我们的一位安全专家已在CoreOS上运行漏洞检测脚本,并发现了一些建议(请注意,此脚本最初设计用于Linux OS)
工具报告的一些VA问题如下。
CoreOS不允许我以root用户身份编辑/etc/login.defs。该文件对于核心和root用户是只读的。我知道这是徒劳的,因为CoreOS使用基于ssh密钥的登录。但是,我想知道是否有任何其他方式来编辑此文件,因为我需要处理一些系统文件来解决更多问题。
我是否需要使用cloud-init工具来修改此文件?或者还有其他硬化CoreOS的替代方案吗?
答案 0 :(得分:0)
https://groups.google.com/forum/#!topic/coreos-user/87fluJrTuJE:
/ etc中的这些类型的文件实际上是指向/ usr中文件的符号链接。这允许CoreOS通过自动更新来更新它们,但也使您能够打破符号链接并在其位置粘贴自定义文件。你可以通过列出目录来看到这个:
$ ls -la /etc/ | grep login
lrwxrwxrwx. 1 root root 32 Nov 8 19:00 login.access -> ../usr/share/shadow/login.access
lrwxrwxrwx. 1 root root 30 Nov 1 06:14 login.defs -> ../usr/share/shadow/login.defs
显然,只有在你知道自己在做什么的情况下才能编辑它们。如果你需要自动化它,你应该能够做这个cloud-config / ignition。
这两项建议都与登录密码有关。我们不建议您使用密码,而且几乎所有CoreOS Linux设置都使用ssh密钥。