Сви ми који смо управљали и користили Виндовс или Мац рачунаре морали смо да омогућимо или онемогућимо администратора или роот корисника. Данас морамо знати како то учинити у Линук дистрибуцији, назвати то Федора, Дебиан, Убунту итд., Знамо важност и опсег роот корисника унутар система јер овај корисник има моћ да у потпуности управља оперативним системом без било какво ограничење.
Ово је важно за наше улоге администратора, али може бити опасно за цијелу инфраструктуру ако се њиме манипулира на погрешан начин без овлаштења или без потребног знања.
Знамо да у неким Линук дистрибуцијама корисник не може имати приступ као роот корисник, па морамо додати термин судо како би се наредба коју извршавамо могла исправно обрадити, али неки задаци морају бити изведени искључиво као роот, а не само због сигурности са судо.
Имати роот корисника укључује ризике јер има апсолутне привилегије над променама система. Овај налог мора бити добро заштићен, што представља проблем ако заборавимо лозинку. Детаљи у неким Линук дистрибуцијама су да је роот налог подразумевано онемогућен, што доводи до употребе судо команде. Али ако више волимо да је наш налог роот без потребе да користимо ову команду, можемо је омогућити директно.
Данас ћемо видети како можемо уклонити овог роот корисника из нашег Линук окружења како бисмо избегли ову врсту непријатности. Иако вам показујемо како се то ради за било који дистро, ево примера како се то ради у Убунту -у:
Такође имајте на уму да у УНИКС оперативним системима, говоримо конкретно о Линуку, можемо створити кориснике са административним дозволама, али корисник који има више моћи над другима и који је веома пажљив у руковању са њим је роот корисник који се може активирати или користити његове дозволе додавањем префикса судо, али ако се њиме рукује на погрешан начин, то несумњиво може изазвати негативне утицаје како на структуру система, тако и на информације или услуге које се тамо хостују.
Корисник роот има приступ свим командама и датотекама са пуним дозволама за читање, писање или извршавање и може се користити за извршавање било које врсте задатака унутар оперативног система, као што је стварање, ажурирање или брисање других корисничких налога, као и инсталирање, ажурирање или уклонити софтверске пакете са последицама које могу бити драстичне.
Добра пракса, у случају да су информације осетљиве или поверљиве, је да деактивирате роот корисника Линука, али за то морамо имати налог који има администраторске привилегије са којима се судо команда може користити за добијање привилегија роот корисника.
На пример, можемо да направимо налог овако:
усерадд -м -ц "Солветиц" админ пассвд админПомоћу наредбе усерадд креирамо корисника, параметар -м значи да ћемо створити корисников кућни директориј, а параметар -ц нам омогућава да наведемо коментар за овог корисника.
Након тога морамо додати корисника у групу администратора система помоћу наредбе усермод, са прекидачем -а који додаје кориснички налог и -Г који наводи групу за додавање корисника:
усермод -аГ администратор точка (ЦентОС / РХЕЛ) усермод -аГ судо администратор (Дебиан / Убунту)Солветиц ће објаснити различите начине онемогућавања овог корисника на Линук -у. (такође један за активирање).
1. Омогући роот корисника на Линук -у
Почињемо са начином на који знамо како омогућити роот кориснику.
Корак 1
Ако након што смо неко време деактивирали роот корисника, морамо га поново користити, можемо га поново омогућити у систему помоћу следеће команде:
судо пассвд роотСа том командом ће бити учињено.
Корак 2
У приказаном прозору морамо поставити лозинку за роот корисника.
2. Онемогућите роот корисника и уклоните лозинку у Линуку
Корак 1
Да бисмо извршили овај процес, морамо променити корисника са којим смо се пријавили на роот корисника, за то извршавамо следећу команду и уносимо администраторску лозинку.
судо -с
Корак 2
Када постанемо роот корисници, морамо извршити следећу команду да бисмо уклонили роот лозинку:
пассвд -роот роот
Корак 3
Ова команда ће нам омогућити да у потпуности онемогућимо приступ роот кориснику, да бисмо то проверили, покушаћемо да унесемо лозинку као роот корисник тако што ћемо унети своју лозинку и видећемо следеће:
Корак 4
Још једна од безбедносних опција које можемо да користимо са роот корисником је да изменимо њихову тренутну лозинку помоћу наредбе:
пассвд -д коренСа овом командом би се то учинило.
