Všichni, kdo jsme spravovali a používali počítače se systémem Windows nebo Mac, jsme potřebovali povolit nebo zakázat správce nebo uživatele root. Dnes musíme vědět, jak to udělat v distribuci Linuxu, říkat tomu Fedora, Debian, Ubuntu atd., Známe důležitost a rozsah uživatele root v systému, protože tento uživatel má pravomoc plně spravovat operační systém bez jakékoli omezení.
To je důležité pro naše role administrátorů, ale může to být nebezpečná věc pro celou infrastrukturu, pokud s ní neoprávněně manipulují lidé bez povolení nebo bez potřebných znalostí.
Víme, že v některých distribucích Linuxu nemůže mít uživatel přístup k tomu, aby byl uživatelem root, takže musíme předřadit termín sudo, aby příkaz, který provádíme, mohl být zpracován správně, ale některé úkoly musí být provedeny výlučně jako root z důvodu zabezpečení, a nikoli pouze se sudo.
Uživatel root má s sebou rizika, protože má absolutní oprávnění ke změnám systému. Tento účet musí být dobře chráněn, což je problematické, pokud zapomeneme heslo. Detail v některých distribucích Linuxu je, že kořenový účet je ve výchozím nastavení zakázán, což vede k použití příkazu sudo. Pokud ale dáváme přednost tomu, aby náš účet byl root, aniž bychom museli používat tento příkaz, můžeme jej přímo povolit.
Dnes uvidíme, jak můžeme tohoto uživatele root odstranit z našich prostředí Linux, abychom se vyhnuli tomuto typu nepříjemností. Ačkoli vám ukážeme, jak to udělat pro jakékoli distro, zde je příklad toho, jak to udělat v Ubuntu:
Také mějte na paměti, že v operačních systémech UNIX mluvíme konkrétně o Linuxu, můžeme vytvářet uživatele s oprávněními pro správu, ale uživatel, který má větší moc nad ostatními a který velmi opatrně zachází s ním, je uživatel root, kterého lze aktivovat nebo použít jeho oprávnění předponou sudo, ale pokud je zpracováno nesprávným způsobem, může to nepochybně způsobit negativní dopady jak na strukturu systému, tak na informace nebo služby, které jsou zde hostovány.
Kořenový uživatel má přístup ke všem příkazům a souborům s plným oprávněním ke čtení, zápisu nebo spouštění a lze jej použít ke spouštění jakéhokoli typu úlohy v operačním systému, jako je vytváření, aktualizace nebo mazání jiných uživatelských účtů a také instalace, aktualizace nebo odstranit softwarové balíčky, u nichž mohou být důsledky drastické.
Osvědčeným postupem v případě, že jsou informace citlivé nebo důvěrné, je deaktivace uživatele root systému Linux, ale k tomu musíme mít účet, který má oprávnění správce, pomocí kterého lze příkaz sudo použít k získání oprávnění uživatele root.
Účet můžeme vytvořit například takto:
useradd -m -c "Solvetic" admin passwd adminPomocí příkazu useradd vytvoříme uživatele, parametr -m znamená, že se chystáme vytvořit domovský adresář uživatele a parametr -c nám umožňuje určit pro tohoto uživatele komentář.
Poté musíme uživatele přidat do skupiny správců systému pomocí příkazu usermod s přepínačem -a, který přidá uživatelský účet, a -G, který určuje skupinu pro přidání uživatele:
usermod -aG wheel admin (CentOS / RHEL) usermod -aG sudo admin (Debian / Ubuntu)Solvetic vysvětlí různé způsoby, jak zakázat tohoto uživatele v systému Linux. (také jeden pro jeho aktivaci).
1. Povolit uživatele root v systému Linux
Začneme tím, jak zjistit, jak povolit uživatele root.
Krok 1
Pokud po chvíli deaktivujeme uživatele root a potřebujeme jej znovu použít, můžeme jej znovu povolit v systému pomocí následujícího příkazu:
sudo passwd rootS tímto příkazem to bude hotové.
Krok 2
V zobrazeném okně musíme nastavit heslo pro uživatele root.
2. V Linuxu deaktivujte uživatele root a odeberte heslo
Krok 1
K provedení tohoto procesu musíme změnit uživatele, se kterým jsme se přihlásili do kořenového uživatele, proto spustíme následující příkaz a zadáme heslo správce.
sudo -s
Krok 2
Jakmile jsme uživateli root, musíme provést následující příkaz k odstranění hesla root:
passwd --lock root
Krok 3
Tento příkaz nám umožní úplně zakázat přístup uživateli root, abychom jej zkontrolovali, pokusíme se zadat jako uživatel root zadáním hesla a uvidíme následující:
Krok 4
Další z možností zabezpečení, které můžeme použít s uživatelem root, je upravit jeho aktuální heslo pomocí příkazu:
passwd -d rootS tímto příkazem by to bylo hotové.
