4 leiðir til að slökkva á rótarreikningi í Linux

Rótarreikningurinn er fullkominn reikningur á Linux og öðrum Unix-líkum stýrikerfum. Þessi reikningur hefur aðgang að öllum skipunum og skrám á kerfi með fullum heimildum til að lesa, skrifa og framkvæma. Það er notað til að framkvæma hvers kyns verkefni á kerfi; að setja upp/fjarlægja/uppfæra hugbúnaðarpakka og svo margt fleira.

Vegna þess að rótnotandinn hefur alger völd, eru allar aðgerðir sem hann/hún framkvæmir mikilvægar á kerfinu. Í þessu sambandi geta allar villur rótnotandans haft gríðarleg áhrif á eðlilega starfsemi kerfis. Að auki gæti þessi reikningur einnig verið misnotaður með því að nota hann á óviðeigandi eða óviðeigandi hátt annaðhvort óvart, illgjarn eða með tilgerðarlegri vanþekkingu á reglum.

Þess vegna er ráðlegt að slökkva á rótaraðgangi á Linux þjóninum þínum, í staðinn, búa til stjórnunarreikning sem ætti að vera stilltur til að öðlast rótnotendaréttindi með því að nota sudo skipunina, til að framkvæma mikilvæg verkefni á þjóninum.

Í þessari grein munum við útskýra fjórar leiðir til að slökkva á innskráningu rótnotandareiknings í Linux.

Athugið: Áður en þú lokar á aðgang að rótarreikningnum skaltu ganga úr skugga um að þú hafir búið til stjórnunarreikning sem getur notað useradd skipunina og gefðu þessum notandareikningi sterkt lykilorð. Fáninn -m þýðir að búa til heimaskrá notandans og -c gerir kleift að tilgreina athugasemd:

# useradd -m -c "Admin User" admin
# passwd admin

Næst skaltu bæta þessum notanda við viðeigandi hóp kerfisstjóra með usermod skipuninni, þar sem rofinn -a þýðir að bæta við notandareikningi og -G tilgreinir hóp til að bæta við notandanum in (hjól eða sudo eftir Linux dreifingu):

# usermod -aG wheel admin    #CentOS/RHEL
# usermod -aG sudo admin     #Debian/Ubuntu 

Þegar þú hefur búið til notanda með stjórnunarréttindi skaltu skipta yfir á þann reikning til að loka fyrir rótaraðgang.

# su admin

1. Breyttu skel rótnotanda

Einfaldasta aðferðin til að slökkva á innskráningu rótarnotanda er að breyta skel hennar úr /bin/bash eða /bin/bash (eða einhverri annarri skel sem leyfir notandainnskráningu) í /sbin/nologin, í /etc/passwd skránni, sem þú getur opnað til að breyta með því að nota hvaða af uppáhalds skipanalínuritlinum þínum eins og sýnt er.

  
$ sudo vim /etc/passwd

Breyttu línunni:

root:x:0:0:root:/root:/bin/bash
to
root:x:0:0:root:/root:/sbin/nologin

Vistaðu skrána og lokaðu henni.

Héðan í frá, þegar rótnotandi skráir sig inn, mun hann/hún fá skilaboðin „Þessi reikningur er ekki tiltækur eins og er.“ Þetta er sjálfgefið skilaboð, en þú getur breytt því og stillt sérsniðin skilaboð í skránni /etc/nologin.txt.

Þessi aðferð er aðeins áhrifarík með forritum sem krefjast skel fyrir notendainnskráningu, annars geta sudo, ftp og tölvupóstforrit fengið aðgang að rótarreikningnum.

2. Slökktu á innskráningu rótar í gegnum Console Device (TTY)

Önnur aðferðin notar PAM-einingu sem kallast pam_securetty, sem leyfir aðeins rótaraðgang ef notandinn er að skrá sig inn á „öruggt“ TTY, eins og það er skilgreint með skráningunni í /etc/securetty.

