Alle os, der har administreret og brugt Windows- eller Mac -computere, har haft brug for at aktivere eller deaktivere administrator eller root -bruger. I dag er vi nødt til at vide, hvordan man gør det i en Linux -distro, kalder det Fedora, Debian, Ubuntu osv., Vi kender rodbrugerens betydning og omfang inden for systemet, da denne bruger har magt til fuldt ud at styre operativsystemet uden enhver begrænsning.
Dette er vigtigt for vores roller som administratorer, men det kan være en farlig ting for hele infrastrukturen, hvis den manipuleres på en forkert måde af mennesker uden autorisation eller uden den nødvendige viden.
Vi ved, at i nogle Linux -distros kan en bruger ikke have adgang til at være en rodbruger, så vi skal forberede udtrykket sudo, så den kommando, vi udfører, kan behandles korrekt, men nogle opgaver skal udføres udelukkende som root af sikkerhed og ikke kun med sudo.
At have en root -bruger indebærer risici, da det har absolutte privilegier i forhold til systemændringer. Denne konto skal være godt beskyttet, noget problematisk, hvis vi glemmer vores kodeord. En detalje i nogle Linux -distros er, at rodkontoen som standard er deaktiveret, noget der fører til brugen af sudo -kommandoen. Men hvis vi foretrækker, at vores konto er root uden at skulle bruge denne kommando, kan vi aktivere den direkte.
I dag vil vi se, hvordan vi kan fjerne denne rodbruger fra vores Linux -miljøer for at undgå denne form for gener. Selvom vi viser dig, hvordan du gør det for enhver distro, er her et eksempel på, hvordan du gør det i Ubuntu:
Husk også, at i UNIX -operativsystemer taler vi specifikt om Linux, vi kan oprette brugere med administrative tilladelser, men brugeren, der har mere magt over de andre, og som er meget omhyggelig med at håndtere det, er rodbrugeren, der kan aktiveres eller bruge dens tilladelser ved at præfiksere sudo, men hvis det håndteres på en forkert måde, kan det utvivlsomt forårsage negative virkninger både på systemets struktur og på de oplysninger eller tjenester, der hostes der.
Rodbrugeren har adgang til alle kommandoer og filer med fuld læse-, skrive- eller eksekveringstilladelser og kan bruges til at udføre enhver form for opgave i operativsystemet, f.eks. Til at oprette, opdatere eller slette andre brugerkonti samt installere, opdatere eller fjern softwarepakker, som konsekvenserne kan være drastiske med.
En god praksis, hvis oplysningerne er følsomme eller fortrolige, er at deaktivere Linux -rodbrugeren, men til dette skal vi have en konto, der har administrative rettigheder, som sudo -kommandoen kan bruges til at opnå root -brugerrettigheder.
For eksempel kan vi oprette en konto som denne:
useradd -m -c "Solvetic" admin passwd adminMed kommandoen useradd opretter vi brugeren, parameteren -m betyder, at vi skal oprette brugerens hjemmemappe, og -c -parameteren giver os mulighed for at specificere en kommentar til denne bruger.
Herefter skal vi tilføje brugeren til gruppen af systemadministratorer ved hjælp af usermod -kommandoen med switch -a, der tilføjer brugerkontoen og -G, der angiver en gruppe, der skal tilføjes brugeren:
usermod -aG hjul admin (CentOS / RHEL) usermod -aG sudo admin (Debian / Ubuntu)Solvetic vil forklare de forskellige måder at deaktivere denne bruger på Linux. (også en for at aktivere den).
1. Aktiver root -bruger på Linux
Vi starter med måden at vide, hvordan man aktiverer en rodbruger.
Trin 1
Hvis vi efter at have deaktiveret rodbrugeren et stykke tid skal bruge den igen, kan vi aktivere den igen i systemet ved hjælp af følgende kommando:
sudo passwd rootMed den kommando vil det blive gjort.
Trin 2
I det viste vindue skal vi oprette et kodeord til rodbrugeren.
2. Deaktiver root -bruger, og fjern adgangskode i Linux
Trin 1
For at udføre denne proces skal vi ændre den bruger, som vi har logget på root -brugeren med, for dette udfører vi følgende kommando og indtaster vores administratoradgangskode.
sudo -s
Trin 2
Når vi er som root -brugere, skal vi udføre følgende kommando for at fjerne root -adgangskoden:
passwd -lås rod
Trin 3
Denne kommando giver os mulighed for helt at deaktivere adgangen til rodbrugeren, for at kontrollere det vil vi prøve at indtaste som root -bruger ved at indtaste vores adgangskode, og vi vil se følgende:
Trin 4
En anden af de sikkerhedsmuligheder, vi kan bruge med rodbrugeren, er at ændre deres nuværende adgangskode ved hjælp af kommandoen:
passwd -d rootMed denne kommando ville det blive gjort.
