Для реализации собственной политики безопасности, определяющей пользователей, ключи SSH и конфигурацию sudo в пользовательских шаблонах на основе официальных образов в Google Cloud, необходимо отключить службу учетных записей Google, чтобы это не мешало.
Служба учетных записей Google управляет учетными записями пользователей в экземплярах Google Compute Engine.
Jun 24 09:59:46 intance-test-2 instance-setup: INFO Running google_set_multiqueue. Jun 24 09:59:47 intance-test-2 google-clock-skew: INFO Starting Google Clock Skew daemon. Jun 24 09:59:47 intance-test-2 google-clock-skew: INFO Clock drift token has changed: 0. Jun 24 09:59:47 intance-test-2 google-networking: INFO Starting Google Networking daemon. Jun 24 09:59:47 intance-test-2 google-accounts: INFO Starting Google Accounts daemon. Jun 24 09:59:47 intance-test-2 google-accounts: INFO Creating a new user account for pgorecki. Jun 24 09:59:48 intance-test-2 google-clock-skew: INFO Synced system time with hardware clock. Jun 24 09:59:48 intance-test-2 google-accounts: INFO Creating a new user account for milosz. Jun 24 09:59:48 intance-test-2 google-accounts: INFO Created user account milosz. Jun 24 09:59:48 intance-test-2 google-accounts: INFO Adding user milosz to the Google sudoers group. Jun 24 09:59:48 intance-test-2 google_accounts_daemon: Adding user milosz to group google-sudoers
Это также добавит пользователей в группу google-sudoers.
groups milosz google-sudoers
Что обеспечивает простой способ получить полный доступ к системе.
$ sudo cat /etc/sudoers.d/google_sudoers %google-sudoers ALL=(ALL:ALL) NOPASSWD:ALL
$ sudo -l Matching Defaults entries for milosz on instance-blog-2: !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin User milosz may run the following commands on instance-blog-2: (ALL : ALL) NOPASSWD: ALL
Чтобы отключить демон учетных записей Google, создайте /etc/default/instance_configs.cfg.template файл шаблона конфигурации и установите для account_daemon значение false.
Я предполагаю, что вы создаете образ или шаблон на основе официальных образов Google Cloud.
$ cat /etc/default/instance_configs.cfg.template
[Daemons] accounts_daemon = false
Восстановите файл конфигурации /etc/default/instance_configs.cfg.
$ sudo /usr/bin/google_instance_setup
Проверьте этот файл конфигурации.
$ cat /etc/default/instance_configs.cfg
# This file is automatically created at boot time by the /usr/lib/python # 2.7/site-packages/google_compute_engine/instance_setup/instance_config # .pyc script. Do not edit this file directly. If you need to add items # to this file, create or edit # /etc/default/instance_configs.cfg.template instead and then run # /usr/bin/google_instance_setup. [Accounts] deprovision_remove = false gpasswd_add_cmd = gpasswd -a {user} {group} gpasswd_remove_cmd = gpasswd -d {user} {group} groupadd_cmd = groupadd {group} groups = adm,dip,docker,lxd,plugdev,video useradd_cmd = useradd -m -s /bin/bash -p * {user} userdel_cmd = userdel -r {user} usermod_cmd = usermod -G {groups} {user} [Daemons] accounts_daemon = false clock_skew_daemon = true ip_forwarding_daemon = true network_daemon = true [Instance] instance_id = 8326045414360301718 [InstanceSetup] host_key_types = ecdsa,ed25519,rsa network_enabled = true optimize_local_ssd = true set_boto_config = true set_host_keys = true set_multiqueue = true [IpForwarding] ethernet_proto_id = 66 ip_aliases = true target_instance_ips = true [MetadataScripts] default_shell = /bin/bash run_dir = shutdown = true startup = true [NetworkInterfaces] dhclient_script = /sbin/google-dhclient-script dhcp_command = ip_forwarding = true setup = true
Остановите службу google-accounts-daemon.
$ sudo systemctl stop google-accounts-daemon
Отключите службу google-accounts-daemon.
$ sudo systemctl disable google-accounts-daemon
Он будет отключен и не запустится при загрузке.
Jun 24 11:47:54 intance-test-2 instance-setup: INFO Running google_set_multiqueue. Jun 24 11:47:54 intance-test-2 google-clock-skew: INFO Starting Google Clock Skew daemon. Jun 24 11:47:54 intance-test-2 google-clock-skew: INFO Clock drift token has changed: 0. Jun 24 11:47:54 intance-test-2 google-networking: INFO Starting Google Networking daemon. Jun 24 11:47:55 intance-test-2 google-clock-skew: INFO Synced system time with hardware clock.
Вы можете использовать этот экземпляр как есть или создать собственный шаблон для общего использования примененной модификации.