Alle von uns, die Windows- oder Mac-Computer verwaltet und verwendet haben, mussten den Administrator oder den Root-Benutzer aktivieren oder deaktivieren. Heutzutage müssen wir wissen, wie man es in einer Linux-Distribution macht , Fedora , Debian , Ubuntu usw. anruft . Wir wissen, welche Bedeutung und Reichweite der Root-Benutzer im System hat, da dieser Benutzer das Betriebssystem vollständig verwalten kann, ohne dass dies erforderlich ist Einschränkung.
Dies ist wichtig für unsere Rollen als Administratoren, kann jedoch für die gesamte Infrastruktur gefährlich werden, wenn sie von Personen ohne Genehmigung oder ohne das erforderliche Wissen auf falsche Weise manipuliert wird.
Wir wissen, dass ein Benutzer in einigen Linux-Distributionen nicht auf einen Root-Benutzer zugreifen kann. Deshalb müssen wir dem sudo-Begriff ein Präfix voranstellen, damit der ausgeführte Befehl korrekt verarbeitet werden kann. Einige Tasks müssen jedoch ausschließlich von root ausgeführt werden Sicherheit und nicht nur mit sudo.
Ein Root-Benutzer birgt Risiken, da er absolute Berechtigungen für Systemänderungen besitzt. Wir müssen diesen Account gut schützen, was problematisch ist, wenn wir unser Passwort vergessen. Ein Detail in einigen Linux-Distributionen ist, dass das Standard-Root-Konto deaktiviert ist, was zur Verwendung des Befehls sudo führt. Wenn wir es jedoch vorziehen, dass unser Konto root ist, ohne diesen Befehl verwenden zu müssen, können wir ihn direkt aktivieren.
Heute werden wir sehen, wie wir diesen Root-Benutzer aus unseren Linux-Umgebungen entfernen können, um diese Art von Unannehmlichkeiten zu vermeiden. Obwohl wir Ihnen zeigen, wie es für jede Distribution gemacht wird, ist hier ein Beispiel, wie es in Ubuntu gemacht wird:
Um auf dem Laufenden zu bleiben, sollten Sie unseren YouTube-Kanal abonnieren. ABONNIEREN
Denken Sie auch daran, dass wir in UNIX-Betriebssystemen speziell von Linux sprechen und Benutzer mit Administratorrechten erstellen können. Der Benutzer, der mehr Macht über andere hat und sehr vorsichtig ist, ist der Root-Benutzer, der aktiviert oder deaktiviert werden kann Verwenden Sie ihre Genehmigungen vor sudo, aber wenn sie falsch gehandhabt werden, kann dies zweifellos negative Auswirkungen sowohl auf die Struktur des Systems als auch auf die dort gehosteten Informationen oder Dienste haben.
Der Root-Benutzer hat Zugriff auf alle Befehle und Dateien mit vollständigen Lese-, Schreib- oder Ausführungsberechtigungen und kann zum Ausführen beliebiger Aufgaben innerhalb des Betriebssystems verwendet werden, z. B. zum Erstellen, Aktualisieren oder Löschen von Konten anderer Benutzer sowie zum Installieren , aktualisieren oder entfernen Sie Softwarepakete, mit denen die Konsequenzen drastisch sein können.
Eine bewährte Methode für den Fall, dass die Informationen vertraulich oder vertraulich sind, besteht darin, den Linux-Root-Benutzer zu deaktivieren. Hierzu benötigen wir jedoch ein Konto mit Administratorrechten, mit dem der Befehl sudo verwendet werden kann, um Root-Rechte zu erhalten. .
Zum Beispiel können wir ein Konto wie das folgende erstellen:
useradd -m -c "TechnoWikis" admin passwd admin
Mit dem Befehl useradd, mit dem wir den Benutzer erstellen, bedeutet der Parameter -m, dass wir das Ausgangsverzeichnis des Benutzers erstellen, und mit dem Parameter -c können wir einen Kommentar für diesen Benutzer angeben.
Danach müssen wir den Benutzer mit dem Befehl usermod zur Gruppe der Systemadministratoren hinzufügen. Dabei gibt der Schalter -a, zu dem er das Benutzerkonto hinzufügt, und -G eine Gruppe an, zu der der Benutzer hinzugefügt werden soll:
usermod -aG wheel admin (CentOS / RHEL) usermod -aG sudo admin (Debian / Ubuntu)
TechnoWikis erklärt die verschiedenen Möglichkeiten, diesen Benutzer unter Linux zu deaktivieren. (auch eine um es zu aktivieren).
1. Aktivieren Sie den Root-Benutzer unter Linux
Wir begannen mit der Möglichkeit, einen Root-Benutzer zu aktivieren.
Wenn wir den Root-Benutzer nach einiger Zeit wieder deaktivieren müssen, können wir ihn mit dem folgenden Befehl wieder im System aktivieren:
sudo passwd root
Mit diesem Befehl wird es gemacht.
Im angezeigten Fenster müssen wir ein Passwort für den Root-Benutzer einrichten.
2. Deaktivieren Sie den Root-Benutzer und löschen Sie das Kennwort unter Linux
Um diesen Vorgang auszuführen, müssen wir den Benutzer ändern, mit dem wir uns beim Root-Benutzer angemeldet haben. Dazu führen wir den folgenden Befehl aus und geben unser Administratorkennwort ein.
sudo -s
Sobald wir als Root-Benutzer angemeldet sind, müssen wir den folgenden Befehl ausführen, um das Root-Passwort zu entfernen:
passwd --lock root
Mit diesem Befehl können wir den Zugriff auf den Root-Benutzer vollständig deaktivieren. Um zu überprüfen , ob der Root-Benutzer unser Passwort eingegeben hat, wird Folgendes angezeigt:
Eine weitere Sicherheitsoption, die wir für den Benutzer verwenden können, besteht darin, sein aktuelles Kennwort mit dem folgenden Befehl zu ändern :
passwd -d root
Mit diesem Befehl wäre es getan.
