4 Modi kif Tiskonnettja l-Kont tal-Għerq fil-Linux


Il-kont tal-għeruq huwa l-kont aħħari fuq Linux u sistemi operattivi oħra bħal Unix. Dan il-kont għandu aċċess għall-kmandi u l-fajls kollha fuq sistema b'permessi sħaħ ta' qari, tikteb u tesegwixxi. Jintuża biex iwettaq kwalunkwe tip ta 'kompitu fuq sistema; biex tinstalla/tneħħi/taġġorna pakketti tas-softwer, u ħafna aktar.

Minħabba li l-utent tal-għeruq għandu setgħat assoluti, kwalunkwe azzjonijiet li jwettaq huma kritiċi fuq sistema. F'dan ir-rigward, kwalunkwe żball mill-utent għerq jista 'jkollhom implikazzjonijiet enormi fuq it-tħaddim normali ta' sistema. Barra minn hekk, dan il-kont jista' wkoll jiġi abbużat billi jintuża b'mod mhux xieraq jew mhux xieraq jew aċċidentalment, b'mod malizzjuż, jew permezz ta' injoranza maħduma tal-politiki.

Għalhekk, huwa rakkomandabbli li tiddiżattiva l-aċċess għall-għeruq fis-server Linux tiegħek, minflok, toħloq kont amministrattiv li għandu jiġi kkonfigurat biex jikseb privileġġi tal-utent tal-għeruq bl-użu tal-kmand sudo, biex iwettaq kompiti kritiċi fuq is-server.

F'dan l-artikolu, se nispjegaw erba 'modi kif tiddiżattiva l-login tal-kont tal-utent root fil-Linux.

Attenzjoni: Qabel ma timblokka l-aċċess għall-kont root, kun żgur li ħloqt kont amministrattiv, kapaċi juża l-kmand useradd u agħti lil dan il-kont tal-utent password b'saħħitha. Il-bandiera -m tfisser li toħloq id-direttorju tad-dar tal-utent u -c tippermetti li tispeċifika kumment:

# useradd -m -c "Admin User" admin
# passwd admin

Sussegwentement, żid dan l-utent mal-grupp xieraq ta 'amministraturi tas-sistema billi tuża l-kmand usermod, fejn is-swiċċ -a tfisser tehmeż kont tal-utent u -G jispeċifika grupp biex iżżid l-utent in (rota jew sudo skont id-distribuzzjoni tal-Linux tiegħek):

# usermod -aG wheel admin    #CentOS/RHEL
# usermod -aG sudo admin     #Debian/Ubuntu 

Ladarba tkun ħloqt utent bi privileġġi amministrattivi, aqleb għal dak il-kont sabiex timblokka l-aċċess għall-għeruq.

# su admin

1. Ibdel il-qoxra tal-utent tal-għeruq

L-aktar metodu sempliċi biex jiġi diżattivat il-login tal-utent root huwa li tibdel il-qoxra tagħha minn /bin/bash jew /bin/bash (jew kwalunkwe qoxra oħra li tippermetti l-login tal-utent) għal /sbin/nologin, fil-fajl /etc/passwd, li tista' tiftaħ għall-editjar billi tuża kwalunkwe editur tal-linja tal-kmand favoriti tiegħek kif muri.

  
$ sudo vim /etc/passwd

Ibdel il-linja:

root:x:0:0:root:/root:/bin/bash
to
root:x:0:0:root:/root:/sbin/nologin

Issejvja l-fajl u agħlaqha.

Minn issa 'l quddiem, meta l-utent root jidħol, hu/hi se jieħu l-messaġġ \Dan il-kont bħalissa mhux disponibbli. Dan huwa l-messaġġ default, iżda, tista 'tbiddlu u tissettja messaġġ personalizzat fil-fajl /etc/nologin.txt.

Dan il-metodu huwa effettiv biss bi programmi li jeħtieġu qoxra għall-login tal-utent, inkella, sudo, ftp u klijenti tal-email jistgħu jaċċessaw il-kont tal-għeruq.

2. Iddiżattiva root Login permezz tal-Console Device (TTY)

It-tieni metodu juża modulu PAM imsejjaħ pam_securetty, li jippermetti aċċess għall-għeruq biss jekk l-utent ikun qed jidħol fuq TTY sikur, kif definit mill-lista f'/etc/securetty.

