Svi mi koji smo upravljali i koristili Windows ili Mac računala morali smo omogućiti ili onemogućiti administratora ili root korisnika. Danas moramo znati kako to učiniti u Linux distribuciji, nazvati to Fedora, Debian, Ubuntu itd., Znamo važnost i opseg korijenskog korisnika u sustavu jer ovaj korisnik ima moć potpunog upravljanja operativnim sustavom bez bilo kakvo ograničenje.
To je važno za naše uloge administratora, ali može biti opasno za cijelu infrastrukturu ako se njime manipulira na pogrešan način bez ovlaštenja ili bez potrebnog znanja.
Znamo da u nekim Linux distribucijama korisnik ne može imati pristup kao root korisnik, pa moramo unaprijed postaviti izraz sudo kako bi se naredba koju izvršavamo mogla ispravno obraditi, ali neki se zadaci moraju izvršavati isključivo kao root, a ne samo zbog sigurnosti sa sudo.
Imati root korisnika uključuje rizike jer ima apsolutne privilegije nad promjenama sustava. Ovaj račun mora biti dobro zaštićen, što je problematično ako zaboravimo lozinku. Pojedinosti u nekim Linux distribucijama su da je root račun prema zadanim postavkama onemogućen, što dovodi do korištenja naredbe sudo. No, ako više volimo da je naš račun root, a da ne moramo koristiti ovu naredbu, možemo je omogućiti izravno.
Danas ćemo vidjeti kako možemo ukloniti ovog root korisnika iz naših Linux okruženja kako bismo izbjegli ovu vrstu neugodnosti. Iako vam pokazujemo kako to učiniti za bilo koji distro, ovdje je primjer kako to učiniti u Ubuntuu:
Također imajte na umu da u UNIX operativnim sustavima, govorimo konkretno o Linuxu, možemo stvoriti korisnike s administrativnim dopuštenjima, ali korisnik koji ima više moći nad drugima i koji s njim jako pazi je root korisnik koji se može aktivirati ili koristiti njegova dopuštenja dodavanjem prefiksa sudo, ali ako se njime rukuje na pogrešan način, nesumnjivo može uzrokovati negativne utjecaje kako na strukturu sustava, tako i na informacije ili usluge koje se tamo hostiraju.
Korijenski korisnik ima pristup svim naredbama i datotekama s punim dopuštenjima za čitanje, pisanje ili izvršavanje i može se koristiti za izvršavanje bilo koje vrste zadataka unutar operacijskog sustava, kao što je stvaranje, ažuriranje ili brisanje drugih korisničkih računa, kao i instaliranje, ažuriranje ili ukloniti softverske pakete s posljedicama koje mogu biti drastične.
Dobra praksa, u slučaju da su informacije osjetljive ili povjerljive, je deaktiviranje root korisnika Linuxa, ali za to moramo imati račun koji ima administratorske ovlasti s kojima se naredba sudo može koristiti za dobivanje korisničkih ovlasti root -a.
Na primjer, možemo stvoriti račun ovako:
useradd -m -c "Solvetic" admin passwd adminPomoću naredbe useradd kreiramo korisnika, parametar -m znači da ćemo stvoriti korisnikov kućni direktorij, a parametar -c omogućuje nam da navedemo komentar za ovog korisnika.
Nakon toga moramo dodati korisnika u grupu administratora sustava pomoću naredbe usermod, s prekidačem -a koji dodaje korisnički račun i -G koji navodi grupu za dodavanje korisnika:
usermod -aG administrator kotača (CentOS / RHEL) usermod -aG sudo administrator (Debian / Ubuntu)Solvetic će objasniti različite načine onemogućavanja ovog korisnika na Linuxu. (također jedan za aktiviranje).
1. Omogući root korisnika na Linuxu
Počinjemo s načinom na koji znamo kako omogućiti root korisniku.
Korak 1
Ako nakon što smo neko vrijeme deaktivirali root korisnika, moramo ga ponovno koristiti, možemo ga ponovno omogućiti u sustavu pomoću sljedeće naredbe:
sudo passwd rootS tom naredbom to će biti učinjeno.
Korak 2
U prikazanom prozoru moramo postaviti lozinku za root korisnika.
2. Onemogućite root korisnika i uklonite lozinku u Linuxu
Korak 1
Da bismo izvršili ovaj proces, moramo promijeniti korisnika s kojim smo prijavljeni na root korisnika, za to izvršavamo sljedeću naredbu i unosimo svoju administratorsku lozinku.
sudo -s
Korak 2
Kad postanemo root korisnici, moramo izvršiti sljedeću naredbu za uklanjanje root lozinke:
passwd -korijen zaključavanja
Korak 3
Ova naredba će nam omogućiti da u potpunosti onemogućimo pristup root korisniku, da bismo to provjerili pokušat ćemo unijeti svoju lozinku kao root korisnik i vidjet ćemo sljedeće:
Korak 4
Još jedna od sigurnosnih opcija koje možemo koristiti s korisnikom root je mijenjanje njihove trenutne lozinke pomoću naredbe:
passwd -d korijenOvom naredbom bi se to učinilo.
