Visi mes, valdę ir naudoję „Windows“ ar „Mac“ kompiuterius, turėjome įjungti arba išjungti administratorių ar pagrindinį vartotoją. Šiandien turime žinoti, kaip tai padaryti „Linux“ distribucijoje, pavadinti ją „Fedora“, „Debian“, „Ubuntu“ ir kt., Mes žinome pagrindinio vartotojo svarbą ir apimtį sistemoje, nes šis vartotojas turi galią visiškai valdyti operacinę sistemą be bet koks apribojimas.
Tai svarbu mūsų, kaip administratorių, vaidmeniui, tačiau tai gali būti pavojinga visai infrastruktūrai, jei žmonės neteisėtai manipuliuoja be leidimo arba neturėdami reikiamų žinių.
Mes žinome, kad kai kuriose „Linux“ distribucijose vartotojas negali turėti prieigos prie pagrindinio vartotojo, todėl turime sudaryti terminą sudo, kad vykdoma komanda būtų tinkamai apdorota, tačiau kai kurios užduotys turi būti vykdomos tik kaip root, o ne tik saugumas su sudo.
Turint pagrindinį vartotoją, kyla rizika, nes jis turi absoliučias privilegijas dėl sistemos pakeitimų. Ši paskyra turi būti gerai apsaugota, o tai gali sukelti problemų, jei pamiršime slaptažodį. Kai kurių „Linux“ distribucijų detalė yra ta, kad šakninė paskyra yra išjungta pagal numatytuosius nustatymus, todėl naudojama sudo komanda. Bet jei norime, kad mūsų paskyra būtų root, nenaudojant šios komandos, galime ją tiesiogiai įgalinti.
Šiandien pamatysime, kaip galime pašalinti šį pagrindinį vartotoją iš savo „Linux“ aplinkos, kad išvengtume tokio tipo nepatogumų. Nors mes jums parodysime, kaip tai padaryti bet kuriame platinime, čia yra pavyzdys, kaip tai padaryti „Ubuntu“:
Taip pat atminkite, kad UNIX operacinėse sistemose mes kalbame konkrečiai apie „Linux“, mes galime sukurti vartotojus, turinčius administravimo teises, tačiau vartotojas, kuris turi daugiau galių nei kiti ir kuris labai atsargiai su juo elgiasi, yra pagrindinis vartotojas, kurį galima suaktyvinti arba naudoti savo leidimus, sudarydami priešdėlį sudo, tačiau jei jis tvarkomas neteisingai, tai neabejotinai gali neigiamai paveikti tiek sistemos struktūrą, tiek ten esančią informaciją ar paslaugas.
Šakninis vartotojas turi prieigą prie visų komandų ir failų su visomis skaitymo, rašymo ar vykdymo teisėmis ir gali būti naudojamas bet kokios rūšies užduotims operacinėje sistemoje atlikti, pavyzdžiui, kurti, atnaujinti ar ištrinti kitas vartotojo paskyras, taip pat įdiegti, atnaujinti arba pašalinti programinės įrangos paketus, kurių pasekmės gali būti drastiškos.
Gera praktika, jei informacija yra jautri ar konfidenciali, yra išjungti „Linux“ pagrindinį vartotoją, tačiau tam turime turėti paskyrą, turinčią administravimo privilegijas, kuriomis sudo komanda gali būti naudojama norint gauti root vartotojo teises.
Pavyzdžiui, galime sukurti tokią paskyrą:
useradd -m -c „Solvetic“ administratorius passwd adminNaudodami komandą useradd sukuriame vartotoją, parametras -m reiškia, kad ketiname sukurti vartotojo namų katalogą, o parametras -c leidžia nurodyti šio vartotojo komentarą.
Po to mes turime įtraukti vartotoją į sistemos administratorių grupę naudodami komandą „usermod“ su jungikliu -a, kuris prideda vartotojo abonementą, ir -G, kuris nurodo grupę, kuriai pridėti naudotoją:
usermod -aG rato administratorius (CentOS / RHEL) usermod -aG sudo admin (Debian / Ubuntu)„Solvetic“ paaiškins įvairius būdus, kaip išjungti šį vartotoją „Linux“. (taip pat vienas, kad jį suaktyvintumėte).
1. Įgalinti „root“ vartotoją „Linux“
Mes pradedame nuo to, kaip sužinoti, kaip įgalinti pagrindinį vartotoją.
1 žingsnis
Jei kurį laiką išjungę pagrindinį vartotoją turime jį vėl naudoti, galime jį vėl įjungti sistemoje naudodami šią komandą:
sudo passwd rootSu šia komanda tai bus padaryta.
2 žingsnis
Rodomame lange turime nustatyti pagrindinio vartotojo slaptažodį.
2. Išjunkite „root“ vartotoją ir pašalinkite slaptažodį „Linux“
1 žingsnis
Norėdami atlikti šį procesą, turime pakeisti vartotoją, su kuriuo prisijungėme prie pagrindinio vartotojo, tam vykdome šią komandą ir įvedame administratoriaus slaptažodį.
sudo -s
2 žingsnis
Kai būsime root vartotojai, norėdami pašalinti root slaptažodį, turime vykdyti šią komandą:
passwd -užrakinti šaknį
3 žingsnis
Ši komanda leis mums visiškai išjungti prieigą prie pagrindinio vartotojo, norėdami ją patikrinti, bandysime įvesti kaip pagrindinį vartotoją įvesdami slaptažodį ir pamatysime šiuos dalykus:
4 žingsnis
Kita saugumo parinktis, kurią galime naudoti su pagrindiniu vartotoju, yra pakeisti dabartinį slaptažodį naudojant komandą:
passwd -d šaknisSu šia komanda tai būtų padaryta.
