pouvez pas sélectionner la valeur "root" pour l'utilisateur lors du provisionnement de linux vm dans Azure.

Source

2017-08-05 05:17:38 4c74356b41

+0

Oui, je sais que, ce que je veux faire est d'interdire à l'utilisateur d'obtenir les droits root :) – Gabriel

0

Je pense avoir compris votre explication, vous voulez empêcher cette mise à jour du mot de passe depuis le portail Azure. Si je comprends bien, désactiver VM Agent est un moyen d'empêcher la modification du mot de passe root, mais il est dangereux, s'il y a quelque chose qui ne va pas avec votre machine virtuelle, nous ne pouvons pas utiliser l'agent Azure VM pour résoudre certains problèmes. . Pour contourner le problème, nous pouvons utiliser le contrôle d'accès basé sur le rôle (RBAC) pour gérer l'accès à vos ressources d'abonnement Azure. Plus d'informations sur RBAC, s'il vous plaît se référer à ce link.

En outre, nous pouvons définir des ressources Serrures à en lecture seule, nous ne pouvons pas changer le mot de passe via le portail Azure.

enter image description here enter image description here

Plus d'informations sur ressources de verrouillage pour éviter des changements inattendus, s'il vous plaît se référer à cette link.

Source

2017-08-07 02:19:45

+0

Cette serrure doit être appliquée sur l'image pour laquelle je dois obtenir le SAS, ai-je raison? Aussi, je suppose que si je mettais à jour le fichier /etc/sudoers.d/waagent, je pourrais supprimer les droits sudo pour l'utilisateur, non? – Gabriel

+0

Non, ce verrou ne peut pas réinitialiser le mot de passe via le portail Azure.Si vous souhaitez supprimer les droits sudo de l'utilisateur, vous pouvez ajouter un autre compte utilisateur à cette machine virtuelle et permettre aux autres utilisateurs de se connecter à cette machine virtuelle d'utiliser de nouveaux comptes utilisateur. pour l'instant, nous ne pouvons pas supprimer les droits pour l'utilisateur. –

+0

Pour contourner le problème, nous pouvons créer un nouvel utilisateur, 'out of sudu group'. De cette façon, cet utilisateur ne peut pas exécuter sudo pour obtenir l'autorisation root. –

 Questions connexes

  • Aucun problème connexe^_^