So aktivieren oder deaktivieren Sie den Root-Benutzer in Linux

Alle von uns, die Windows- oder Mac-Computer verwaltet und verwendet haben, mussten Administrator- oder Root-Benutzer aktivieren oder deaktivieren. Heute müssen wir wissen, wie es in einer Linux-Distribution geht, nennen wir es Fedora, Debian, Ubuntu usw. Wir kennen die Bedeutung und den Umfang des Root-Benutzers innerhalb des Systems, da dieser Benutzer die Macht hat, das Betriebssystem vollständig zu verwalten, ohne jede Einschränkung.

Dies ist für unsere Rollen als Administratoren wichtig, kann aber für die gesamte Infrastruktur gefährlich werden, wenn sie von Personen ohne Berechtigung oder ohne die notwendigen Kenntnisse in falscher Weise manipuliert wird.

Wir wissen, dass ein Benutzer in einigen Linux-Distributionen keinen Zugriff darauf hat, ein Root-Benutzer zu sein, daher müssen wir den Begriff sudo voranstellen, damit der von uns ausgeführte Befehl korrekt verarbeitet werden kann, aber einige Aufgaben müssen von der Sicherheit ausschließlich als Root ausgeführt werden und nicht nur mit sudo.

Einen Root-Benutzer zu haben, birgt Risiken, da er absolute Berechtigungen für Systemänderungen hat. Dieses Konto muss gut geschützt sein, was problematisch ist, wenn wir unser Passwort vergessen. Ein Detail in einigen Linux-Distributionen ist, dass das Root-Konto standardmäßig deaktiviert ist, was zur Verwendung des sudo-Befehls führt. Wenn wir es jedoch vorziehen, dass unser Konto root ist, ohne diesen Befehl verwenden zu müssen, können wir es direkt aktivieren.

Heute werden wir sehen, wie wir diesen Root-Benutzer aus unseren Linux-Umgebungen entfernen können, um diese Art von Unannehmlichkeiten zu vermeiden. Obwohl wir Ihnen zeigen, wie es für jede Distribution gemacht wird, ist hier ein Beispiel dafür, wie es in Ubuntu gemacht wird:

Denken Sie auch daran, dass wir in UNIX-Betriebssystemen speziell über Linux sprechen. Wir können Benutzer mit Administratorrechten erstellen, aber der Benutzer, der mehr Macht über die anderen hat und sehr vorsichtig damit umgeht, ist der Root-Benutzer, der aktiviert werden kann oder seine Berechtigungen mit dem Präfix sudo verwenden, aber wenn es falsch behandelt wird, kann es zweifellos negative Auswirkungen sowohl auf die Struktur des Systems als auch auf die dort gehosteten Informationen oder Dienste haben.

Der Root-Benutzer hat Zugriff auf alle Befehle und Dateien mit vollständigen Lese-, Schreib- oder Ausführungsberechtigungen und kann verwendet werden, um jede Art von Aufgabe innerhalb des Betriebssystems auszuführen, z oder entfernen Sie Softwarepakete, bei denen die Folgen drastisch sein können.

Falls die Informationen vertraulich oder vertraulich sind, empfiehlt es sich, den Linux-Root-Benutzer zu deaktivieren. Dazu benötigen wir jedoch ein Konto mit Administratorrechten, mit dem der sudo-Befehl verwendet werden kann, um Root-Benutzerberechtigungen zu erhalten .

Zum Beispiel können wir ein Konto wie folgt erstellen:

 useradd -m -c "Solvetic" admin passwd admin 
Mit dem Befehl useradd erstellen wir den Benutzer, der Parameter -m bedeutet, dass wir das Home-Verzeichnis des Benutzers erstellen und der Parameter -c ermöglicht es uns, einen Kommentar für diesen Benutzer anzugeben.

Danach müssen wir den Benutzer mit dem Befehl usermod zur Gruppe der Systemadministratoren hinzufügen, mit dem Schalter -a, der das Benutzerkonto hinzufügt, und -G, der eine Gruppe zum Hinzufügen des Benutzers angibt:

 usermod -aG Radadministrator (CentOS / RHEL) usermod -aG sudo admin (Debian / Ubuntu) 
Solvetic erklärt die verschiedenen Möglichkeiten, diesen Benutzer unter Linux zu deaktivieren. (auch eine, um es zu aktivieren).

1. Root-Benutzer unter Linux aktivieren


Wir beginnen damit, wie man einen Root-Benutzer aktiviert.
Schritt 1
Wenn wir den Root-Benutzer nach einer Weile deaktiviert haben, können wir ihn mit dem folgenden Befehl wieder im System aktivieren:
 sudo passwd root
Mit diesem Befehl wird es getan.

Schritt 2
Im angezeigten Fenster müssen wir ein Passwort für den Root-Benutzer festlegen.

2. Deaktivieren Sie den Root-Benutzer und entfernen Sie das Passwort in Linux


Schritt 1
Um diesen Vorgang auszuführen, müssen wir den Benutzer ändern, mit dem wir uns beim Root-Benutzer angemeldet haben, dazu führen wir den folgenden Befehl aus und geben unser Administrator-Passwort ein.
 sudo -s

Schritt 2
Sobald wir als Root-Benutzer sind, müssen wir den folgenden Befehl ausführen, um das Root-Passwort zu entfernen:

 passwd --lock root 

Schritt 3
Mit diesem Befehl können wir den Zugriff auf den Root-Benutzer vollständig deaktivieren. Um dies zu überprüfen, versuchen wir, durch Eingabe unseres Passworts als Root-Benutzer einzutreten, und wir sehen Folgendes:

Schritt 4
Eine weitere der Sicherheitsoptionen, die wir mit dem Root-Benutzer verwenden können, besteht darin, sein aktuelles Passwort mit dem folgenden Befehl zu ändern:

 passwd -d root
Mit diesem Befehl wäre es erledigt.