3. Onemogućite root korisnika iz Shella
Najjednostavniji način onemogućavanja prijave root korisnika je promjena ljuske iz direktorija / bin / bash ili / bin / bash u / sbin / nologin, u / etc / passwd datoteci koja se može otvoriti bilo kojim uređivačem.:
sudo nano / etc / passwdVidjet ćemo sljedeće:
POVEĆAJTE
Tamo moramo promijeniti korijen retka: x: 0: 0: root: / root: / bin / bash po root: x: 0: 0: root: / root: / sbin / nologin:
POVEĆAJTE
Spremamo promjene pomoću tipki Ctrl + O i izlazimo iz uređivača pomoću Ctrl + X.
Od sada, kada se root korisnik prijavi, vidjet će se poruka "Ovaj račun trenutno nije dostupan", ovo je zadana poruka, ali ako je želimo promijeniti i konfigurirati prilagođenu poruku, to možemo učiniti u / etc / nologin datoteka. txt.
4. Onemogući root korisnika putem konzolnog uređaja (TTY)
Ova metoda koristi PAM modul pod nazivom pam_securetty koji dopušta root pristup samo ako se korisnik prijavljuje na siguran TTY, kako je definirano u popisu u:
/ etc / securettyPomoću ove prethodne datoteke bit će moguće odrediti u kojim se TTY uređajima root korisniku dopušta prijava, tako da će, ako napustimo ovu datoteku, prijava biti spriječena sa bilo kojeg povezanog uređaja.
Da bismo stvorili praznu datoteku, izvršavamo sljedeće:
sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettyS njim će se stvoriti.
POVEĆAJTE
Ova se metoda primjenjuje samo na upravitelje zaslona poput gdm, kdm i xdm) i druge mrežne usluge koje pokreću TTY, ali za druge programe poput su, sudo, ssh pristupit će se root računu.
5. Onemogućite root boot putem SSH -a
Uobičajena je metoda pristupa root -u putem SSH -a, pa će za blokiranje prijave root korisnika biti potrebno urediti datoteku / etc / ssh / sshd_config:
sudo nano / etc / ssh / sshd_configTu moramo dekomentirati redak "PermitRootLogin" i postaviti njegovu vrijednost na ne.
POVEĆAJTE
Nakon toga moramo ažurirati promjenu bilo kojim od sljedećih redaka:
sudo systemctl ponovno pokrenite sshdILI
sudo usluga sshd restartS njim će biti učinjeno.
6. Onemogućite root putem PAM -a
PAM (Pluggable Authentication Modules), centralizirana je, modularna i fleksibilna metoda provjere autentičnosti na Linux sustavima. PAM, u modulu /lib/security/pam_listfile.so, omogućuje vam izvođenje određenih zadataka radi ograničavanja privilegija određenih računa.
U ovom modulu bit će moguće uspostaviti popis korisnika koji se neće moći prijaviti putem nekih ciljnih usluga kao što su prijava, ssh i bilo koji program kompatibilan s PAM -om.
Da bismo to postigli, moramo pristupiti i urediti datoteku za odredišnu uslugu u direktoriju /etc/pam.d/ s jednom od sljedećih opcija:
sudo nano /etc/pam.d/loginILI
sudo nano /etc/pam.d/sshdTamo ćemo dodati sljedeće:
potrebna auth. pam_listfile.so \ onerr = uspješna stavka = korisnički smisao = odbijanje datoteke = / etc / ssh / disabledusers
POVEĆAJTE
Spremamo promjene i izlazimo iz uređivača.
Sada ćemo stvoriti ravnu datoteku / etc / ssh / disabledusers koja mora sadržavati jedan element po retku i biti nedostupna drugim korisnicima:
sudo nano / etc / ssh / disabledusersNastavljamo s davanjem dopuštenja:
sudo chmod 600 / etc / ssh / disabledusersS bilo kojom od ovih metoda onemogućili smo root korisnika u Linuxu.
Vidjeli smo kako možemo postići ovu sigurnosnu prednost onemogućivši root korisnika, ali to moramo učiniti ako je potrebno jer ako našem sustavu ne pristupaju mnogi korisnici ili znamo da su ljudi kojima pristupaju pouzdani i ovlašteni, nije potrebno izvrši ovaj zadatak. Ako nam to opet treba, već ste vidjeli kako je lako ponovno omogućiti ovog root korisnika u jednom od odjeljaka.
Možda ste se također našli u situaciji da morate onemogućiti root korisnika u Ubuntuu i ovdje ćete vidjeti jednostavan način za to.