4 Möglichkeiten zum Deaktivieren des Root-Kontos unter Linux

Das Wurzel account ist das ultimative Konto unter Linux und anderen Unix-ähnlichen Betriebssystemen. Dieses Konto hat Zugriff auf alle Befehle und Dateien auf einem System mit vollständigen Lese-, Schreib- und Ausführungsberechtigungen. Es wird verwendet, um jede Art von Aufgabe auf einem System auszuführen. Zum Erstellen / Aktualisieren / Zugreifen / Löschen von Konten anderer Benutzer, Installieren / Entfernen / Aktualisieren von Softwarepaketen und vielem mehr.

Weil das Wurzel Der Benutzer hat absolute Befugnisse. Alle Aktionen, die er ausführt, sind auf einem System von entscheidender Bedeutung. Diesbezüglich sind etwaige Fehler der Wurzel Der Benutzer kann enorme Auswirkungen auf den normalen Betrieb eines Systems haben. Darüber hinaus kann dieses Konto auch missbraucht werden, indem es versehentlich oder böswillig oder durch erfundene Unkenntnis von Richtlinien missbräuchlich oder unangemessen verwendet wird.

Daher ist es ratsam, den Root-Zugriff auf Ihrem Linux-Server zu deaktivieren. Erstellen Sie stattdessen ein Administratorkonto, das so konfiguriert werden sollte, dass mit dem Befehl sudo Root-Benutzerrechte erworben werden, um wichtige Aufgaben auf dem Server auszuführen.

In diesem Artikel werden vier Möglichkeiten zum Deaktivieren der Anmeldung für Root-Benutzerkonten unter Linux erläutert.

Beachtung: Bevor Sie den Zugriff auf die blockieren Wurzel Stellen Sie sicher, dass Sie mit dem Befehl useradd ein Administratorkonto erstellt haben, das den Befehl sudo verwenden kann, um Root-Benutzerrechte zu erlangen, und geben Sie diesem Benutzerkonto ein sicheres Kennwort. Die Flagge -m bedeutet, das Home-Verzeichnis des Benutzers zu erstellen und -c ermöglicht die Angabe eines Kommentars:

# useradd -m -c "Admin User" admin
# passwd admin


Fügen Sie diesen Benutzer als Nächstes mit dem Befehl usermod der entsprechenden Gruppe von Systemadministratoren hinzu -a bedeutet Benutzerkonto anhängen und -G Gibt eine Gruppe an, in die der Benutzer eingefügt werden soll (Wheel oder Sudo, abhängig von Ihrer Linux-Distribution):

# usermod -aG wheel admin    #CentOS/RHEL
# usermod -aG sudo admin     #Debian/Ubuntu 

Wenn Sie einen Benutzer mit Administratorrechten erstellt haben, wechseln Sie zu diesem Konto, um den Root-Zugriff zu blockieren.

# su admin

1. Ändern Sie die Shell des Root-Benutzers

Die einfachste Methode zum Deaktivieren der Root-Benutzeranmeldung besteht darin, die Shell von zu ändern /bin/bash oder /bin/bash (oder eine andere Shell, die die Benutzeranmeldung ermöglicht) /sbin/nologin, in dem / etc / passwd Datei, die Sie wie gezeigt mit einem Ihrer bevorzugten Befehlszeileneditoren zum Bearbeiten öffnen können.

  
$ sudo vim /etc/passwd

Ändern Sie die Zeile:

root:x:0:0:root:/root:/bin/bash
to
root:x:0:0:root:/root:/sbin/nologin
Ändern Sie die Root-Benutzer-Shell
Ändern Sie die Root-Benutzer-Shell

Speichern Sie die Datei und schließen Sie sie.

Von nun an, wann Wurzel Der Benutzer meldet sich an und erhält die Meldung „Dieses Konto ist derzeit nicht verfügbar.Dies ist die Standardnachricht. Sie können sie jedoch ändern und eine benutzerdefinierte Nachricht in der Datei festlegen /etc/nologin.txt.

Diese Methode ist nur bei Programmen wirksam, für die eine Shell für die Benutzeranmeldung erforderlich ist. sudo, ftp und Email Clients können auf das Root-Konto zugreifen.

2. Deaktivieren Sie die Root-Anmeldung über das Konsolengerät (TTY).

Die zweite Methode verwendet a PAM Modul aufgerufen pam_securetty, der Root-Zugriff nur erlaubt, wenn sich der Benutzer bei einem “sicher ”TTY, wie durch die Auflistung in definiert / etc / securetty.

