Mums visiem, kuri esam pārvaldījuši un izmantojuši Windows vai Mac datorus, ir jāiespējo vai jāatspējo administrators vai root lietotājs. Šodien mums ir jāzina, kā to izdarīt Linux izplatījumā, saukt to par Fedora, Debian, Ubuntu utt., Mēs zinām saknes lietotāja nozīmi un apjomu sistēmā, jo šim lietotājam ir tiesības pilnībā pārvaldīt operētājsistēmu bez jebkurš ierobežojums.
Tas ir svarīgi mūsu kā administratoru lomai, taču tā var būt bīstama visai infrastruktūrai, ja cilvēki to nepareizi manipulē bez atļaujas vai bez nepieciešamajām zināšanām.
Mēs zinām, ka dažos Linux izplatījumos lietotājs nevar piekļūt root lietotājam, tāpēc mums ir jāliek priekšā termins sudo, lai izpildāmo komandu varētu pareizi apstrādāt, bet daži uzdevumi ir jāizpilda tikai kā root, nevis drošība ar sudo.
Saknes lietotājam ir risks, jo tam ir absolūtas privilēģijas pār sistēmas izmaiņām. Šim kontam jābūt labi aizsargātam, kaut kas ir problemātiski, ja aizmirstam paroli. Dažas Linux izplatīšanas detaļas ir tādas, ka saknes konts pēc noklusējuma ir atspējots, un tas noved pie sudo komandas izmantošanas. Bet, ja mēs vēlamies, lai mūsu konts būtu root, neizmantojot šo komandu, mēs to varam tieši iespējot.
Šodien mēs redzēsim, kā mēs varam noņemt šo saknes lietotāju no mūsu Linux vides, lai izvairītos no šāda veida neērtībām. Lai gan mēs parādām, kā to izdarīt jebkuram izplatījumam, šeit ir piemērs, kā to izdarīt Ubuntu:
Ņemiet vērā arī to, ka UNIX operētājsistēmās mēs runājam tieši par Linux, mēs varam izveidot lietotājus ar administratīvām atļaujām, bet lietotājs, kuram ir lielāka vara pār citiem un kurš ļoti rūpīgi to apstrādā, ir galvenais lietotājs, kuru var aktivizēt vai izmantot tās atļaujas, pievienojot sudo prefiksu, bet, ja tas tiek apstrādāts nepareizi, tas neapšaubāmi var radīt negatīvu ietekmi gan uz sistēmas struktūru, gan uz tur izvietoto informāciju vai pakalpojumiem.
Saknes lietotājam ir piekļuve visām komandām un failiem ar pilnām lasīšanas, rakstīšanas vai izpildes atļaujām, un to var izmantot jebkura veida uzdevumu izpildei operētājsistēmā, piemēram, citu lietotāju kontu izveidošanai, atjaunināšanai vai dzēšanai, kā arī instalēšanai, atjaunināšanai vai noņemt programmatūras pakotnes, kuru sekas var būt krasas.
Laba prakse, ja informācija ir sensitīva vai konfidenciāla, ir deaktivizēt Linux saknes lietotāju, taču šim nolūkam mums ir jābūt kontam ar administratīvām privilēģijām, ar kurām var izmantot komandu sudo, lai iegūtu root lietotāja privilēģijas.
Piemēram, mēs varam izveidot šādu kontu:
useradd -m -c "Solvetic" administrators passwd adminAr komandu useradd mēs izveidojam lietotāju, parametrs -m nozīmē, ka mēs izveidosim lietotāja mājas direktoriju, un parametrs -c ļauj mums norādīt komentāru šim lietotājam.
Pēc tam mums ir jāpievieno lietotājs sistēmas administratoru grupai, izmantojot komandu usermod, ar slēdzi -a, kas pievieno lietotāja kontu, un -G, kas norāda grupu lietotāja pievienošanai:
usermod -aG riteņu administrators (CentOS / RHEL) usermod -aG sudo administrators (Debian / Ubuntu)Solvetic izskaidros dažādus veidus, kā atspējot šo lietotāju operētājsistēmā Linux. (arī viens, lai to aktivizētu).
1. Iespējot root lietotāju Linux
Mēs sākam ar veidu, kā uzzināt, kā iespējot saknes lietotāju.
1. darbība
Ja pēc tam, kad kādu laiku esam deaktivizējuši saknes lietotāju, mums tas atkal jāizmanto, mēs varam to atkal iespējot sistēmā, izmantojot šādu komandu:
sudo passwd sakneAr šo komandu tas tiks darīts.
2. solis
Parādītajā logā mums ir jānosaka parole root lietotājam.
2. Atspējojiet root lietotāju un noņemiet paroli Linux
1. darbība
Lai veiktu šo procesu, mums ir jāmaina lietotājs, ar kuru esam pieteikušies saknes lietotājā, šim nolūkam mēs izpildām šādu komandu un ievadām administratora paroli.
sudo -s
2. solis
Kad esam kā root lietotāji, mums jāizpilda šāda komanda, lai noņemtu saknes paroli:
passwd -bloķēt sakni
3. solis
Šī komanda ļaus mums pilnībā atspējot piekļuvi saknes lietotājam, lai to pārbaudītu, mēs mēģināsim ievadīt kā root lietotāju, ievadot savu paroli, un mēs redzēsim sekojošo:
4. solis
Vēl viena drošības opcija, ko varam izmantot kopā ar galveno lietotāju, ir mainīt pašreizējo paroli, izmantojot komandu:
passwd -d sakneAr šo komandu tas tiktu darīts.
