Всички ние, които сме управлявали и използвали компютри с Windows или Mac, се нуждаем от активиране или деактивиране на администратор или root потребител. Днес трябва да знаем как да го направим в дистрибуция на Linux, да го наречем Fedora, Debian, Ubuntu и т.н., ние знаем важността и обхвата на root потребителя в системата, тъй като този потребител има правото да управлява напълно операционната система без всяко ограничение.
Това е важно за нашите роли като администратори, но може да бъде опасно за цялата инфраструктура, ако се манипулира по грешен начин от хора без разрешение или без необходимите знания.
Знаем, че в някои дистрибуции на Linux потребителят не може да има достъп до root потребител, затова трябва да добавим предварително термина sudo, за да може командата, която изпълняваме, да бъде обработена правилно, но някои задачи трябва да се изпълняват изключително като root от защитата, а не само със sudo.
Наличието на root потребител включва рискове, тъй като има абсолютни привилегии пред системните промени. Този акаунт трябва да бъде добре защитен, нещо проблематично, ако забравим паролата си. Детайл в някои дистрибуции на Linux е, че основният акаунт е деактивиран по подразбиране, което води до използването на командата sudo. Но ако предпочитаме акаунтът ни да е root, без да се налага да използваме тази команда, можем да я активираме директно.
Днес ще видим как можем да премахнем този root потребител от нашите Linux среди, за да избегнем този тип неудобства. Въпреки че ви показваме как да го направите за всеки дистрибутор, ето пример за това как да го направите в Ubuntu:
Също така имайте предвид, че в операционните системи UNIX, говорим конкретно за Linux, можем да създаваме потребители с административни разрешения, но потребителят, който има повече власт над останалите и който е много внимателен да се справи с него, е root потребителят, който може да бъде активиран или използвайте разрешенията му, като поставите префикс sudo, но ако се обработва по грешен начин, това несъмнено може да причини отрицателни въздействия както върху структурата на системата, така и върху информацията или услугите, хоствани там.
Потребителят root има достъп до всички команди и файлове с пълни разрешения за четене, писане или изпълнение и може да се използва за изпълнение на всякакъв вид задачи в операционната система, като например за създаване, актуализиране или изтриване на други потребителски акаунти, както и за инсталиране, актуализиране или премахнете софтуерни пакети, с които последствията могат да бъдат драстични.
Добра практика, в случай че информацията е чувствителна или поверителна, е да деактивирате потребителя на root на Linux, но за това трябва да имаме акаунт, който има административни права, с които командата sudo може да се използва за получаване на права на root потребител.
Например, можем да създадем акаунт по следния начин:
useradd -m -c "Solvetic" администратор passwd администраторС командата useradd създаваме потребителя, параметърът -m означава, че ще създадем домашна директория на потребителя, а параметърът -c ни позволява да посочим коментар за този потребител.
След това трябва да добавим потребителя към групата на системните администратори, използвайки командата usermod, с превключвателя -a, който добавя потребителския акаунт и -G, който посочва група за добавяне на потребителя:
usermod -aG администратор на колело (CentOS / RHEL) usermod -aG sudo администратор (Debian / Ubuntu)Solvetic ще обясни различните начини за деактивиране на този потребител в Linux. (също един за активиране).
1. Активирайте root потребител в Linux
Започваме с начина да знаем как да активираме root потребител.
Етап 1
Ако след като деактивирахме root потребителя за известно време, трябва да го използваме отново, можем да го активираме отново в системата, като използваме следната команда:
sudo passwd rootС тази команда ще бъде направено.
Стъпка 2
В показания прозорец трябва да установим парола за root потребителя.
2. Деактивирайте root потребителя и премахнете паролата в Linux
Етап 1
За да изпълним този процес, трябва да сменим потребителя, с който сме влезли в root потребителя, за това изпълняваме следната команда и въвеждаме администраторската си парола.
sudo -s
Стъпка 2
След като сме като root потребители, трябва да изпълним следната команда, за да премахнем root паролата:
passwd -root root
Стъпка 3
Тази команда ще ни позволи напълно да деактивираме достъпа до root потребителя, за да го проверим, ще се опитаме да въведем като root потребител, като въведем паролата си и ще видим следното:
Стъпка 4
Друга опция за защита, която можем да използваме с root потребителя, е да променим текущата им парола с помощта на командата:
passwd -d коренС тази команда щеше да стане.