3. Онемогући роот корисника из Схелл -а
Најједноставнији начин да онемогућите пријављивање роот корисника је да промените љуску из директоријума / бин / басх или / бин / басх у / сбин / нологин, у / етц / пассвд датотеци која се може отворити било којим уређивачем.:
судо нано / етц / пассвдВидећемо следеће:
ЕНЛАРГЕ
Тамо морамо променити ред корена: к: 0: 0: роот: / роот: / бин / басх по роот: к: 0: 0: роот: / роот: / сбин / нологин:
ЕНЛАРГЕ
Спремамо промене помоћу тастера Цтрл + О и излазимо из уређивача помоћу Цтрл + Кс.
Од сада, када се роот корисник пријави, видеће се порука „Овај налог је тренутно недоступан“, ово је подразумевана порука, али ако желимо да је променимо и конфигуришемо прилагођену поруку то можемо учинити у / етц / нологин фајл. ткт.
4. Онемогући роот корисника преко Цонсоле Девице (ТТИ)
Ова метода користи ПАМ модул под називом пам_сецуретти који дозвољава роот приступ само ако се корисник пријављује на сигуран ТТИ, како је дефинисано у списку у:
/ етц / сецуреттиСа овом претходном датотеком биће могуће одредити на којим ТТИ уређајима ће роот кориснику бити дозвољено да се пријави, тако да ће, ако напустимо ову датотеку, пријава бити онемогућена са било ког повезаног уређаја.
Да бисмо направили празну датотеку, извршавамо следеће:
судо мв / етц / сецуретти /етц/сецуретти.ориг судо тоуцх / етц / сецуретти судо цхмод 600 / етц / сецуреттиСа њим ће се створити.
ЕНЛАРГЕ
Ова метода се примењује само на менаџере екрана попут гдм, кдм и кдм) и друге мрежне услуге које покрећу ТТИ, али за друге програме попут су, судо, ссх приступиће се роот налогу.
5. Онемогућите роот покретање путем ССХ -а
То је уобичајена метода за приступ роот -у путем ССХ -а, па ће за блокирање пријаве роот корисника бити потребно уредити датотеку / етц / ссх / ссхд_цонфиг:
судо нано / етц / ссх / ссхд_цонфигТамо морамо уклонити коментаре из линије "ПермитРоотЛогин" и поставити њену вредност на не.
ЕНЛАРГЕ
Након тога морамо ажурирати промену користећи било који од следећих редова:
судо системцтл поново покрените ссхдИЛИ
судо сервис ссхд рестартСа њим ће то бити учињено.
6. Онемогућите роот преко ПАМ -а
ПАМ (Плуггабле Аутхентицатион Модулес), је централизована, модуларна и флексибилна метода аутентификације на Линук системима. ПАМ, у модулу /либ/сецурити/пам_листфиле.со, омогућава вам да извршавате одређене задатке како бисте ограничили привилегије одређених налога.
У овом модулу ће бити могуће успоставити листу корисника којима неће бити дозвољено да се пријаве путем неких циљних услуга, као што су пријава, ссх и било који програм компатибилан са ПАМ -ом.
Да бисмо то постигли, морамо приступити и уредити датотеку за одредишну услугу у директоријуму /етц/пам.д/ са једном од следећих опција:
судо нано /етц/пам.д/логинИЛИ
судо нано /етц/пам.д/ссхдТамо ћемо додати следеће:
аутх потребна пам_листфиле.со \ онерр = успешна ставка = смисао корисника = одбијање датотеке = / етц / ссх / одбијеникорисници
ЕНЛАРГЕ
Сачувамо промене и излазимо из уређивача.
Сада ћемо креирати равну датотеку / етц / ссх / дисабледусерс која мора садржавати један елемент по реду и не сме бити доступна другим корисницима:
судо нано / етц / ссх / дисабледусерсНастављамо са давањем дозвола:
судо цхмод 600 / етц / ссх / дисабледусерсС било којим од ових метода онемогућили смо роот корисника у Линуку.
Видели смо како можемо постићи ову безбедносну предност ако онемогућимо роот корисника, али то морамо учинити ако је потребно, јер ако нашем систему не приступају многи корисници или знамо да су људи којима приступају поуздани и овлашћени, није потребно изврши овај задатак. Ако нам поново треба, већ сте видели колико је лако поново омогућити овог роот корисника у једном од одељака.
Можда сте се такође нашли у ситуацији да морате онемогућити роот корисника у Убунту -у и овде ћете видети једноставан начин за то.