Ofangreind skrá gerir þér kleift að tilgreina hvaða TTY tæki rótnotandanum er heimilt að skrá sig inn á, að tæma þessa skrá kemur í veg fyrir rótinnskráningu á hvaða tæki sem eru tengd við tölvukerfið.

Til að búa til tóma skrá skaltu keyra.

$ sudo mv /etc/securetty /etc/securetty.orig
$ sudo touch /etc/securetty
$ sudo chmod 600 /etc/securetty

Þessi aðferð hefur nokkrar takmarkanir, hún hefur aðeins áhrif á forrit eins og innskráningu, skjástjóra (þ.e. gdm, kdm og xdm) og aðra netþjónustu sem ræsir TTY. Forrit eins og su, sudo, ssh og önnur tengd openssh verkfæri munu hafa aðgang að rótarreikningnum.

3. Slökktu á SSH Root Login

Algengasta leiðin til að fá aðgang að ytri netþjónum eða VPS er í gegnum SSH og til að loka fyrir innskráningu rótnotanda undir því þarftu að breyta /etc/ssh/sshd_config skránni.

$ sudo vim /etc/ssh/sshd_config

Slepptu síðan (ef það er skrifað athugasemd) við tilskipunina PermitRootLogin og stilltu gildi hennar á nei eins og sýnt er á skjámyndinni.

Þegar þú ert búinn skaltu vista og loka skránni. Endurræstu síðan sshd þjónustuna til að beita nýlegri breytingu á stillingum.

$ sudo systemctl restart sshd 
OR
$ sudo service sshd restart 

Eins og þú veist ef til vill hefur þessi aðferð aðeins áhrif á openssh verkfærasett, forrit eins og ssh, scp, sftp verður lokað fyrir aðgang að rótarreikningnum.

4. Takmarka aðgang að rótum að þjónustu í gegnum PAM

Pluggable Authentication Modules (PAM í stuttu máli) er miðlæg, tengjanleg, mát og sveigjanleg auðkenningaraðferð á Linux kerfum. PAM, í gegnum /lib/security/pam_listfile.so eininguna, leyfir mikinn sveigjanleika við að takmarka réttindi tiltekinna reikninga.

Hægt er að nota ofangreinda einingu til að vísa til lista yfir notendur sem hafa ekki leyfi til að skrá sig inn í gegnum suma miðaþjónustu eins og innskráningu, ssh og hvaða PAM sem er meðvituð um forrit.

Í þessu tilviki viljum við slökkva á aðgangi rótnotenda að kerfi með því að takmarka aðgang að innskráningu og sshd þjónustu. Opnaðu fyrst og breyttu skránni fyrir markþjónustuna í /etc/pam.d/ möppunni eins og sýnt er.

$ sudo vim /etc/pam.d/login
OR
sudo vim /etc/pam.d/sshd

Næst skaltu bæta við stillingunum hér að neðan í báðum skrám.

auth    required       pam_listfile.so \
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

Þegar þú ert búinn skaltu vista og loka hverri skrá. Búðu síðan til látlausu skrána /etc/ssh/deniedusers sem ætti að innihalda eitt atriði í hverri línu og er ekki læsilegt í heiminum.

Bættu nafninu við rótinni, vistaðu síðan og lokaðu því.

$ sudo vim /etc/ssh/deniedusers

Stilltu einnig nauðsynlegar heimildir fyrir þetta.

$ sudo chmod 600 /etc/ssh/deniedusers

Þessi aðferð hefur aðeins áhrif á forrit og þjónustu sem eru meðvituð um PAM. Þú getur lokað á rótaraðgang að kerfinu í gegnum ftp og tölvupóstforrit og fleira.

Nánari upplýsingar er að finna á viðeigandi mansíðum.

$ man pam_securetty
$ man sshd_config
$ man pam

Það er allt og sumt! Í þessari grein höfum við útskýrt fjórar leiðir til að slökkva á innskráningu rótnotanda (eða reikningi) í Linux. Hefur þú einhverjar athugasemdir, ábendingar eða spurningar, ekki hika við að hafa samband við okkur í gegnum athugasemdaformið hér að neðan.