Deaktivace účtu root v systému Linux se může zdát šílená, ale to je místo, kde se mýlíte. Jak se ukázalo, deaktivace uživatele root je solidní bezpečnostní opatření. Ve skutečnosti se mnoho vývojářů operačního systému Linux shoduje na tématu uživatele root a v těchto systémech je stále běžnější zakázat účet root.
Systém bez přímé linky na uživatele root není imunní vůči útoku, i když je značně snížena pravděpodobnost, že se útočník dostane do systému a totálně ho zpacká. Je to hlavně proto, že i s přístupem k sudo nelze určité oblasti systému upravit, pokud v Linuxu zakážete účet root.
Table of Contents
Předpoklady
Než přistoupíte k deaktivaci účtu root v systému, je třeba se postarat o několik věcí. Prvním krokem v tomto procesu je zajistit, aby všichni uživatelé s možností spouštět příkazy jako sudo mít bezpečné heslo. Slabé uživatelské heslo znemožní zabezpečení účtu root, a to je špatná zpráva.
Nejrychlejším způsobem zabezpečení uživatelského účtu je jednoduchá změna hesla. Chcete-li to provést, otevřete nový terminál a spusťte passwd příkaz spolu s vaším uživatelským jménem. Tímto způsobem vynutíte systém resetovat se na nové heslo, které uživatel zadá.
sudo passwd username
Do výzvy „zadejte nové heslo UNIX“ zadejte systémové heslo, které je zapamatovatelné a nejedná se o slovo ze slovníku. Kromě toho se snažte znovu nepoužívat stará hesla.
Máte problém najít dobré heslo pro zabezpečení svého uživatelského účtu? Vyzkoušet Bezpečný generátor hesel. Specializuje se na vytváření chytrých a bezpečných hesel zdarma!
Nyní ta uživatelská jména s přístupem k sudo máte zabezpečená hesla, je čas zkontrolovat soubor sudoers. Podívejte se na našeho průvodce zde a zjistěte, jak deaktivovat sudo přístup ke všem účtům, o kterých si myslíte, že nejsou hodné spouštět příkazy na úrovni root.
Zakažte kořenový účet
Zakázání účtu root vyžaduje určitou formu přístupu superuživatele. Naštěstí deaktivace a zakódování hesla výslovně nevyžaduje přihlášení jako uživatel root. Místo toho bude fungovat každý uživatel v systému s přístupem k sudo. Chcete-li získat kořenový terminálový shell bez přihlášení jako uživatel root systému, proveďte v okně terminálu následující:
sudo -s
Spuštění sudo -s umožňuje každému uživateli se správnými oprávněními přistupovat k root a spouštět příkazy na úrovni systému, podobně jako to může uživatel root.
V terminálu použijte příkaz passwd a deaktivujte účet, aby se k němu neměli možnost přihlásit žádní uživatelé v systému.
passwd -l root
Uzamčení účtu je spolehlivý způsob, jak zabezpečit účet root. Není to však jediný způsob, jak jej zajistit. Pokud máte pocit, že uzamčení nebude dostatečně účinné, zakódování a zadání nepoužitelného hesla účtu je způsob, jak jít. Chcete-li zakódovat účet root, zadejte do terminálu následující příkaz:
usermod -p '!' root
Zakódování hesla je okamžité. Jakmile příkaz usermod skončí, heslo uživatele root je nepřístupné.
Dokončili jste uzamčení účtu root? Ukončete shell superuser pomocí příkazu exit a dokončete proces.
Znovu povolte root
Deaktivace účtu root je dobrou bezpečnostní praxí. Přístup k němu má však své výhody. Především schopnost upravit váš linuxový systém na jeho plný potenciál. Pokud jste se rozhodli znovu zapnout účet root na vašem počítači se systémem Linux, proces lze snadno zvrátit.
V terminálu spusťte sudo -s, jako minule. Tím získáte přístup superuživatele terminálu. Odtud bude možné heslo dekódovat.
Pomocí příkazu passwd odemkněte účet root.
passwd root
Spuštění příkazu passwd root vynutí resetování hesla. Nezapomeňte nastavit nové heslo uživatele root na něco bezpečného. Po dokončení nového nastavení hesla se odhlaste z terminálu příkazem exit.
Root – doporučené postupy
Vypnutí roota (nebo alespoň zabezpečení hesla) je dobrý začátek, ale z hlediska bezpečnosti nestačí. Pokud chcete skutečně chránit svůj systém Linux, zkuste provést tyto základní kroky:
Ujistěte se, že vaše rootovské heslo není kratší než 14 znaků. Dlouhé heslo ztěžuje uhodnutí.
Nikdy nepoužívejte stejné heslo pro uživatelský účet a účet root.
Měňte hesla každý měsíc nebo tak, na každém účtu, včetně root.
V heslech vždy používejte čísla, velká/malá písmena a symboly.
Vytvářejte speciální administrátorské účty s právy sudoer pro uživatele, kteří potřebují spouštět příkazy superuživatele, místo aby poskytovali systémové heslo.
Udržujte své klíče SSH v tajnosti a povolte přihlášení jako root přes SSH pouze důvěryhodným uživatelům.
Povolte dvoufaktorovou autentizaci během přihlašování, abyste zabránili neoprávněné manipulaci se systémem.
Využijte naplno linuxový firewall ve svém systému.