3. Zakázat uživatele root z prostředí Shell
Nejjednodušší způsob, jak zakázat přihlášení uživatele root, je změnit shell z adresáře / bin / bash nebo / bin / bash na / sbin / nologin v souboru / etc / passwd, který lze otevřít pomocí libovolného editoru.:
sudo nano / etc / passwdUvidíme následující:
ZVĚTŠIT
Zde musíme změnit řádek root: x: 0: 0: root: / root: / bin / bash podle root: x: 0: 0: root: / root: / sbin / nologin:
ZVĚTŠIT
Změny uložíme pomocí kláves Ctrl + O a editor ukončíme pomocí Ctrl + X.
Od této chvíle se při přihlášení uživatele root zobrazí zpráva „Tento účet je aktuálně nedostupný“, toto je výchozí zpráva, ale pokud ji chceme změnit a nakonfigurovat vlastní zprávu, můžeme to udělat v souboru / atd. / nologin soubor. txt.
4. Zakázat uživatele root pomocí zařízení konzoly (TTY)
Tato metoda využívá modul PAM nazvaný pam_securetty, který umožňuje root přístup pouze v případě, že se uživatel přihlašuje do zabezpečeného TTY, jak je definováno v seznamu v:
/ etc / securettyU tohoto předchozího souboru bude možné určit, do kterých zařízení TTY se bude moci root root přihlásit, takže pokud tento soubor uvolníme, bude přihlášení znemožněno z jakéhokoli připojeného zařízení.
Chcete -li vytvořit prázdný soubor, provedeme následující:
sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettyS ním bude vytvořen.
ZVĚTŠIT
Tato metoda platí pouze pro správce obrazovek, jako jsou gdm, kdm a xdm) a další síťové služby, které začínají s TTY, ale pro jiné programy, jako su, sudo, ssh, bude přístup k účtu root.
5. Zakažte root boot přes SSH
Je to běžný způsob přístupu jako root přes SSH, takže pro zablokování přihlášení uživatele root bude nutné upravit soubor / etc / ssh / sshd_config:
sudo nano / etc / ssh / sshd_configTam musíme odkomentovat řádek „PermitRootLogin“ a nastavit jeho hodnotu na no.
ZVĚTŠIT
Poté musíme změnu aktualizovat pomocí některého z následujících řádků:
sudo systemctl restartovat sshdNEBO
restartování služby sudo sshdS tím to bude hotové.
6. Zakažte root prostřednictvím PAM
PAM (Pluggable Authentication Modules) je centralizovaná, modulární a flexibilní metoda ověřování v systémech Linux. PAM v modulu /lib/security/pam_listfile.so vám umožňuje provádět určité úkoly a omezit oprávnění konkrétních účtů.
V tomto modulu bude možné vytvořit seznam uživatelů, kteří se nebudou moci přihlásit prostřednictvím některých cílových služeb, jako je přihlášení, ssh a jakýkoli program kompatibilní s PAM.
Abychom toho dosáhli, musíme přistupovat k souboru cílové služby v adresáři /etc/pam.d/ a upravovat jej pomocí jedné z následujících možností:
sudo nano /etc/pam.d/loginNEBO
sudo nano /etc/pam.d/sshdTam přidáme následující:
ověřovací požadovaný pam_listfile.so \ onerr = úspěšná položka = uživatelský smysl = odmítnout soubor = / etc / ssh / deniedusers
ZVĚTŠIT
Změny uložíme a ukončíme editor.
Nyní vytvoříme plochý soubor / etc / ssh / deniedusers, který musí obsahovat jeden prvek na řádek a nesmí být přístupný ostatním uživatelům:
sudo nano / etc / ssh / deniedusersPokračujeme k udělení oprávnění:
sudo chmod 600 / etc / ssh / deniedusersPomocí kterékoli z těchto metod jsme zakázali uživatele root v systému Linux.
Viděli jsme, jak můžeme tuto výhodu zabezpečení získat po deaktivaci uživatele root, ale musíme to udělat, pokud je to nutné, protože pokud k našemu systému nemá přístup mnoho uživatelů nebo víme, že lidé, kteří mají přístup, jsou důvěryhodní a autorizovaní, není nutné provést tento úkol. Pokud to stále potřebujeme znovu, už jste viděli, jak snadné je znovu povolit tohoto uživatele root v jedné ze sekcí.
Možná jste se také ocitli v situaci, kdy jste museli zakázat uživatele root v Ubuntu a zde uvidíte jednoduchý způsob, jak to udělat.