In der obigen Datei können Sie angeben, welche TTY Geräte, bei denen sich der Root-Benutzer anmelden darf. Durch das Leeren dieser Datei wird die Root-Anmeldung auf allen an das Computersystem angeschlossenen Geräten verhindert.

Führen Sie aus, um eine leere Datei zu erstellen.

$ sudo mv /etc/securetty /etc/securetty.orig
$ sudo touch /etc/securetty
$ sudo chmod 600 /etc/securetty

Diese Methode hat einige Einschränkungen, sie betrifft nur Programme wie Login, Display Manager (dh gdm, kdm und xdm) und andere Netzwerkdienste, die ein TTY starten. Programme wie su, sudo, ssh und andere verwandte openssh-Tools haben Zugriff auf das Root-Konto.

3. Deaktivieren Sie die SSH-Root-Anmeldung

Der häufigste Weg, auf Remote-Server oder VPSs zuzugreifen, ist SSH. Um die Anmeldung des Root-Benutzers darunter zu blockieren, müssen Sie die bearbeiten / etc / ssh / sshd_config Datei.

$ sudo vim /etc/ssh/sshd_config

Dann kommentieren Sie die Richtlinie aus (falls kommentiert) PermitRootLogin und setzen Sie den Wert auf no wie im Screenshot gezeigt.

Deaktivieren Sie die Root-Anmeldung in SSh
Deaktivieren Sie die Root-Anmeldung in SSh

Wenn Sie fertig sind, speichern und schließen Sie die Datei. Starten Sie dann die sshd Service zum Anwenden der letzten Konfigurationsänderung.

$ sudo systemctl restart sshd 
OR
$ sudo service sshd restart 

Wie Sie vielleicht bereits wissen, betrifft diese Methode nur den Satz von openssh-Tools. Programme wie ssh, scp, sftp werden für den Zugriff auf das Root-Konto gesperrt.

4. Beschränken Sie den Root-Zugriff auf Dienste über PAM

Steckbare Authentifizierungsmodule ((PAM Kurz gesagt) ist eine zentralisierte, steckbare, modulare und flexible Authentifizierungsmethode auf Linux-Systemen. PAM, durch die /lib/security/pam_listfile.so Modul ermöglicht eine große Flexibilität bei der Einschränkung der Berechtigungen bestimmter Konten.

Das obige Modul kann verwendet werden, um auf eine Liste von Benutzern zu verweisen, die sich nicht über einige Zieldienste wie Login, SSH und andere PAM-fähige Programme anmelden dürfen.

In diesem Fall möchten wir den Root-Benutzerzugriff auf ein System deaktivieren, indem wir den Zugriff auf Anmelde- und SSHD-Dienste einschränken. Öffnen und bearbeiten Sie zuerst die Datei für den Zieldienst in der /etc/pam.d/ Verzeichnis wie gezeigt.

$ sudo vim /etc/pam.d/login
OR
sudo vim /etc/pam.d/sshd

Fügen Sie als Nächstes die folgende Konfiguration in beide Dateien ein.

auth    required       pam_listfile.so 
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

Wenn Sie fertig sind, speichern und schließen Sie jede Datei. Erstellen Sie dann die einfache Datei / etc / ssh / verweigerte Benutzer Das sollte ein Element pro Zeile enthalten und nicht weltweit lesbar sein.

Fügen Sie den Namen root hinzu, speichern und schließen Sie ihn.

$ sudo vim /etc/ssh/deniedusers

Legen Sie auch die erforderlichen Berechtigungen dafür fest.

$ sudo chmod 600 /etc/ssh/deniedusers

Diese Methode betrifft nur Programme und Dienste, die PAM-fähig sind. Sie können den Root-Zugriff auf das System über FTP- und E-Mail-Clients und mehr blockieren.

Weitere Informationen finden Sie in den entsprechenden Manpages.

$ man pam_securetty
$ man sshd_config
$ man pam

Das ist alles! In diesem Artikel haben wir vier Möglichkeiten zum Deaktivieren der Anmeldung (oder des Kontos) des Root-Benutzers unter Linux erläutert. Haben Sie Kommentare, Vorschläge oder Fragen, können Sie uns gerne über das unten stehende Feedback-Formular erreichen.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *