4 tapaa poistaa root-tili käytöstä Linuxissa


Root-tili on Linuxin ja muiden Unix-tyyppisten käyttöjärjestelmien paras tili. Tällä tilillä on pääsy kaikkiin järjestelmän komentoihin ja tiedostoihin, joilla on täydet luku-, kirjoitus- ja suoritusoikeudet. Sitä käytetään kaikenlaisten tehtävien suorittamiseen järjestelmässä; luoda/päivittää/käyttää/poistaa muiden käyttäjien tilejä, asentaa/poistaa/päivittää ohjelmistopaketteja ja paljon muuta.

Koska juurikäyttäjällä on ehdottomat valtuudet, kaikki hänen suorittamansa toiminnot ovat kriittisiä järjestelmässä. Tässä suhteessa kaikki juurikäyttäjän tekemät virheet voivat vaikuttaa merkittävästi järjestelmän normaaliin toimintaan. Lisäksi tätä tiliä voidaan väärinkäyttää myös käyttämällä sitä väärin tai sopimattomasti joko vahingossa, haitallisesti tai keinotekoisen tietämättömyyden vuoksi käytännöistä.

Siksi on suositeltavaa poistaa pääkäyttäjän oikeudet Linux-palvelimeltasi, vaan luoda sen sijaan järjestelmänvalvojatili, joka tulee määrittää saamaan pääkäyttäjän oikeudet sudo-komennolla kriittisten tehtävien suorittamiseksi palvelimella.

Tässä artikkelissa selitämme neljä tapaa poistaa root-käyttäjätilin kirjautuminen käytöstä Linuxissa.

Huom.: Ennen kuin estät pääsyn root-tiliin, varmista, että olet luonut järjestelmänvalvojan tilin, joka pystyy hankkimaan rootin sudo-komennolla. käyttäjäoikeudet, useradd-komennolla ja anna tälle käyttäjätilille vahva salasana. Lippu -m tarkoittaa käyttäjän kotihakemiston luomista ja -c sallii kommentin määrittämisen:

useradd -m -c "Admin User" admin
passwd admin

Lisää seuraavaksi tämä käyttäjä sopivaan järjestelmänvalvojien ryhmään komennolla usermod, jossa kytkin -a tarkoittaa liitä käyttäjätiliä ja -G määrittää ryhmän käyttäjän lisättäväksi. in (wheel tai sudo riippuen Linux-jakelusta):

usermod -aG wheel admin    #CentOS/RHEL
usermod -aG sudo admin     #Debian/Ubuntu 

Kun olet luonut käyttäjän, jolla on järjestelmänvalvojan oikeudet, vaihda kyseiseen tiliin estääksesi pääkäyttäjän oikeudet.

su admin

1. Vaihda pääkäyttäjän komentotulkki

Yksinkertaisin tapa poistaa pääkäyttäjän kirjautuminen käytöstä on muuttaa sen komentotulkki arvosta /bin/bash tai /bin/bash (tai mikä tahansa muu komentotulkki, joka sallii käyttäjän kirjautumisen) muotoon /sbin/nologin /etc/passwd-tiedostossa, jonka voit avata muokattavaksi millä tahansa suosikkikomentorivieditorillasi kuvan osoittamalla tavalla.

  
sudo vim /etc/passwd

Muuta riviä:

root:x:0:0:root:/root:/bin/bash
to
root:x:0:0:root:/root:/sbin/nologin

Tallenna tiedosto ja sulje se.

Tästä eteenpäin, kun root-käyttäjä kirjautuu sisään, hän saa viestin "Tämä tili ei ole tällä hetkellä käytettävissä." Tämä on oletusviesti, mutta voit muuta sitä ja aseta mukautettu viesti tiedostoon /etc/nologin.txt.

Tämä menetelmä toimii vain ohjelmissa, jotka vaativat komentotulkin käyttäjän kirjautumiseen, muuten sudo-, ftp- ja sähköpostiohjelmat voivat käyttää päätiliä.

2. Poista root-kirjautuminen käytöstä konsolilaitteen kautta (TTY)

Toinen menetelmä käyttää PAM-moduulia nimeltä pam_securetty, joka sallii pääkäyttäjän oikeudet vain, jos käyttäjä kirjautuu sisään "suojatulla" TTY:llä, kuten määritettynä tiedostossa /etc/securetty.

