Alle vi som har administrert og brukt Windows- eller Mac -datamaskiner har trengt å aktivere eller deaktivere administrator eller root -bruker. I dag må vi vite hvordan vi gjør det i en Linux -distro, kall det Fedora, Debian, Ubuntu, osv., Vi vet viktigheten og omfanget av rotbrukeren i systemet siden denne brukeren har fullmakt til å administrere operativsystemet fullt ut uten noen begrensning.
Dette er viktig for våre roller som administratorer, men det kan være en farlig ting for hele infrastrukturen hvis den manipuleres på feil måte av mennesker uten autorisasjon eller uten nødvendig kunnskap.
Vi vet at i noen Linux -distroer kan en bruker ikke ha tilgang til å være en rotbruker, så vi må forhåndsbetrekke begrepet sudo slik at kommandoen vi utfører kan behandles riktig, men noen oppgaver må utføres utelukkende som root av sikkerhet og ikke bare med sudo.
Å ha en root -bruker innebærer risiko da det har absolutte privilegier over systemendringer. Denne kontoen må være godt beskyttet, noe problematisk hvis vi glemmer passordet vårt. En detalj i noen Linux -distroer er at rotkontoen er deaktivert som standard, noe som fører til bruk av sudo -kommandoen. Men hvis vi foretrekker at kontoen vår er root uten å måtte bruke denne kommandoen, kan vi aktivere den direkte.
I dag skal vi se hvordan vi kan fjerne denne rotbrukeren fra Linux -miljøene våre for å unngå denne typen ulemper. Selv om vi viser deg hvordan du gjør det for enhver distro, her er et eksempel på hvordan du gjør det i Ubuntu:
Husk også at i UNIX -operativsystemer snakker vi spesielt om Linux, vi kan opprette brukere med administrative tillatelser, men brukeren som har mer makt over de andre og som er veldig forsiktig med å håndtere det, er rotbrukeren som kan aktiveres eller bruk tillatelsene ved å prefikere sudo, men hvis det håndteres på feil måte, kan det utvilsomt ha negative konsekvenser både for strukturen i systemet og for informasjonen eller tjenestene som er vert der.
Rotbrukeren har tilgang til alle kommandoer og filer med full lese-, skrive- eller utføre tillatelser og kan brukes til å utføre alle typer oppgaver i operativsystemet, for eksempel for å opprette, oppdatere eller slette andre brukerkontoer, samt installere, oppdatere eller fjern programvarepakker der konsekvensene kan være drastiske.
En god praksis, hvis informasjonen er sensitiv eller konfidensiell, er å deaktivere Linux -rotbrukeren, men for dette må vi ha en konto som har administrative privilegier som sudo -kommandoen kan brukes til å oppnå rotbrukerrettigheter.
For eksempel kan vi opprette en konto som denne:
useradd -m -c "Solvetic" admin passwd adminMed kommandoen useradd oppretter vi brukeren, parameteren -m betyr at vi skal opprette brukerens hjemmekatalog og parameteren -c lar oss spesifisere en kommentar for denne brukeren.
Etter dette må vi legge brukeren til gruppen systemadministratorer ved å bruke kommandoen usermod, med bryteren -a som legger til brukerkontoen og -G som spesifiserer en gruppe for å legge til brukeren:
usermod -aG wheel admin (CentOS / RHEL) usermod -aG sudo admin (Debian / Ubuntu)Solvetic vil forklare de forskjellige måtene å deaktivere denne brukeren på Linux. (også en for å aktivere den).
1. Aktiver root -bruker på Linux
Vi starter med måten å vite hvordan du aktiverer en rotbruker.
Trinn 1
Hvis vi etter å ha deaktivert rotbrukeren en stund må bruke den igjen, kan vi aktivere den igjen i systemet ved å bruke følgende kommando:
sudo passwd rootMed den kommandoen vil det bli gjort.
Steg 2
I vinduet som vises må vi opprette et passord for rotbrukeren.
2. Deaktiver rotbruker og fjern passord i Linux
Trinn 1
For å utføre denne prosessen må vi endre brukeren som vi har logget på rotbrukeren med. For dette utfører vi følgende kommando og angir administratorpassordet vårt.
sudo -s
Steg 2
Når vi er som rotbrukere, må vi utføre følgende kommando for å fjerne rotpassordet:
passwd --lås rot
Trinn 3
Denne kommandoen lar oss deaktivere tilgangen til rotbrukeren fullstendig, for å sjekke den vil vi prøve å skrive inn som rotbruker ved å skrive inn passordet vårt, og vi vil se følgende:
Trinn 4
Et annet av sikkerhetsalternativene som vi kan bruke med rotbrukeren, er å endre sitt nåværende passord ved å bruke kommandoen:
passwd -d rootMed denne kommandoen ville det blitt gjort.
