4 Weeër fir Root Account am Linux auszeschalten


De Root Account ass den ultimative Kont op engem Linux an aner Unix-ähnlech Betribssystemer. Dëse Kont huet Zougang zu all Kommandoen an Dateien op engem System mat voller Lies-, Schreif- an Ausféierungsrechter. Et gëtt benotzt fir all Zort Aufgab op engem System auszeféieren; Software Packagen z'installéieren/ewechzehuelen/upgraden, a sou vill méi.

Well de Root Benotzer absolut Muechten huet, sinn all Aktiounen déi hien/hatt ausféiert kritesch op engem System. An dëser Hisiicht kënnen all Feeler vum Root Benotzer enorm Implikatioune fir den normale Betrib vun engem System hunn. Zousätzlech kann dëse Kont och mëssbraucht ginn andeems en et falsch oder onpassend benotzt, entweder zoufälleg, béiswëlleg oder duerch konstruéiert Ignoranz vu Politiken.

Dofir ass et unzeroden de Root-Zougang an Ärem Linux-Server auszeschalten, amplaz en administrativen Kont ze kreéieren deen konfiguréiert soll sinn fir Root Benotzer Privilegien ze kréien mam sudo Kommando, fir kritesch Aufgaben um Server auszeféieren.

An dësem Artikel erkläre mir véier Weeër fir de Root Benotzerkont Login an Linux auszeschalten.

Opgepasst: Ier Dir den Zougang zum Rootkonto blockéiert, gitt sécher datt Dir en administrativen Kont erstallt hutt, fäeg de Benotzeradd Kommando ze benotzen a gitt dësem Benotzerkont e staarkt Passwuert. De Fändel -m heescht den Heemverzeechnes vum Benotzer erstellen an -c erlaabt e Kommentar ze spezifizéieren:

# useradd -m -c "Admin User" admin
# passwd admin

Als nächst füügt dëse Benotzer un déi entspriechend Grupp vu Systemadministratoren mat dem Usermod Kommando, wou de Schalter -a bedeit Benotzerkont addéieren an -G spezifizéiert eng Grupp fir de Benotzer derbäi ze ginn. an (Rad oder Sudo ofhängeg vun Ärer Linux Verdeelung):

# usermod -aG wheel admin    #CentOS/RHEL
# usermod -aG sudo admin     #Debian/Ubuntu 

Wann Dir e Benotzer mat administrativen Privilegien erstallt hutt, wiesselt op dee Kont fir de Root Zougang ze blockéieren.

# su admin

1. Root Benotzer Shell änneren

Déi einfachst Method fir de Root Benotzer Login auszeschalten ass seng Shell ze änneren vun /bin/bash oder /bin/bash (oder all aner Shell déi de Benotzer Login erlaabt) op /sbin/nologin, an der /etc/passwd Datei, déi Dir opmaache kënnt fir ze änneren mat engem vun Äre Liiblings Kommandozeil Editoren wéi gewisen.

  
$ sudo vim /etc/passwd

D'Linn änneren:

root:x:0:0:root:/root:/bin/bash
to
root:x:0:0:root:/root:/sbin/nologin

Späichert d'Datei a maach se zou.

Vun elo un, wann de Root Benotzer sech aloggen, kritt hien/hatt de Message Dëse Kont ass momentan net verfügbar. Dëst ass de Standard Message, awer Dir kënnt et änneren an e personaliséierte Message an der Datei /etc/nologin.txt setzen.

Dës Method ass nëmme effektiv mat Programmer déi eng Shell fir de Benotzer Login erfuerderen, soss kënnen sudo, ftp an E-Mail Clienten op de Root Account zougräifen.

2. Root Login iwwer Console Device (TTY) deaktivéieren

Déi zweet Method benotzt e PAM-Modul mam Numm pam_securetty, deen de Root-Zougang nëmmen erlaabt wann de Benotzer op e sécher TTY aloggen, wéi definéiert vun der Oplëschtung an /etc/securetty.

