4 Modi kif Tiskonnettja l-Kont tal-Għerq fil-Linux
Il-kont tal-għeruq huwa l-kont aħħari fuq Linux u sistemi operattivi oħra bħal Unix. Dan il-kont għandu aċċess għall-kmandi u l-fajls kollha fuq sistema b'permessi sħaħ ta' qari, tikteb u tesegwixxi. Jintuża biex iwettaq kwalunkwe tip ta 'kompitu fuq sistema; biex tinstalla/tneħħi/taġġorna pakketti tas-softwer, u ħafna aktar.
Minħabba li l-utent tal-għeruq għandu setgħat assoluti, kwalunkwe azzjonijiet li jwettaq huma kritiċi fuq sistema. F'dan ir-rigward, kwalunkwe żball mill-utent għerq jista 'jkollhom implikazzjonijiet enormi fuq it-tħaddim normali ta' sistema. Barra minn hekk, dan il-kont jista' wkoll jiġi abbużat billi jintuża b'mod mhux xieraq jew mhux xieraq jew aċċidentalment, b'mod malizzjuż, jew permezz ta' injoranza maħduma tal-politiki.
Għalhekk, huwa rakkomandabbli li tiddiżattiva l-aċċess għall-għeruq fis-server Linux tiegħek, minflok, toħloq kont amministrattiv li għandu jiġi kkonfigurat biex jikseb privileġġi tal-utent tal-għeruq bl-użu tal-kmand sudo, biex iwettaq kompiti kritiċi fuq is-server.
F'dan l-artikolu, se nispjegaw erba 'modi kif tiddiżattiva l-login tal-kont tal-utent root fil-Linux.
Attenzjoni: Qabel ma timblokka l-aċċess għall-kont root, kun żgur li ħloqt kont amministrattiv, kapaċi juża l-kmand useradd u agħti lil dan il-kont tal-utent password b'saħħitha. Il-bandiera -m
tfisser li toħloq id-direttorju tad-dar tal-utent u -c
tippermetti li tispeċifika kumment:
# useradd -m -c "Admin User" admin # passwd admin
Sussegwentement, żid dan l-utent mal-grupp xieraq ta 'amministraturi tas-sistema billi tuża l-kmand usermod, fejn is-swiċċ -a
tfisser tehmeż kont tal-utent u -G
jispeċifika grupp biex iżżid l-utent in (rota jew sudo skont id-distribuzzjoni tal-Linux tiegħek):
# usermod -aG wheel admin #CentOS/RHEL # usermod -aG sudo admin #Debian/Ubuntu
Ladarba tkun ħloqt utent bi privileġġi amministrattivi, aqleb għal dak il-kont sabiex timblokka l-aċċess għall-għeruq.
# su admin
1. Ibdel il-qoxra tal-utent tal-għeruq
L-aktar metodu sempliċi biex jiġi diżattivat il-login tal-utent root huwa li tibdel il-qoxra tagħha minn /bin/bash
jew /bin/bash
(jew kwalunkwe qoxra oħra li tippermetti l-login tal-utent) għal /sbin/nologin
, fil-fajl /etc/passwd, li tista' tiftaħ għall-editjar billi tuża kwalunkwe editur tal-linja tal-kmand favoriti tiegħek kif muri.
$ sudo vim /etc/passwd
Ibdel il-linja:
root:x:0:0:root:/root:/bin/bash to root:x:0:0:root:/root:/sbin/nologin
Issejvja l-fajl u agħlaqha.
Minn issa 'l quddiem, meta l-utent root jidħol, hu/hi se jieħu l-messaġġ \Dan il-kont bħalissa mhux disponibbli. Dan huwa l-messaġġ default, iżda, tista 'tbiddlu u tissettja messaġġ personalizzat fil-fajl /etc/nologin.txt.
Dan il-metodu huwa effettiv biss bi programmi li jeħtieġu qoxra għall-login tal-utent, inkella, sudo, ftp u klijenti tal-email jistgħu jaċċessaw il-kont tal-għeruq.
2. Iddiżattiva root Login permezz tal-Console Device (TTY)
It-tieni metodu juża modulu PAM imsejjaħ pam_securetty, li jippermetti aċċess għall-għeruq biss jekk l-utent ikun qed jidħol fuq TTY sikur, kif definit mill-lista f'/etc/securetty.
