Toți cei care am gestionat și utilizat computerele Windows sau Mac, au avut nevoie să activăm sau să dezactivăm administratorul sau utilizatorul root. Astăzi trebuie să știm cum să o facem într-o distribuție Linux, să o numim Fedora, Debian, Ubuntu, etc. orice restricție.
Acest lucru este important pentru rolurile noastre de administratori, dar poate fi un lucru periculos pentru întreaga infrastructură dacă este manipulată într-un mod greșit de către oameni fără autorizație sau fără cunoștințele necesare.
Știm că în unele distribuții Linux un utilizator nu poate avea acces la a fi un utilizator root, așa că trebuie să anticipăm termenul sudo astfel încât comanda pe care o executăm să poată fi procesată corect, dar unele sarcini trebuie executate exclusiv ca root de securitate și nu doar cu sudo.
A avea un utilizator root implică riscuri, deoarece are privilegii absolute asupra schimbărilor de sistem. Acest cont trebuie să fie bine protejat, ceva problematic dacă ne uităm parola. Un detaliu în unele distribuții Linux este că contul root este dezactivat în mod implicit, ceea ce duce la utilizarea comenzii sudo. Dar dacă preferăm ca contul nostru să fie root fără a fi nevoie să folosim această comandă, îl putem activa direct.
Astăzi vom vedea cum putem elimina acest utilizator root din mediile noastre Linux pentru a evita acest tip de neplăceri. Deși vă arătăm cum să o faceți pentru orice distribuție, iată un exemplu de cum să o faceți în Ubuntu:
Rețineți, de asemenea, că în sistemele de operare UNIX, vorbim în mod specific despre Linux, putem crea utilizatori cu permisiuni administrative, dar utilizatorul care are mai multă putere asupra celorlalți și care este foarte atent să se ocupe de acesta este utilizatorul root care poate fi activat sau utilizați permisiunile prin prefixarea sudo, dar dacă este tratat în mod greșit, poate provoca, fără îndoială, efecte negative atât asupra structurii sistemului, cât și asupra informațiilor sau serviciilor găzduite acolo.
Utilizatorul root are acces la toate comenzile și fișierele cu permisiuni complete de citire, scriere sau executare și poate fi utilizat pentru a executa orice tip de sarcină din sistemul de operare, cum ar fi crearea, actualizarea sau ștergerea altor conturi de utilizator, precum și instalarea, actualizarea sau eliminați pachetele software cu care consecințele pot fi drastice.
O bună practică, în cazul în care informațiile sunt sensibile sau confidențiale, este dezactivarea utilizatorului root Linux, dar pentru aceasta trebuie să avem un cont care are privilegii administrative cu care comanda sudo poate fi utilizată pentru a obține privilegii utilizator root.
De exemplu, putem crea un cont ca acesta:
useradd -m -c "Solvetic" admin passwd adminCu comanda useradd creăm utilizatorul, parametrul -m înseamnă că vom crea directorul principal al utilizatorului, iar parametrul -c ne permite să specificăm un comentariu pentru acest utilizator.
După aceasta, trebuie să adăugăm utilizatorul la grupul de administratori de sistem folosind comanda usermod, cu comutatorul -a care adaugă contul de utilizator și -G care specifică un grup pentru a adăuga utilizatorul:
usermod -aG roată admin (CentOS / RHEL) usermod -aG sudo admin (Debian / Ubuntu)Solvetic va explica diferitele moduri de a dezactiva acest utilizator pe Linux. (și unul pentru a-l activa).
1. Activați utilizatorul root pe Linux
Începem cu modul de a ști cum să activăm un utilizator root.
Pasul 1
Dacă după ce am dezactivat utilizatorul root pentru o vreme, trebuie să-l folosim din nou, îl putem activa din nou în sistem folosind următoarea comandă:
rădăcină sudo passwdCu această comandă se va face.
Pasul 2
În fereastra afișată trebuie să stabilim o parolă pentru utilizatorul root.
2. Dezactivați utilizatorul root și eliminați parola în Linux
Pasul 1
Pentru a executa acest proces trebuie să schimbăm utilizatorul cu care ne-am conectat la utilizatorul root, pentru aceasta executăm următoarea comandă și introducem parola de administrator.
sudo -s
Pasul 2
Odată ce suntem utilizatori root trebuie să executăm următoarea comandă pentru a elimina parola root:
passwd --lock root
Pasul 3
Această comandă ne va permite să dezactivăm complet accesul la utilizatorul root, pentru a-l verifica vom încerca să intrăm ca utilizator root introducând parola noastră și vom vedea următoarele:
Pasul 4
O altă opțiune de securitate pe care o putem folosi cu utilizatorul root este modificarea parolei curente folosind comanda:
passwd -d rădăcinăCu această comandă s-ar face.