3. Deaktivieren Sie den Root-Benutzer in der Shell
Die einfachste Möglichkeit, die Anmeldung des Root-Benutzers zu deaktivieren, besteht darin, die Shell in der Datei / etc / passwd, die mit einem beliebigen Editor geöffnet werden kann, vom Verzeichnis / bin / bash oder / bin / bash in / sbin / nologin zu ändern :
sudo nano / etc / passwd
Wir werden folgendes sehen:
Dort müssen wir die root-Zeile ändern: x: 0: 0: root: / root: / bin / bash durch root: x: 0: 0: root: / root: / sbin / nologin:
Speichern Sie die Änderungen mit den Tasten Strg + O und beenden Sie den Editor mit Strg + X.
Wenn sich der Root-Benutzer von nun an anmeldet, wird die Meldung “Dieses Konto ist derzeit nicht verfügbar” angezeigt. Dies ist die Standardmeldung. Wenn Sie diese jedoch ändern und eine personalisierte Meldung konfigurieren möchten, können Sie dies in der Datei / etc / nologin tun. txt.
4. Deaktivieren Sie den Root-Benutzer über das Konsolengerät (TTY).
Diese Methode verwendet ein PAM-Modul namens pam_securetty, das den Root-Zugriff nur ermöglicht, wenn sich der Benutzer bei einem sicheren TTY anmeldet, wie in der Auflistung in:
/ etc / securetty
Mit dieser vorherigen Datei kann festgelegt werden, auf welchen TTY-Geräten sich der Root-Benutzer anmelden darf. Wenn wir diese Datei löschen, wird die Anmeldung auf allen verbundenen Geräten verhindert.
Um eine leere Datei zu erstellen, führen wir Folgendes aus:
sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securetty
Damit wird es geschaffen.
Diese Methode gilt nur für Bildschirmadministratoren (z. B. gdm, kdm und xdm) und andere Netzwerkdienste, die ein TTY starten. Für andere Programme (z. B. sudo, sudo, ssh) haben Sie jedoch Zugriff auf das Root-Konto.
5 Deaktivieren Sie den Root-Start über SSH
Es ist eine übliche Methode, als Root über SSH zuzugreifen. Um die Anmeldung des Root-Benutzers zu blockieren, muss die Datei / etc / ssh / sshd_config bearbeitet werden:
sudo nano / etc / ssh / sshd_config
Dort müssen wir die Zeile “PermitRootLogin” dekommentieren und ihren Wert auf no setzen.
Danach müssen wir die Änderung mit einer der folgenden Zeilen aktualisieren:
sudo systemctl starte sshd neu
O.
Sudo-Dienst sshd Neustart
Damit wird es realisiert.
6 Deaktivieren Sie root über PAM
PAM (Pluggable Authentication Modules) ist eine zentrale, modulare und flexible Methode zur Authentifizierung in Linux-Systemen. Mit PAM können im Modul /lib/security/pam_listfile.so bestimmte Aufgaben ausgeführt werden, um die Berechtigungen bestimmter Konten einzuschränken.
In diesem Modul kann eine Liste von Benutzern erstellt werden, die sich nicht über bestimmte Zieldienste wie Login, SSH und andere mit PAM kompatible Programme anmelden dürfen.
Um dies zu erreichen, müssen wir auf die Datei für den Zieldienst im Verzeichnis /etc/pam.d/ mit einer der folgenden Optionen zugreifen und diese bearbeiten:
sudo nano /etc/pam.d/login
O.
sudo nano /etc/pam.d/sshd
Dort werden wir Folgendes hinzufügen:
auth erforderlich pam_listfile.so onerr = succeed item = user sense = deny file = / etc / ssh / deniedusers
Wir speichern die Änderungen und verlassen den Editor.
Jetzt erstellen wir die flache Datei / etc / ssh / deniedusers, die ein Element pro Zeile enthalten muss und für andere Benutzer nicht zugänglich ist:
sudo nano / etc / ssh / deniedusers
Wir erteilen weiterhin Genehmigungen:
sudo chmod 600 / etc / ssh / deniedusers
Mit einigen dieser Methoden haben wir den Root-Benutzer in Linux deaktiviert.
Wir haben gesehen, wie wir diesen Sicherheitsvorteil erzielen können, indem wir den Root-Benutzer deaktiviert haben. Falls unser System jedoch nicht auf viele Benutzer zugreift oder wir wissen, dass die Personen, auf die zugegriffen wird, vertrauenswürdig und autorisiert sind, ist es nicht erforderlich, diese Aufgabe auszuführen. Wenn wir es immer noch brauchen, haben Sie gesehen, wie einfach es ist, diesen Root-Benutzer in einem der Abschnitte wieder zu aktivieren.
tener que deshabilitar el usuario root en Ubuntu y aquí verás una forma sencilla de realizarlo. Vielleicht haben Sie sich auch in der Situation gesehen, dass Sie den Root-Benutzer in Ubuntu deaktivieren müssen, und hier sehen Sie eine einfache Möglichkeit, dies zu tun.