3. Root-Benutzer von Shell deaktivieren

Der einfachste Weg, die Anmeldung des Root-Benutzers zu deaktivieren, besteht darin, Ihre Shell vom /bin/bash- oder /bin/bash-Verzeichnis in /sbin/nologin in der Datei /etc/passwd zu ändern, die mit jedem Editor geöffnet werden kann. :

 sudo nano / etc / passwd
Wir werden folgendes sehen:

VERGRÖSSERN

Dort müssen wir die Zeile root ändern: x: 0: 0: root: / root: / bin / bash by root: x: 0: 0: root: / root: / sbin / nologin:

VERGRÖSSERN

Wir speichern die Änderungen mit den Tasten Strg + O und verlassen den Editor mit Strg + X.
Von nun an, wenn sich der Root-Benutzer anmeldet, wird die Nachricht "Dieses Konto ist derzeit nicht verfügbar" angezeigt. Dies ist die Standardnachricht, aber wenn wir sie ändern und eine benutzerdefinierte Nachricht konfigurieren möchten, können wir dies in der /etc . tun / nologin-Datei.txt.

4. Root-Benutzer über Konsolengerät (TTY) deaktivieren


Diese Methode verwendet ein PAM-Modul namens pam_securetty, das Root-Zugriff nur erlaubt, wenn sich der Benutzer bei einem sicheren TTY anmeldet, wie in der Auflistung in:
 / etc / Sicherheit
Mit dieser vorherigen Datei wird es möglich sein, festzulegen, auf welchen TTY-Geräten sich der Root-Benutzer anmelden darf, so dass, wenn wir diese Datei verlassen, die Anmeldung von jedem angeschlossenen Gerät verhindert wird.

Um eine leere Datei zu erstellen, führen wir Folgendes aus:

 sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securetty 
Damit wird es erstellt.

VERGRÖSSERN

Diese Methode gilt nur für Bildschirmmanager wie gdm, kdm und xdm) und andere Netzwerkdienste, die ein TTY starten, aber für andere Programme wie su, sudo, ssh wird auf das Root-Konto zugegriffen.

5. Root-Boot über SSH deaktivieren


Es ist eine gängige Methode, um als Root über SSH zuzugreifen. Um die Anmeldung des Root-Benutzers zu blockieren, muss die Datei /etc/ssh/sshd_config bearbeitet werden:
 sudo nano / etc / ssh / sshd_config
Dort müssen wir die Zeile "PermitRootLogin" auskommentieren und ihren Wert auf no setzen.

VERGRÖSSERN

Danach müssen wir die Änderung mit einer der folgenden Zeilen aktualisieren:

 sudo systemctl Neustart sshd
ODER
 sudo service sshd neu starten
Damit wird es erledigt.

6. Root über PAM deaktivieren


PAM (Pluggable Authentication Modules) ist eine zentralisierte, modulare und flexible Authentifizierungsmethode auf Linux-Systemen. Mit PAM im Modul /lib/security/pam_listfile.so können Sie bestimmte Aufgaben ausführen, um die Berechtigungen bestimmter Konten einzuschränken.

In diesem Modul wird es möglich sein, eine Liste von Benutzern zu erstellen, die sich nicht über einige Zieldienste wie Login, SSH und alle mit PAM kompatiblen Programme anmelden dürfen.
Um dies zu erreichen, müssen wir die Datei für den Zieldienst im Verzeichnis /etc/pam.d/ mit einer der folgenden Optionen aufrufen und bearbeiten:

 sudo nano /etc/pam.d/login
ODER
 sudo nano /etc/pam.d/sshd
Dort werden wir folgendes hinzufügen:
 auth erforderlich pam_listfile.so \ onerr = erfolgreicher Eintrag = Benutzersinn = Datei verweigern = / etc / ssh / deniedusers

VERGRÖSSERN

Wir speichern die Änderungen und verlassen den Editor.
Jetzt erstellen wir die Flatfile /etc/ssh/deniedusers, die ein Element pro Zeile enthalten muss und für andere Benutzer nicht zugänglich sein muss:

 sudo nano / etc / ssh / deniedusers
Wir fahren fort, Berechtigungen zu erteilen:
 sudo chmod 600 / etc / ssh / deniedusers
Mit jeder dieser Methoden haben wir den Root-Benutzer in Linux deaktiviert.

Wir haben gesehen, wie wir diesen Sicherheitsvorteil erzielen können, indem wir den Root-Benutzer deaktiviert haben, aber wir müssen dies bei Bedarf tun, denn wenn nicht viele Benutzer auf unser System zugreifen oder wir wissen, dass die Personen, die darauf zugreifen, vertrauenswürdig und autorisiert sind, ist dies nicht erforderlich diese Aufgabe ausführen. Falls wir es noch einmal brauchen, haben Sie bereits gesehen, wie einfach es ist, diesen Root-Benutzer in einem der Abschnitte wieder zu aktivieren.

Vielleicht haben Sie sich auch in der Situation befunden, den Root-Benutzer in Ubuntu deaktivieren zu müssen, und hier sehen Sie eine einfache Möglichkeit, dies zu tun.

wave wave wave wave wave