Alla vi som har hanterat och använt Windows- eller Mac -datorer har behövt aktivera eller inaktivera administratör eller rotanvändare. Idag måste vi veta hur man gör det i en Linux -distro, kallar det Fedora, Debian, Ubuntu, etc. någon begränsning.
Detta är viktigt för våra roller som administratörer men det kan vara en farlig sak för hela infrastrukturen om den manipuleras på ett felaktigt sätt av människor utan tillstånd eller utan nödvändig kunskap.
Vi vet att i vissa Linux -distros kan en användare inte ha tillgång till att vara en rotanvändare, så vi måste förbereda termen sudo så att kommandot vi kör kan hanteras korrekt men vissa uppgif.webpter måste exekveras exklusivt som root av säkerhet och inte bara med sudo.
Att ha en rotanvändare innebär risker eftersom det har absoluta privilegier över systemändringar. Det här kontot måste vara väl skyddat, något problematiskt om vi glömmer vårt lösenord. En detalj i vissa Linux -distros är att rotkontot är inaktiverat som standard, något som leder till att sudo -kommandot används. Men om vi föredrar att vårt konto är root utan att behöva använda det här kommandot kan vi aktivera det direkt.
Idag kommer vi att se hur vi kan ta bort denna rotanvändare från våra Linux -miljöer för att undvika denna typ av besvär. Även om vi visar dig hur du gör det för alla distro, här är ett exempel på hur du gör det i Ubuntu:
Tänk också på att i UNIX -operativsystem pratar vi specifikt om Linux, vi kan skapa användare med administrativa behörigheter men användaren som har mer makt över de andra och som är mycket noga med att hantera det är rotanvändaren som kan aktiveras eller använda dess behörigheter genom att prefixa sudo, men om det hanteras på fel sätt kan det utan tvekan orsaka negativa effekter både på systemets struktur och på informationen eller tjänsterna som finns där.
Rotanvändaren har tillgång till alla kommandon och filer med fullständiga läs-, skriv- eller körbehörigheter och kan användas för att utföra vilken typ av uppgif.webpt som helst i operativsystemet, till exempel för att skapa, uppdatera eller ta bort andra användarkonton, samt installera, uppdatera eller ta bort mjukvarupaket med vilka konsekvenserna kan bli drastiska.
En god praxis, om informationen är känslig eller konfidentiell, är att inaktivera Linux -rotanvändaren, men för detta måste vi ha ett konto som har administrativa behörigheter som sudo -kommandot kan användas för att få root -användarrättigheter.
Till exempel kan vi skapa ett konto så här:
useradd -m -c "Solvetic" admin passwd adminMed kommandot useradd skapar vi användaren, parametern -m betyder att vi ska skapa användarens hemkatalog och -c -parametern gör att vi kan ange en kommentar för den här användaren.
Efter detta måste vi lägga till användaren till gruppen systemadministratörer med kommandot usermod, med växeln -a som lägger till användarkontot och -G som anger en grupp för att lägga till användaren:
usermod -aG wheel admin (CentOS / RHEL) usermod -aG sudo admin (Debian / Ubuntu)Solvetic kommer att förklara de olika sätten att inaktivera den här användaren på Linux. (också en för att aktivera den).
1. Aktivera root -användare på Linux
Vi börjar med sättet att veta hur man aktiverar en rotanvändare.
Steg 1
Om vi efter att ha inaktiverat rotanvändaren ett tag behöver använda den igen kan vi aktivera den igen i systemet med följande kommando:
sudo passwd rootMed det kommandot kommer det att göras.
Steg 2
I fönstret som visas måste vi ange ett lösenord för rotanvändaren.
2. Inaktivera rotanvändare och ta bort lösenord i Linux
Steg 1
För att utföra denna process måste vi ändra den användare som vi har loggat in på rotanvändaren för, för detta kör vi följande kommando och anger vårt administratörslösenord.
sudo -s
Steg 2
När vi är som rotanvändare måste vi utföra följande kommando för att ta bort rotlösenordet:
passwd --lock root
Steg 3
Detta kommando tillåter oss att helt inaktivera åtkomst till rotanvändaren, för att kontrollera det kommer vi att försöka ange som rotanvändare genom att ange vårt lösenord och vi kommer att se följande:
Steg 4
Ett annat av de säkerhetsalternativ som vi kan använda med rotanvändaren är att ändra sitt nuvarande lösenord med kommandot:
passwd -d rootMed detta kommando skulle det göras.