Déi uewe genannte Datei erlaabt Iech ze spezifizéieren op wéi eng TTY-Geräter de Root-Benotzer erlaabt ass ze aloggen, dës Datei eidel verhënnert Root-Login op all Apparater, déi mam Computersystem verbonne sinn.

Fir eng eidel Datei ze kreéieren, lafen.

$ sudo mv /etc/securetty /etc/securetty.orig
$ sudo touch /etc/securetty
$ sudo chmod 600 /etc/securetty

Dës Method huet e puer Aschränkungen, et beaflosst nëmmen Programmer wéi Login, Displaymanager (dh gdm, kdm an xdm) an aner Netzwierkservicer déi en TTY starten. Programmer wéi su, sudo, ssh, an aner verwandte openssh Tools hunn Zougang zum Root Kont.

3. Desaktivéiere SSH Root Login

Deen allgemengste Wee fir Zougang zu Remote Serveren oder VPSs ass iwwer SSH a fir de Root Benotzer Login drënner ze blockéieren, musst Dir d' /etc/ssh/sshd_config Datei änneren.

$ sudo vim /etc/ssh/sshd_config

Dann decommentéiert (wann et kommentéiert gëtt) d'Direktiv PermitRootLogin a setzt säi Wäert op nee wéi am Screenshot gewisen.

Wann Dir fäerdeg sidd, späichert d'Datei a schléisst. Da starten den sshd Service nei fir déi rezent Ännerung vun de Konfiguratiounen anzesetzen.

$ sudo systemctl restart sshd 
OR
$ sudo service sshd restart 

Wéi Dir vläicht scho wësst, beaflosst dës Method nëmmen openssh Tools Set, Programmer wéi ssh, scp, sftp ginn blockéiert fir Zougang zum Root Account ze kréien.

4. Beschränken root Zougang zu Services Via PAM

Pluggable Authentication Modules (PAM a kuerz) ass eng zentraliséiert, pluggbar, modulär a flexibel Method vun der Authentifikatioun op Linux Systemer. PAM, duerch de /lib/security/pam_listfile.so Modul, erlaabt grouss Flexibilitéit fir d'Privilegien vu spezifesche Konten ze limitéieren.

Déi uewe genannte Modul kann benotzt ginn fir eng Lëscht vu Benotzer ze referenzéieren déi net erlaabt sinn iwwer e puer Zilservicer aloggen wéi Login, ssh an all PAM bewosst Programmer.

An dësem Fall wëlle mir de Root Benotzer Zougang zu engem System auszeschalten, andeems Dir Zougang zu Login an sshd Servicer beschränkt. Éischt opmaachen an änneren d'Datei fir den Zilservice am /etc/pam.d/ Verzeichnis wéi gewisen.

$ sudo vim /etc/pam.d/login
OR
sudo vim /etc/pam.d/sshd

Als nächst füügt d'Konfiguratioun hei ënnen a béid Dateien.

auth    required       pam_listfile.so \
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

Wann Dir fäerdeg sidd, späichert an zou all Datei. Erstellt dann déi einfach Datei /etc/ssh/deniedusers déi een Element pro Zeil sollt enthalen an net liesbar op der Welt.

Füügt den Numm root derbäi, da späichert an zou.

$ sudo vim /etc/ssh/deniedusers

Setzt och déi erfuerderlech Permissiounen op dëser.

$ sudo chmod 600 /etc/ssh/deniedusers

Dës Method beaflosst nëmme Programmer a Servicer déi PAM bewosst sinn. Dir kënnt de Root Zougang zum System iwwer ftp an E-Mail Clienten a méi blockéieren.

Fir méi Informatiounen, konsultéiert déi zoustänneg Mann Säiten.

$ man pam_securetty
$ man sshd_config
$ man pam

Dat ass alles! An dësem Artikel hu mir véier Weeër erkläert fir de Root User Login (oder Kont) op Linux auszeschalten. Hutt Dir Kommentaren, Suggestiounen oder Froen, kommt Iech gär bei eis iwwer de Feedbackformular hei ënnen.