3. Dezactivați utilizatorul root din Shell
Cel mai simplu mod de a dezactiva autentificarea utilizatorului root este să vă schimbați shell-ul din directorul / bin / bash sau / bin / bash în / sbin / nologin, în fișierul / etc / passwd care poate fi deschis cu orice editor:
sudo nano / etc / passwdVom vedea următoarele:
MARI
Acolo trebuie să schimbăm rădăcina de linie: x: 0: 0: root: / root: / bin / bash by root: x: 0: 0: root: / root: / sbin / nologin:
MARI
Salvăm modificările folosind tastele Ctrl + O și ieșim din editor folosind Ctrl + X.
De acum înainte, când utilizatorul root se conectează, va fi afișat mesajul „Acest cont este indisponibil în prezent”, acesta este mesajul implicit, dar dacă vrem să-l schimbăm și să configurăm un mesaj personalizat îl putem face în / etc / fișier nologin. txt.
4. Dezactivați utilizatorul root prin Console Device (TTY)
Această metodă folosește un modul PAM numit pam_securetty care permite accesul root numai dacă utilizatorul se conectează la un TTY securizat, așa cum este definit în listă în:
/ etc / securettyCu acest fișier anterior va fi posibil să specificați în ce dispozitive TTY utilizatorul root va fi permis să se conecteze, astfel încât, dacă renunțăm la acest fișier, autentificarea va fi împiedicată de pe orice dispozitiv conectat.
Pentru a crea un fișier gol, executăm următoarele:
sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettyCu el va fi creat.
MARI
Această metodă se aplică numai managerilor de ecran precum gdm, kdm și xdm) și altor servicii de rețea care pornesc un TTY, dar pentru alte programe precum su, sudo, ssh va fi accesat contul root.
5. Dezactivați boot-ul root prin SSH
Este o metodă obișnuită de a accesa ca root prin SSH, deci pentru a bloca autentificarea utilizatorului root, va fi necesar să editați fișierul / etc / ssh / sshd_config:
sudo nano / etc / ssh / sshd_configAcolo trebuie să decomentăm linia „PermitRootLogin” și să setăm valoarea sa la nr.
MARI
După aceasta, trebuie să actualizăm modificarea utilizând oricare dintre următoarele linii:
sudo systemctl reporniți sshdSAU
sudo service sshd repornițiCu ea se va face.
6. Dezactivați rootul prin PAM
PAM (Pluggable Authentication Modules), este o metodă de autentificare centralizată, modulară și flexibilă pe sistemele Linux. PAM, în modulul /lib/security/pam_listfile.so, vă permite să efectuați anumite sarcini pentru a limita privilegiile anumitor conturi.
În acest modul va fi posibil să se stabilească o listă a utilizatorilor cărora nu li se va permite să se conecteze prin intermediul unor servicii țintă precum login, ssh și orice program compatibil cu PAM.
Pentru a realiza acest lucru, trebuie să accesăm și să edităm fișierul pentru serviciul de destinație din directorul /etc/pam.d/ cu una dintre următoarele opțiuni:
sudo nano /etc/pam.d/loginSAU
sudo nano /etc/pam.d/sshdAcolo vom adăuga următoarele:
autentificare necesară pam_listfile.so \ onerr = succes item = user sense = refuz fișier = / etc / ssh / denusersers
MARI
Salvăm modificările și ieșim din editor.
Acum vom crea fișierul plat / etc / ssh / refuseusers care trebuie să conțină un element pe linie și să nu fie accesibil de către alți utilizatori:
sudo nano / etc / ssh / refuseusersContinuăm să acordăm permisiuni:
sudo chmod 600 / etc / ssh / denususersCu oricare dintre aceste metode, am dezactivat utilizatorul root în Linux.
Am văzut cum putem obține acest avantaj de securitate dezactivând utilizatorul root, dar trebuie să facem acest lucru dacă este necesar, deoarece dacă sistemul nostru nu este accesat de mulți utilizatori sau știm că persoanele care accesează sunt de încredere și autorizate, nu este necesar să executați această sarcină. Dacă încă mai avem nevoie de el, ați văzut deja cât de ușor este să reactivați acest utilizator root într-una dintre secțiuni.
Poate că v-ați găsit și în situația de a fi nevoit să dezactivați utilizatorul root în Ubuntu și aici veți vedea o modalitate simplă de a o face.