Il-fajl t'hawn fuq jippermettilek li tispeċifika liema apparati TTY l-utent tal-għeruq huwa permess li jidħol, it-tbattil ta' dan il-fajl jipprevjeni l-login tal-għeruq fuq kwalunkwe apparat imwaħħal mas-sistema tal-kompjuter.
Biex toħloq fajl vojt, run.
$ sudo mv /etc/securetty /etc/securetty.orig $ sudo touch /etc/securetty $ sudo chmod 600 /etc/securetty
Dan il-metodu għandu xi limitazzjonijiet, jaffettwa biss programmi bħal login, maniġers tal-wiri (jiġifieri gdm, kdm u xdm) u servizzi oħra tan-netwerk li jniedu TTY. Programmi bħal su, sudo, ssh, u għodod openssh oħra relatati se jkollhom aċċess għall-kont root.
3. Iddiżattiva SSH Root Login
L-aktar mod komuni ta 'aċċess għal servers remoti jew VPSs huwa permezz ta' SSH u biex timblokka l-login tal-utent root taħtu, għandek bżonn teditja l-fajl /etc/ssh/sshd_config.
$ sudo vim /etc/ssh/sshd_config
Imbagħad neħħi l-kumment (jekk ikun ikkummentat) id-direttiva PermitRootLogin u ssettja l-valur tagħha għal no
kif muri fil-screenshot.
Ladarba tkun lest, issalva u agħlaq il-fajl. Imbagħad erġa ibda s-servizz sshd biex tapplika l-bidla riċenti fil-konfigurazzjonijiet.
$ sudo systemctl restart sshd OR $ sudo service sshd restart
Kif forsi diġà taf, dan il-metodu jaffettwa biss is-sett ta 'għodod openssh, programmi bħal ssh, scp, sftp se jiġu mblukkati milli jaċċessaw il-kont root.
4. Irrestrinġi Aċċess għerq għas-Servizzi Via PAM
Moduli ta 'Awtentikazzjoni Pluggable (PAM fil-qosor) huwa metodu ta' awtentikazzjoni ċentralizzat, pluggable, modulari u flessibbli fuq sistemi Linux. PAM, permezz tal-modulu /lib/security/pam_listfile.so, jippermetti flessibilità kbira fil-limitazzjoni tal-privileġġi ta 'kontijiet speċifiċi.
Il-modulu ta 'hawn fuq jista' jintuża biex jirreferi għal lista ta 'utenti li mhumiex permessi jidħlu permezz ta' xi servizzi fil-mira bħal login, ssh u kwalunkwe programm konxju tal-PAM.
F'dan il-każ, irridu tiddiżattiva l-aċċess tal-utent root għal sistema, billi nirrestrinġu l-aċċess għas-servizzi tal-login u sshd. L-ewwel iftaħ u editja l-fajl għas-servizz fil-mira fid-direttorju /etc/pam.d/ kif muri.
$ sudo vim /etc/pam.d/login OR sudo vim /etc/pam.d/sshd
Sussegwentement, żid il-konfigurazzjoni hawn taħt fiż-żewġ fajls.
auth required pam_listfile.so \ onerr=succeed item=user sense=deny file=/etc/ssh/deniedusers
Meta tkun lest, issalva u agħlaq kull fajl. Imbagħad oħloq il-fajl sempliċi /etc/ssh/deniedusers li għandu jkun fih oġġett wieħed għal kull linja u mhux jinqara mid-dinja.
Żid l-għerq tal-isem fiha, imbagħad issalva u agħlaq.
$ sudo vim /etc/ssh/deniedusers
Issettja wkoll il-permessi meħtieġa fuq dan.
$ sudo chmod 600 /etc/ssh/deniedusers
Dan il-metodu jaffettwa biss programmi u servizzi li huma konxji tal-PAM. Tista 'tibblokka l-aċċess għerq għas-sistema permezz ta' klijenti ftp u email u aktar.
Għal aktar informazzjoni, ikkonsulta l-paġni man rilevanti.
$ man pam_securetty $ man sshd_config $ man pam
Dak kollox! F'dan l-artikolu, spjegajna erba' modi ta 'diżattivazzjoni tal-login (jew kont) tal-utent root fil-Linux. Għandek xi kummenti, suġġerimenti jew mistoqsijiet, tħossok liberu li tilħaqna permezz tal-formola ta' feedback hawn taħt.