3. Deaktiver rotbruker fra Shell
Den enkleste måten å deaktivere root -brukerpålogging er å endre skallet fra / bin / bash eller / bin / bash -katalogen til / sbin / nologin, i / etc / passwd -filen som kan åpnes med hvilken som helst editor.:
sudo nano / etc / passwdVi vil se følgende:
FORSTØRRE
Der må vi endre linjeroten: x: 0: 0: root: / root: / bin / bash av root: x: 0: 0: root: / root: / sbin / nologin:
FORSTØRRE
Vi lagrer endringene ved hjelp av Ctrl + O -tastene og avslutter editoren med Ctrl + X.
Fra nå av, når rotbrukeren logger på, vil meldingen "Denne kontoen er for øyeblikket ikke tilgjengelig" bli sett, dette er standardmeldingen, men hvis vi vil endre den og konfigurere en tilpasset melding, kan vi gjøre det i / etc / nologin -fil. txt.
4. Deaktiver rotbruker via Console Device (TTY)
Denne metoden bruker en PAM -modul som kalles pam_securetty som bare tillater root -tilgang hvis brukeren logger på en sikker TTY, som definert i oppføringen i:
/ etc / securettyMed denne forrige filen vil det være mulig å spesifisere på hvilke TTY -enheter rotbrukeren skal ha lov til å logge på, slik at hvis vi forlater denne filen, vil pålogging bli forhindret fra en tilkoblet enhet.
For å lage en tom fil, utfører vi følgende:
sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettyMed den vil den bli opprettet.
FORSTØRRE
Denne metoden gjelder bare for skjermledere som gdm, kdm og xdm) og andre nettverkstjenester som starter en TTY, men for andre programmer som su, sudo, ssh vil rotkontoen få tilgang.
5. Deaktiver root boot via SSH
Det er en vanlig metode for å få tilgang som root via SSH, så for å blokkere påloggingen til rotbrukeren, vil det være nødvendig å redigere filen / etc / ssh / sshd_config:
sudo nano / etc / ssh / sshd_configDer må vi kommentere linjen "PermitRootLogin" og sette verdien til nei.
FORSTØRRE
Etter dette må vi oppdatere endringen ved hjelp av en av følgende linjer:
sudo systemctl start sshd på nyttELLER
sudo service sshd omstartMed det vil det bli gjort.
6. Deaktiver roten via PAM
PAM (Pluggable Authentication Modules), er en sentralisert, modulær og fleksibel godkjenningsmetode på Linux -systemer. PAM, i modulen /lib/security/pam_listfile.so, lar deg utføre visse oppgaver for å begrense privilegiene til bestemte kontoer.
I denne modulen vil det være mulig å opprette en liste over brukere som ikke får lov til å logge inn via noen måltjenester som pålogging, ssh og ethvert program som er kompatibelt med PAM.
For å oppnå dette må vi få tilgang til og redigere filen for destinasjonstjenesten i /etc/pam.d/ katalogen med ett av følgende alternativer:
sudo nano /etc/pam.d/loginELLER
sudo nano /etc/pam.d/sshdDer vil vi legge til følgende:
author kreves pam_listfile.so \ onerr = success item = user sense = nekte fil = / etc / ssh / nektbrukere
FORSTØRRE
Vi lagrer endringene og avslutter redaktøren.
Nå skal vi lage flatfilen / etc / ssh / denususers som må inneholde ett element per linje og ikke være tilgjengelig for andre brukere:
sudo nano / etc / ssh / denususersVi fortsetter med å gi tillatelser:
sudo chmod 600 / etc / ssh / denususersMed noen av disse metodene har vi deaktivert rotbrukeren i Linux.
Vi har sett hvordan vi kan oppnå denne sikkerhetsfordelen etter å ha deaktivert rotbrukeren, men vi må gjøre dette om nødvendig siden hvis ikke mange brukere har tilgang til systemet vårt eller vi vet at personene som får tilgang er klarert og autorisert, er det ikke nødvendig å utføre denne oppgaven. Hvis vi fortsatt trenger det igjen, har du allerede sett hvor enkelt det er å aktivere denne rotbrukeren på nytt i en av seksjonene.
Kanskje du også har befunnet deg i en situasjon med å måtte deaktivere rotbrukeren i Ubuntu, og her vil du se en enkel måte å gjøre det på.
