Деактивирането на root акаунта в Linux система може да изглежда лудо, но ето къде грешите. Както се оказва, деактивирането на root потребителя е солидна мярка за сигурност. Всъщност много разработчици на операционни системи Linux са съгласни по темата за root потребителя и все по-често е деактивирането на root акаунта на тези системи.
Система без директна линия към root потребител не е имунизирана срещу атака, въпреки че шансовете са значително намалени, че нападателят може да влезе в системата и напълно да я обърка. Това е главно, защото дори и с достъп до sudo, някои области на системата не могат да се променят, ако деактивирате root акаунта в Linux.
Съдържание
Предварителни условия
Преди да продължите да деактивирате root акаунта в системата, трябва да се погрижите за няколко неща. Първата стъпка в този процес е да се уверите, че всички потребители с възможност да изпълняват команди като sudo имат сигурна парола. Наличието на слаба потребителска парола ще отрече защитата на root акаунта, а това е лоша новина.
Най-бързият начин да защитите потребителски акаунт е просто да промените паролата. За да направите това, отворете нов терминал и стартирайте passwd команда, заедно с вашето потребителско име. Това ще принуди системата да се върне към нова парола, въведена от потребителя.
sudo passwd username
В подканата „въведете нова UNIX парола“ въведете системна парола, която е запомняща се, а не дума от речник. Освен това, опитайте се да не използвате повторно стари пароли.
Трудно ви е да намерите добра парола, за да защитите потребителския си акаунт? Опитай Сигурен генератор на пароли. Той е специализиран в създаването на интелигентни, сигурни пароли безплатно!
Сега тези потребителски имена с достъп до sudo имате сигурни пароли, време е да прегледате файла sudoers. Вижте нашето ръководство тук и научете как да деактивирате sudo достъп за всички акаунти, които смятате за недостойни за изпълнение на команди от основно ниво.
Деактивирайте root акаунта
Деактивирането на root акаунта изисква някаква форма на достъп на суперпотребител. За щастие, деактивирането и кодирането на паролата не изисква специално влизане като root потребител. Вместо това всеки потребител в системата с достъп до sudo ще работи. За да получите обвивка на root терминал, без да влизате като потребител на root система, направете следното в прозорец на терминала:
sudo -s
Изпълнението на sudo -s позволява на всеки потребител с правилните привилегии да има достъп до root и да изпълнява команди на системно ниво, подобно на root потребител.
В терминала използвайте командата passwd и деактивирайте акаунта, така че никой потребител в системата да няма възможност да влезе в него.
passwd -l root
Заключването на акаунта е солиден начин за защита на root акаунта. Това обаче не е единственият начин да го подсигурите. Ако смятате, че заключването няма да бъде достатъчно ефективно, кодирането и даване на неизползваема парола на акаунта е правилният начин. За да кодирате root акаунта, въведете следната команда в терминал:
usermod -p '!' root
Кодирането на паролата става незабавно. Веднага след като командата usermod приключи, паролата за root е недостъпна.
Готови ли сте със заключването на root акаунта? Излезте от обвивката на суперпотребител с командата exit, за да завършите процеса.
Повторно активиране на Root
Деактивирането на root акаунта е добра практика за сигурност. Все пак достъпът до него има своите предимства. Основно, възможността да модифицирате вашата Linux система до пълния й потенциал. Ако сте решили да включите отново root акаунта на вашия Linux компютър, процесът е лесен за обръщане.
В терминала стартирайте sudo -s, както миналия път. Това дава на терминала достъп на суперпотребител. От тук ще бъде възможно да декодирате паролата.
С помощта на командата passwd отключете Root акаунта.
passwd root
Изпълнението на командата passwd root принудително нулира паролата. Не забравяйте да зададете новата парола за root на нещо сигурно. Когато паролата приключи с повторното задаване, излезте от терминала с командата за изход.
Root – Най-добри практики
Деактивирането на root (или поне осигуряването на паролата) е добро начало, но не е достатъчно по отношение на сигурността. Ако искате наистина да защитите вашата Linux система, опитайте да следвате тези основни стъпки:
Уверете се, че вашата root парола не е по-къса от 14 знака. Наличието на дълга парола затруднява отгатването.
Никога не използвайте една и съща парола за потребителски акаунт и root акаунт.
Променяйте паролите всеки месец или около това, за всеки акаунт, включително root.
Винаги използвайте цифри, както и главни/малки букви и символи в паролите.
Създайте специални администраторски акаунти с привилегии sudoer за потребители, които трябва да изпълняват команди на суперпотребител, вместо да издават системната парола.
Пазете вашите SSH ключове в тайна и позволявайте само на надеждни потребители да влизат като root през SSH.
Активирайте двуфакторно удостоверяване по време на влизане, за да предотвратите подправяне на вашата система.
Използвайте пълноценно защитната стена на Linux на вашата система.