3. Išjungti „root“ vartotoją iš „Shell“
Paprasčiausias būdas išjungti pagrindinio vartotojo prisijungimą yra pakeisti failo / etc / passwd failo, kurį galima atidaryti naudojant bet kurį redaktorių, katalogą iš / bin / bash arba / bin / bash katalogo į / sbin / nologin.:
sudo nano / etc / passwdPamatysime šiuos dalykus:
DIDELIS
Ten mes turime pakeisti eilutės šaknį: x: 0: 0: root: / root: / bin / bash pagal root: x: 0: 0: root: / root: / sbin / nologin:
DIDELIS
Pakeitimus išsaugome naudodami „Ctrl“ + O klavišus ir išeiname iš redaktoriaus naudodami „Ctrl“ + X.
Nuo šiol, kai prisijungs pagrindinis vartotojas, bus rodomas pranešimas „Ši paskyra šiuo metu nepasiekiama“, tai yra numatytasis pranešimas, tačiau jei norime jį pakeisti ir sukonfigūruoti pasirinktinį pranešimą, tai galime padaryti / etc / nologin failas. txt.
4. Išjungti root vartotoją per konsolės įrenginį (TTY)
Šis metodas naudoja PAM modulį, vadinamą pam_securetty, kuris leidžia root prieigą tik tuo atveju, jei vartotojas prisijungia prie saugaus TTY, kaip apibrėžta sąraše:
/ etc / securettyNaudojant šį ankstesnį failą bus galima nurodyti, kuriuose TTY įrenginiuose pagrindiniam vartotojui bus leidžiama prisijungti, taigi, jei atlaisvinsime šį failą, nebus galima prisijungti prie bet kurio prijungto įrenginio.
Norėdami sukurti tuščią failą, vykdome šiuos veiksmus:
sudo mv / etc / securetty / etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettySu juo jis bus sukurtas.
DIDELIS
Šis metodas taikomas tik ekrano valdytojams, pvz., Gdm, kdm ir xdm) ir kitoms tinklo paslaugoms, kurios paleidžia TTY, tačiau kitoms programoms, tokioms kaip su, sudo, ssh, bus pasiekta pagrindinė paskyra.
5. Išjunkite root įkėlimą per SSH
Tai yra įprastas būdas pasiekti kaip root per SSH, todėl norint blokuoti root vartotojo prisijungimą, reikės redaguoti failą / etc / ssh / sshd_config:
sudo nano / etc / ssh / sshd_configTen turime panaikinti eilutės „PermitRootLogin“ komentarą ir nustatyti jo vertę į „ne“.
DIDELIS
Po to turime atnaujinti pakeitimą naudodami bet kurią iš šių eilučių:
sudo systemctl iš naujo paleiskite sshdARBA
sudo paslaugos sshd paleidimas iš naujoSu juo tai bus padaryta.
6. Išjungti root per PAM
PAM (Pluggable Authentication Modules) yra centralizuotas, modulinis ir lankstus autentifikavimo metodas Linux sistemose. PAM, esančiame modulyje /lib/security/pam_listfile.so, leidžia atlikti tam tikras užduotis, siekiant apriboti konkrečių paskyrų privilegijas.
Šiame modulyje bus galima sudaryti sąrašą vartotojų, kuriems neleidžiama prisijungti naudojant tam tikras tikslines paslaugas, tokias kaip prisijungimas, ssh ir bet kuri programa, suderinama su PAM.
Norėdami tai pasiekti, turime pasiekti ir redaguoti paskirties paslaugos failą kataloge /etc/pam.d/ naudodami vieną iš šių parinkčių:
sudo nano /etc/pam.d/loginARBA
sudo nano /etc/pam.d/sshdTen pridėsime šiuos dalykus:
reikalinga auth pam_listfile.so \ onerr = pavyks elementas = vartotojo pojūtis = paneigti failą = / etc / ssh / deniedusers
DIDELIS
Išsaugome pakeitimus ir išeiname iš redaktoriaus.
Dabar mes sukursime plokščią failą / etc / ssh / deniedusers, kuriame kiekvienoje eilutėje turi būti vienas elementas ir kiti vartotojai negali jo pasiekti:
sudo nano / etc / ssh / deniedusersToliau suteikiame leidimus:
sudo chmod 600 / etc / ssh / deniedusersTaikydami bet kurį iš šių metodų, mes išjungėme pagrindinį vartotoją „Linux“.
Mes matėme, kaip galime įgyti šį saugumo pranašumą išjungę pagrindinį vartotoją, tačiau turime tai padaryti, jei reikia, nes jei prie mūsų sistemos neprisijungia daug vartotojų arba žinome, kad prieigą turintys žmonės yra patikimi ir įgalioti, nebūtina vykdyti šią užduotį. Jei mums to dar reikia, jau matėte, kaip lengva iš naujo įgalinti šį pagrindinį vartotoją viename iš skyrių.
Galbūt jūs taip pat atsidūrėte tokioje situacijoje, kai turite išjungti pagrindinį vartotoją „Ubuntu“ ir čia pamatysite paprastą būdą tai padaryti.