3. Deaktiver rodbruger fra Shell
Den enkleste måde at deaktivere rodbruger -login er at ændre din shell fra / bin / bash eller / bin / bash biblioteket til / sbin / nologin i filen / etc / passwd, som kan åbnes med enhver editor.:
sudo nano / etc / passwdVi vil se følgende:
FORSTØRRE
Der skal vi ændre linieroden: x: 0: 0: root: / root: / bin / bash ved root: x: 0: 0: root: / root: / sbin / nologin:
FORSTØRRE
Vi gemmer ændringerne ved hjælp af Ctrl + O -tasterne og afslutter editoren med Ctrl + X.
Fra nu af, når rodbrugeren logger ind, vises meddelelsen "Denne konto er i øjeblikket ikke tilgængelig", dette er standardmeddelelsen, men hvis vi vil ændre det og konfigurere en brugerdefineret meddelelse, kan vi gøre det i / etc / nologin -fil. txt.
4. Deaktiver root -bruger via Console Device (TTY)
Denne metode gør brug af et PAM -modul kaldet pam_securetty, som kun tillader root -adgang, hvis brugeren logger på en sikker TTY, som defineret i fortegnelsen i:
/ etc / securettyMed denne tidligere fil vil det være muligt at angive i hvilke TTY -enheder, root -brugeren får lov til at logge ind, så hvis vi forlader denne fil, forhindres login fra enhver tilsluttet enhed.
For at oprette en tom fil udfører vi følgende:
sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettyMed det vil det blive skabt.
FORSTØRRE
Denne metode gælder kun for skærmadministratorer som gdm, kdm og xdm) og andre netværkstjenester, der starter en TTY, men for andre programmer som su, sudo, ssh får du adgang til rodkontoen.
5. Deaktiver root boot via SSH
Det er en almindelig metode til at få adgang som root via SSH, så for at blokere root -brugerens login er det nødvendigt at redigere filen / etc / ssh / sshd_config:
sudo nano / etc / ssh / sshd_configDer skal vi fjerne kommentaren til linjen "PermitRootLogin" og indstille dens værdi til nr.
FORSTØRRE
Herefter skal vi opdatere ændringen ved hjælp af en af følgende linjer:
sudo systemctl genstart sshdELLER
sudo service sshd genstartMed det vil det blive gjort.
6. Deaktiver root via PAM
PAM (Pluggable Authentication Modules), er en centraliseret, modulær og fleksibel godkendelsesmetode på Linux -systemer. PAM i modulet /lib/security/pam_listfile.so giver dig mulighed for at udføre bestemte opgaver for at begrænse privilegierne for bestemte konti.
I dette modul vil det være muligt at oprette en liste over brugere, der ikke får lov til at logge ind via nogle måltjenester såsom login, ssh og ethvert program, der er kompatibelt med PAM.
For at opnå dette skal vi få adgang til og redigere filen til destinationstjenesten i biblioteket /etc/pam.d/ med en af følgende muligheder:
sudo nano /etc/pam.d/loginELLER
sudo nano /etc/pam.d/sshdDer tilføjer vi følgende:
autorisation kræves pam_listfile.so \ onerr = success item = user sense = benægte fil = / etc / ssh / fornyede brugere
FORSTØRRE
Vi gemmer ændringerne og forlader editoren.
Nu skal vi oprette den flade fil / etc / ssh / denususers, som skal indeholde et element pr. Linje og ikke skal være tilgængelig for andre brugere:
sudo nano / etc / ssh / denususersVi fortsætter med at give tilladelser:
sudo chmod 600 / etc / ssh / denususersMed nogen af disse metoder har vi deaktiveret root -brugeren i Linux.
Vi har set, hvordan vi kan opnå denne sikkerhedsfordel ved at deaktivere rodbrugeren, men vi skal gøre dette, hvis det er nødvendigt, for hvis mange brugere ikke har adgang til vores system, eller vi ved, at de mennesker, der har adgang, er tillid og autoriseret, er det ikke nødvendigt at udføre denne opgave. Hvis vi stadig har brug for det igen, har du allerede set, hvor let det er at genaktivere denne rodbruger i en af sektionerne.
Måske har du også befundet dig i en situation med at skulle deaktivere rodbrugeren i Ubuntu, og her vil du se en enkel måde at gøre det på.