3. Inaktivera rotanvändare från Shell
Det enklaste sättet att inaktivera root -användarinloggningen är att ändra ditt skal från katalogen / bin / bash eller / bin / bash till / sbin / nologin, i / etc / passwd -filen som kan öppnas med valfri redigerare.:
sudo nano / etc / passwdVi kommer att se följande:
FÖRSTORA
Där måste vi ändra radroten: x: 0: 0: root: / root: / bin / bash med root: x: 0: 0: root: / root: / sbin / nologin:
FÖRSTORA
Vi sparar ändringarna med Ctrl + O -tangenterna och lämnar redigeraren med Ctrl + X.
Från och med nu, när rotanvändaren loggar in, kommer meddelandet "Det här kontot är för närvarande inte tillgängligt" att visas, detta är standardmeddelandet, men om vi vill ändra det och konfigurera ett anpassat meddelande kan vi göra det i / etc / nologin -fil. txt.
4. Inaktivera rotanvändare via konsolenhet (TTY)
Denna metod använder en PAM -modul som kallas pam_securetty som endast tillåter rotåtkomst om användaren loggar in på en säker TTY, enligt definitionen i listan i:
/ etc / securettyMed den här tidigare filen kommer det att vara möjligt att ange i vilka TTY -enheter rotanvändaren får logga in, så att om vi lämnar den här filen kommer inloggningen att förhindras från någon ansluten enhet.
För att skapa en tom fil kör vi följande:
sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettyMed det kommer det att skapas.
FÖRSTORA
Denna metod gäller endast skärmhanterare som gdm, kdm och xdm) och andra nätverkstjänster som startar en TTY, men för andra program som su, sudo, ssh kommer rotkontot att komma åt.
5. Inaktivera root boot via SSH
Det är en vanlig metod att komma åt som root via SSH, så för att blockera inloggningen av rotanvändaren kommer det att vara nödvändigt att redigera filen / etc / ssh / sshd_config:
sudo nano / etc / ssh / sshd_configDär måste vi avmarkera raden "PermitRootLogin" och ställa in dess värde till nej.
FÖRSTORA
Efter detta måste vi uppdatera ändringen med någon av följande rader:
sudo systemctl starta om sshdELLER
sudo service sshd starta omMed det kommer det att göras.
6. Inaktivera root via PAM
PAM (Pluggable Authentication Modules), är en centraliserad, modulär och flexibel autentiseringsmetod på Linux -system. PAM, i modulen /lib/security/pam_listfile.so, låter dig utföra vissa uppgif.webpter för att begränsa privilegierna för specifika konton.
I denna modul kommer det att vara möjligt att upprätta en lista över användare som inte får logga in via vissa måltjänster som inloggning, ssh och alla program som är kompatibla med PAM.
För att uppnå detta måste vi komma åt och redigera filen för destinationstjänsten i katalogen /etc/pam.d/ med ett av följande alternativ:
sudo nano /etc/pam.d/loginELLER
sudo nano /etc/pam.d/sshdDär kommer vi att lägga till följande:
auth krävs pam_listfile.so \ onerr = success item = user sense = neka fil = / etc / ssh / denuserade
FÖRSTORA
Vi sparar ändringarna och lämnar redigeraren.
Nu ska vi skapa plattfilen / etc / ssh / denususers som måste innehålla ett element per rad och inte vara tillgängligt för andra användare:
sudo nano / etc / ssh / denususersVi fortsätter att bevilja tillstånd:
sudo chmod 600 / etc / ssh / denususersMed någon av dessa metoder har vi inaktiverat rotanvändaren i Linux.
Vi har sett hur vi kan uppnå denna säkerhetsfördel genom att ha inaktiverat rotanvändaren, men vi måste göra detta om det behövs eftersom det inte är nödvändigt att om vårt system inte nås av många användare eller vi vet att de som har åtkomst är betrodda och auktoriserade. utföra denna uppgif.webpt. Om vi fortfarande behöver det igen har du redan sett hur enkelt det är att återaktivera denna rotanvändare i ett av avsnitten.
Kanske har du också befunnit dig i situationen att behöva inaktivera rotanvändaren i Ubuntu och här ser du ett enkelt sätt att göra det.
