我们是一支小团队,拥有一些标准的 AWS EC2 Ubuntu 20.04 服务器,需要向外界开放一些端口。我们通过无密码 SSH 连接到这些服务器。到目前为止,我们只是保留了标准用户ubuntu
以防止进行额外的设置,而且它一直运行良好,所以我们更愿意保持这种状态。
不过,为了提高安全性,我认为让标准ubuntu
用户需要 sudo 密码才能以 root 身份运行,并将 sudo 密码存储在单独的密码管理器中是有意义的。此外,这可能会让团队中的任何人在通过 SSH 登录并使用 sudo 做一些愚蠢的事情(恶意或其他)之前三思而后行。
用户ubuntu
的 sudo 访问权限由默认文件提供/etc/sudoers.d/90-cloud-init-users
,其中包含行。这是由sudoers 行中的ubuntu ALL=(ALL) NOPASSWD:ALL
行导入的。#includedir /etc/sudoers.d
我已经为用户设置了密码ubuntu
,但在尝试删除或修改时出现权限错误/etc/sudoers.d/90-cloud-init-users
。相反,我删除了该#includedir /etc/sudoers.d
行,这实际上相当于删除该文件,因为目录中没有其他文件。这很正常。但是,我猜这是不好的做法。保留该行是否重要?如果重要,为什么?