我们有多个分配给它们的/ bin / bash shell用户帐户。 另一个应用程序“su”这些帐户用于控制其服务状态和监控目的。 这些用户的密码没有设置。 我应该做些什么来保护这些用户?
请参阅文档https://unix.stackexchange.com/questions/113754/allow-user1-to-su-user2-without-password
如果用户帐户可以使用pam模块login,它是不是一个潜在的利用窗口。 即没有sudo和没有密码。 关于这个还能做什么?
任何时候你有一个不需要authentication的安全边界,你就有可能被利用。 在实践中是否可以转化为利用是一个不同的问题,但在这种情况下,如果你降低权限,你应该没问题。
所选答案中给出的解释与您所链接的问题相比,其安全性不低于其他任何选项,实际上甚至不需要您使用任何其他方式进行身份validation。 对于只有本地的东西,这可能是我自己做的事情,虽然我会用sudo而不是su(su由于它的devise本质上是不安全的)。
或者,您也可以通过使用SSH和公钥authentication来实现相同的目的,您只需为正在进行监控的帐户创build一个密钥对,并要求您的其他帐户在~/.ssh/authorized_keys拥有该帐户的~/.ssh/authorized_keys 。 如果其他账户被实际人员使用,这可能不是最好的主意,因为它很容易被破坏,并且会使任何合理安全的人感到紧张。