Azure - 禁用VM Agent以防止修改根密码
我目前正在为市场创建一个Azure应用程序,并且我想禁止用户连接到VM以避免对VM配置进行任何修改。Azure - 禁用VM Agent以防止修改根密码
所以,要做到这一点,我想阻止用户在创建虚拟机时设置的root密码的更新。我认为这是一个虚拟机代理,它正在用用户设置的虚拟机更新虚拟机的根密码。
有什么办法可以防止这个密码更新吗?
为了避免我的应用程序的客户在虚拟机连接主机我与他实例化时,它创建的用户应用程序,我创建了一个脚本,从sudoers的用户删除该用户:
USER=`getent group sudo | cut -d: -f4`
sudo deluser $USER sudo
sudo rm /etc/sudoers.d/90-cloud-init-users
sudo gpasswd -d $USER adm
这样用户就没有可能成为root用户并且改变虚拟机上运行的应用程序
感谢您的分享:) –
我想我理解你的解释,你想阻止从Azure门户进行密码更新。
如果我理解正确,我认为禁用VM Agent是一种防止root密码修改的方法,但是如果您的虚拟机出现问题,则很危险,我们无法使用Azure VM代理进行一些故障排除。
作为解决方法,我们可以使用基于角色的访问控制(RBAC)来管理对Azure订阅资源的访问。有关RBAC的更多信息,请参阅此link。
此外,我们还可以设置资源锁到为只读,那么我们就无法通过Azure的门户网站更改密码。
更多有关锁定资源,以防止意想不到的变化,请参阅本link。
这个锁是要应用在我必须得到SAS的图像上,我是否正确?另外,我想如果我更新/etc/sudoers.d/waagent文件,我可以删除用户的sudo权限,对吧? – Gabriel
不,此锁不能通过Azure门户重置密码。如果要删除用户的sudo权限,则可以将另一个用户帐户添加到该虚拟机,并让其他用户连接到该虚拟机使用新的用户帐户。目前,我们无法删除用户的权利。 –
作为一种解决方法,我们可以创建一个新用户,'out of sudu group'。这样,这个用户不能运行sudo来获得root权限。 –
您的意思是您不希望用户从Azure门户重置密码? –
是的,我也想禁止用户执行一个sudo命令(如sudo su),这会给他root权限 – Gabriel
现在,我们无法从该用户删除sudo,作为解决方法,我们可以创建一个新用户要访问此虚拟机,所以这个新用户将不会拥有root用户的密码。 –