3. Деактивирайте root потребителя от Shell
Най -простият начин да деактивирате влизането на root потребител е да промените черупката си от директорията / bin / bash или / bin / bash на / sbin / nologin, във файла / etc / passwd, който може да бъде отворен с всеки редактор.:
sudo nano / etc / passwdЩе видим следното:
Увеличете
Там трябва да променим корена на реда: x: 0: 0: root: / root: / bin / bash от root: x: 0: 0: root: / root: / sbin / nologin:
Увеличете
Запазваме промените с помощта на клавишите Ctrl + O и излизаме от редактора с помощта на Ctrl + X.
Отсега нататък, когато главният потребител влезе, ще се види съобщението „Този акаунт в момента е недостъпен“, това е съобщението по подразбиране, но ако искаме да го променим и конфигурираме персонализирано съобщение, можем да го направим в / etc / nologin файл. txt.
4. Деактивиране на root потребител чрез конзолно устройство (TTY)
Този метод използва PAM модул, наречен pam_securetty, който позволява root достъп само ако потребителят влиза в защитен TTY, както е дефинирано в списъка в:
/ etc / securettyС този предишен файл ще бъде възможно да се посочи в кои TTY устройства на root потребителя ще бъде разрешено да влезе, така че, ако освободим този файл, влизането ще бъде предотвратено от всяко свързано устройство.
За да създадем празен файл, изпълняваме следното:
sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettyС него ще бъде създаден.
Увеличете
Този метод се прилага само за екранни мениджъри като gdm, kdm и xdm) и други мрежови услуги, които стартират TTY, но за други програми като su, sudo, ssh ще се осъществи достъп до root акаунта.
5. Деактивирайте зареждането на root чрез SSH
Това е често срещан метод за достъп като root чрез SSH, така че за да блокирате влизането на root потребителя, ще е необходимо да редактирате / etc / ssh / sshd_config файла:
sudo nano / etc / ssh / sshd_configТам трябва да декомментираме реда "PermitRootLogin" и да зададем стойността му на не.
Увеличете
След това трябва да актуализираме промяната, използвайки някой от следните редове:
sudo systemctl рестартирайте sshdИЛИ
sudo услуга sshd рестартиранеС него ще бъде направено.
6. Деактивирайте root чрез PAM
PAM (Pluggable Authentication Modules), е централизиран, модулен и гъвкав метод за удостоверяване в Linux системи. PAM, в модула /lib/security/pam_listfile.so, ви позволява да изпълнявате определени задачи, за да ограничите привилегиите на конкретни акаунти.
В този модул ще бъде възможно да се създаде списък с потребители, на които няма да бъде разрешено да влизат чрез някои целеви услуги, като например вход, ssh и всяка програма, съвместима с PAM.
За да постигнем това, трябва да получим достъп и да редактираме файла за целевата услуга в директорията /etc/pam.d/ с една от следните опции:
sudo nano /etc/pam.d/loginИЛИ
sudo nano /etc/pam.d/sshdТам ще добавим следното:
auth изисква pam_listfile.so \ onerr = успешен елемент = потребителски разум = отказ на файл = / etc / ssh / отказани потребители
Увеличете
Запазваме промените и излизаме от редактора.
Сега ще създадем плоския файл / etc / ssh / отказани потребители, който трябва да съдържа един елемент на ред и да не е достъпен за други потребители:
sudo nano / etc / ssh / disabledusersПродължаваме да предоставяме разрешения:
sudo chmod 600 / etc / ssh / disabledusersС някой от тези методи деактивирахме root потребителя в Linux.
Видяхме как можем да получим това предимство в сигурността, като деактивирахме root потребителя, но трябва да направим това, ако е необходимо, тъй като ако нашата система не е достъпна от много потребители или знаем, че хората, които имат достъп, са доверени и оторизирани, не е необходимо изпълнете тази задача. Ако все още имаме нужда от него, вече видяхте колко лесно е да активирате отново този root потребител в един от разделите.
Може би сте се оказали и в ситуация, в която трябва да деактивирате root потребителя в Ubuntu и тук ще видите прост начин да го направите.