Как Amazon ec2-пользователь получает права sudo


22

Я ищу, где по умолчанию образ Amazon AMI linux устанавливает привилегии для ec2-userучетной записи по умолчанию .

После входа в систему с этой учетной записью я могу успешно использовать sudo. Проверяя через файл sudoers, который я открываю, запустив visudo (без других опций), я вижу несколько настроек и разрешений по умолчанию для root ALL ALL

Итак ... Где назначены разрешения для пользователя ec2?

Я еще не пытался добавить новое разрешение, но в конечном итоге я хочу уволить пользователя ec2 для задач управления системами и использовать пользователя с неполным доступом root для администрирования приложений (остановка и запуск mysql, httpd, редактирование файлов vhost apache и загрузка / редактировать веб-контент в корне сети)

Ответы:


25

Это в /etc/sudoers.d/cloud-init. Я тоже удаляю его из своих производственных систем, как только смогу.

Включено в силу линии

#includedir /etc/sudoers.d

в /etc/sudoersфайле. Обратите внимание, что, как говорится, это ведение #не рассматривается как знак комментария. На некоторых из моих серверов, это также в /etc/sudoers.d/90-cloud-init-users; это может быть самым безопасным для userdelпользователя ec2.


Да, это. Теперь, почему бы вам не исправить свой ответ, чтобы я мог присудить вам кредит?
Йохан

Что на земле были sudoдэвы мышления с этим #include синтаксиса , когда комментарий персонаж #?
DaveGauer

1
@DaveGauer использует тот же синтаксис, что и препроцессор Си ( #include "file"или #include <stdio.h>). Но да, это плохой выбор для файла конфигурации.
Тони Чезаро

2

На самом деле это файл из /etc/sudoers.d/

From the master sudoers file, the very last part:
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d

В частности, небольшой бит, который читает здесь #, не означает комментарий

А потом:

[root@webmaster ec2-user]# cd /etc/sudoers.d/
[root@webmaster sudoers.d]# ls -l
total 4
-r--r----- 1 root root 88 May  5 09:16 cloud-init
[root@webmaster sudoers.d]# grep ec2-user *
ec2-user ALL = NOPASSWD: ALL
# User rules for ec2-user
ec2-user ALL=(ALL) NOPASSWD:ALL

Вуаля.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.