資安稽核要求service不能以root啟動....
 

鵝今天被考倒了,user端承辦說資安稽核要求service不能以root啟動:stupefy:....

鵝想到以下幾點....

1:Unix會限制非root user不能bind 1024以下的port,但啟動完會su成一般user或是以一般user的身份fork出實際提供service的process:o....
2:不是所有程式都可以改startup的user,再說權限和root一樣大的話,那和直接用root啟動有啥不同:stupefy:....
3:提供service的程式如果要access user的homedir的話,正常來說都是轉換成那個user的身份執行,而這一點本來就是root的特權,不然就是程式要suid了:think:....

不過承辦說不管怎麼弄,只要別讓稽核的人看到root就好,請問一下還有啥比較好的說法,可以讓鵝擺脫這個無釐頭的問題啊:o:o....

稽核的人應該不懂電腦吧
把root改名就在字面上PASS了...

assign user to root permission :laugh: :laugh: :laugh:

那就sudo吧

目前碰到的普遍狀況是

連鹽巴跟味精都分不清楚的人，要監督廚師做菜 :jolin: :jolin: :jolin: :jolin:

調味程序食譜上面寫著，加入鹽巴、味精

廚師調味食，依序加入味精、鹽巴，這道菜就不對了

因為食譜上面寫的順序是鹽巴、味精 :stupefy: :stupefy: :stupefy:


朋友的公司碰到的狀況是........稽核連甚麼是IP都搞不懂了，要去稽他的資訊安全問題 :jolin: :jolin: :jolin:

以前當笑話的新聞，真實發生中阿
日本資安戰略大臣櫻田義孝：我從未用過電腦

稽核要的應該是這個吧，許多比較講究的 daemon 啟動後都會 drop privileges 成一般 user。ps 就看不到 root 了。不過如果沒這樣設計的軟體，就變成要換一個同功能的，挺麻煩的。

百分之九十九的稽核應該不是說這個.
如果他真的懂, 因為會說服務啟動後要移除 root 權限, 改用特定的使用者權限執行.

既然資安稽核這樣說…


那就…



收工、結案。

:laugh:

印象中root這個名稱不能改 :rolleyes:

選一個帳號，然後把uid改成0，然後把root停掉，收工