3. Atspējot root lietotāju no Shell
Vienkāršākais veids, kā atspējot root lietotāja pieteikšanos, ir nomainīt čaulu no direktorija / bin / bash vai / bin / bash uz / sbin / nologin failā / etc / passwd, kuru var atvērt ar jebkuru redaktoru.:
sudo nano / etc / passwdMēs redzēsim sekojošo:
PALIELINĀT
Tur mums ir jāmaina rindas sakne: x: 0: 0: root: / root: / bin / bash pēc saknes: x: 0: 0: root: / root: / sbin / nologin:
PALIELINĀT
Mēs saglabājam izmaiņas, izmantojot Ctrl + O taustiņus, un izejam no redaktora, izmantojot Ctrl + X.
Turpmāk, kad root lietotājs būs pieteicies, būs redzams ziņojums "Šis konts pašlaik nav pieejams", šis ir noklusējuma ziņojums, bet, ja mēs vēlamies to mainīt un konfigurēt pielāgotu ziņojumu, mēs to varam izdarīt / etc / nologin fails. txt.
4. Atspējot saknes lietotāju, izmantojot konsoles ierīci (TTY)
Šī metode izmanto PAM moduli ar nosaukumu pam_securetty, kas atļauj root piekļuvi tikai tad, ja lietotājs piesakās drošā TTY, kā noteikts sarakstā:
/ etc / securettyIzmantojot šo iepriekšējo failu, būs iespējams norādīt, kurās TTY ierīcēs root lietotājam būs atļauts pieteikties, tāpēc, ja atbrīvosim šo failu, pieteikšanās tiks liegta no jebkuras pievienotās ierīces.
Lai izveidotu tukšu failu, mēs izpildām šādas darbības:
sudo mv / etc / securetty / etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettyAr to tas tiks izveidots.
PALIELINĀT
Šī metode attiecas tikai uz ekrāna pārvaldniekiem, piemēram, gdm, kdm un xdm) un citiem tīkla pakalpojumiem, kas palaiž TTY, bet citām programmām, piemēram, su, sudo, ssh, tiks piekļūts saknes kontam.
5. Atspējojiet saknes sāknēšanu, izmantojot SSH
Tā ir izplatīta metode, lai piekļūtu kā root, izmantojot SSH, tāpēc, lai bloķētu saknes lietotāja pieteikšanos, būs jārediģē / etc / ssh / sshd_config fails:
sudo nano / etc / ssh / sshd_configTur mums ir jāatceļ rindiņa "PermitRootLogin" un jāiestata tā vērtība uz nē.
PALIELINĀT
Pēc tam mums ir jāatjaunina izmaiņas, izmantojot kādu no šīm rindām:
sudo systemctl restartējiet sshdVAI
sudo pakalpojuma sshd restartēšanaAr to tas tiks darīts.
6. Atspējot sakni, izmantojot PAM
PAM (Pluggable Authentication Modules) ir centralizēta, modulāra un elastīga autentifikācijas metode Linux sistēmās. PAM modulī /lib/security/pam_listfile.so ļauj veikt noteiktus uzdevumus, lai ierobežotu konkrētu kontu privilēģijas.
Šajā modulī būs iespējams izveidot to lietotāju sarakstu, kuriem netiks ļauts pieteikties, izmantojot dažus mērķa pakalpojumus, piemēram, pieteikšanos, ssh un jebkuru programmu, kas ir saderīga ar PAM.
Lai to panāktu, mums ir jāpiekļūst un jārediģē galamērķa pakalpojuma fails direktorijā /etc/pam.d/, izmantojot vienu no šīm iespējām:
sudo nano /etc/pam.d/loginVAI
sudo nano /etc/pam.d/sshdTur mēs pievienosim sekojošo:
auth nepieciešams pam_listfile.so \ onerr = izdoties vienums = lietotāja sajūta = liegt failu = / etc / ssh / deniedusers
PALIELINĀT
Mēs saglabājam izmaiņas un izejam no redaktora.
Tagad mēs izveidosim plakano failu / etc / ssh / deniedusers, kurā katrā rindā ir jābūt vienam elementam, un tas nedrīkst būt pieejams citiem lietotājiem:
sudo nano / etc / ssh / deniedusersMēs turpinām piešķirt atļaujas:
sudo chmod 600 / etc / ssh / deniedusersIzmantojot kādu no šīm metodēm, mēs esam atspējojuši saknes lietotāju Linux.
Mēs esam redzējuši, kā mēs varam iegūt šo drošības priekšrocību, atspējojot saknes lietotāju, taču mums tas jādara, ja nepieciešams, jo, ja mūsu sistēmai nevar piekļūt daudzi lietotāji vai mēs zinām, ka cilvēkiem, kuriem ir piekļuve, ir uzticami un autorizēti, nav nepieciešams izpildīt šo uzdevumu. Ja mums tas joprojām ir vajadzīgs, jūs jau esat redzējuši, cik viegli ir atkārtoti iespējot šo saknes lietotāju vienā no sadaļām.
Varbūt jūs arī esat nonācis situācijā, kad Ubuntu ir jāatspējo saknes lietotājs, un šeit jūs redzēsit vienkāršu veidu, kā to izdarīt.