Yllä olevan tiedoston avulla voit määrittää, mille TTY-laitteille pääkäyttäjä saa kirjautua. Tämän tiedoston tyhjentäminen estää pääkäyttäjän kirjautumisen tietokonejärjestelmään liitetyissä laitteissa.

Luo tyhjä tiedosto suorittamalla.

sudo mv /etc/securetty /etc/securetty.orig
sudo touch /etc/securetty
sudo chmod 600 /etc/securetty

Tällä menetelmällä on joitain rajoituksia, se vaikuttaa vain ohjelmiin, kuten kirjautumiseen, näytönhallintaohjelmiin (eli gdm, kdm ja xdm) ja muihin verkkopalveluihin, jotka käynnistää TTY. Ohjelmilla, kuten su, sudo, ssh ja muilla vastaavilla openssh-työkaluilla, on pääsy juuritiliin.

3. Poista SSH Root Login käytöstä

Yleisin tapa päästä etäpalvelimiin tai VPS:ihin on SSH:n kautta, ja jos haluat estää pääkäyttäjän kirjautumisen sen alla, sinun on muokattava tiedostoa /etc/ssh/sshd_config.

sudo vim /etc/ssh/sshd_config

Poista sitten kommentit (jos se on kommentoitu) käskystä PermitRootLogin ja aseta sen arvoksi no kuten kuvakaappauksessa näkyy.

Kun olet valmis, tallenna ja sulje tiedosto. Käynnistä sitten sshd-palvelu uudelleen ottaaksesi käyttöön viimeisimmät kokoonpanomuutokset.

sudo systemctl restart sshd 
OR
sudo service sshd restart 

Kuten ehkä jo tiedät, tämä menetelmä vaikuttaa vain openssh-työkalusarjaan, ohjelmia, kuten ssh, scp, sftp, estetään pääsemästä päätiliin.

4. Rajoita juuripääsy palveluihin PAM:n kautta

Pluggable Authentication Modules (lyhyesti PAM) on keskitetty, kytkettävä, modulaarinen ja joustava todennusmenetelmä Linux-järjestelmissä. PAM /lib/security/pam_listfile.so-moduulin kautta mahdollistaa suuren joustavuuden tiettyjen tilien oikeuksien rajoittamisessa.

Yllä olevaa moduulia voidaan käyttää viittaamaan luetteloon käyttäjistä, jotka eivät saa kirjautua sisään joidenkin kohdepalveluiden, kuten login, ssh ja muiden PAM-tietoisten ohjelmien, kautta.

Tässä tapauksessa haluamme estää pääkäyttäjän pääsyn järjestelmään rajoittamalla pääsyä kirjautumis- ja sshd-palveluihin. Avaa ja muokkaa ensin kohdepalvelun tiedostoa /etc/pam.d/-hakemistossa kuvan mukaisesti.


sudo vim /etc/pam.d/login
OR
sudo vim /etc/pam.d/sshd

Lisää seuraavaksi alla oleva kokoonpano molempiin tiedostoihin.

auth    required       pam_listfile.so \
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

Kun olet valmis, tallenna ja sulje jokainen tiedosto. Luo sitten tavallinen tiedosto /etc/ssh/deniedusers, jonka tulee sisältää yksi kohde riviä kohden ja joka ei ole maailmanlaajuisesti luettavissa.

Lisää siihen nimi root, tallenna ja sulje se.

sudo vim /etc/ssh/deniedusers

Aseta myös tarvittavat käyttöoikeudet tähän.

sudo chmod 600 /etc/ssh/deniedusers

Tämä menetelmä vaikuttaa vain ohjelmiin ja palveluihin, jotka ovat PAM-tietoisia. Voit estää pääkäyttäjän pääsyn järjestelmään ftp- ja sähköpostiohjelmien ja muiden kautta.

Lisätietoja saat vastaavilta man-sivuilta.

man pam_securetty
man sshd_config
man pam

Siinä kaikki! Tässä artikkelissa olemme selittäneet neljä tapaa poistaa pääkäyttäjän kirjautuminen (tai tili) pois käytöstä Linuxissa. Jos sinulla on kommentteja, ehdotuksia tai kysymyksiä, ota meihin yhteyttä alla olevan palautelomakkeen kautta.