Il-fajl t'hawn fuq jippermettilek li tispeċifika liema apparati TTY l-utent tal-għeruq huwa permess li jidħol, it-tbattil ta' dan il-fajl jipprevjeni l-login tal-għeruq fuq kwalunkwe apparat imwaħħal mas-sistema tal-kompjuter.

Biex toħloq fajl vojt, run.

$ sudo mv /etc/securetty /etc/securetty.orig
$ sudo touch /etc/securetty
$ sudo chmod 600 /etc/securetty

Dan il-metodu għandu xi limitazzjonijiet, jaffettwa biss programmi bħal login, maniġers tal-wiri (jiġifieri gdm, kdm u xdm) u servizzi oħra tan-netwerk li jniedu TTY. Programmi bħal su, sudo, ssh, u għodod openssh oħra relatati se jkollhom aċċess għall-kont root.

3. Iddiżattiva SSH Root Login

L-aktar mod komuni ta 'aċċess għal servers remoti jew VPSs huwa permezz ta' SSH u biex timblokka l-login tal-utent root taħtu, għandek bżonn teditja l-fajl /etc/ssh/sshd_config.

$ sudo vim /etc/ssh/sshd_config

Imbagħad neħħi l-kumment (jekk ikun ikkummentat) id-direttiva PermitRootLogin u ssettja l-valur tagħha għal no kif muri fil-screenshot.

Ladarba tkun lest, issalva u agħlaq il-fajl. Imbagħad erġa ibda s-servizz sshd biex tapplika l-bidla riċenti fil-konfigurazzjonijiet.

$ sudo systemctl restart sshd 
OR
$ sudo service sshd restart 

Kif forsi diġà taf, dan il-metodu jaffettwa biss is-sett ta 'għodod openssh, programmi bħal ssh, scp, sftp se jiġu mblukkati milli jaċċessaw il-kont root.

4. Irrestrinġi Aċċess għerq għas-Servizzi Via PAM

Moduli ta 'Awtentikazzjoni Pluggable (PAM fil-qosor) huwa metodu ta' awtentikazzjoni ċentralizzat, pluggable, modulari u flessibbli fuq sistemi Linux. PAM, permezz tal-modulu /lib/security/pam_listfile.so, jippermetti flessibilità kbira fil-limitazzjoni tal-privileġġi ta 'kontijiet speċifiċi.

Il-modulu ta 'hawn fuq jista' jintuża biex jirreferi għal lista ta 'utenti li mhumiex permessi jidħlu permezz ta' xi servizzi fil-mira bħal login, ssh u kwalunkwe programm konxju tal-PAM.

F'dan il-każ, irridu tiddiżattiva l-aċċess tal-utent root għal sistema, billi nirrestrinġu l-aċċess għas-servizzi tal-login u sshd. L-ewwel iftaħ u editja l-fajl għas-servizz fil-mira fid-direttorju /etc/pam.d/ kif muri.

$ sudo vim /etc/pam.d/login
OR
sudo vim /etc/pam.d/sshd

Sussegwentement, żid il-konfigurazzjoni hawn taħt fiż-żewġ fajls.

auth    required       pam_listfile.so \
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

Meta tkun lest, issalva u agħlaq kull fajl. Imbagħad oħloq il-fajl sempliċi /etc/ssh/deniedusers li għandu jkun fih oġġett wieħed għal kull linja u mhux jinqara mid-dinja.

Żid l-għerq tal-isem fiha, imbagħad issalva u agħlaq.

$ sudo vim /etc/ssh/deniedusers

Issettja wkoll il-permessi meħtieġa fuq dan.

$ sudo chmod 600 /etc/ssh/deniedusers

Dan il-metodu jaffettwa biss programmi u servizzi li huma konxji tal-PAM. Tista 'tibblokka l-aċċess għerq għas-sistema permezz ta' klijenti ftp u email u aktar.

Għal aktar informazzjoni, ikkonsulta l-paġni man rilevanti.

$ man pam_securetty
$ man sshd_config
$ man pam

Dak kollox! F'dan l-artikolu, spjegajna erba' modi ta 'diżattivazzjoni tal-login (jew kont) tal-utent root fil-Linux. Għandek xi kummenti, suġġerimenti jew mistoqsijiet, tħossok liberu li tilħaqna permezz tal-formola ta' feedback hawn taħt.