Zabezpečení systému Linux deaktivací účtu root
Možná se zdá, že deaktivace účtu root v Linuxu je krokem vedle, ale opak je pravdou. Zamezení přímého přístupu k uživateli root představuje silné bezpečnostní opatření. Řada vývojářů operačních systémů Linux se shoduje na tom, že omezení přístupu root je klíčové, a proto se stále častěji setkáváme se systémy, kde je účet root ve výchozím nastavení zakázán.
Systém, který neumožňuje přímé přihlášení uživatele root, sice není zcela odolný vůči útokům, ale výrazně snižuje pravděpodobnost, že se útočník dostane hluboko do systému a způsobí rozsáhlé škody. I s přístupem sudo existují oblasti systému, které nelze modifikovat, pokud je root deaktivován.
Předběžné kroky
Před deaktivací root účtu je nezbytné učinit několik přípravných kroků. Prvním z nich je zajištění, že všichni uživatelé s právy sudo mají silná hesla. Slabé heslo kteréhokoli uživatele s těmito právy ohrožuje bezpečnost celého systému, včetně opatření zavedených pro root.
Nejrychlejším řešením pro posílení zabezpečení uživatelského účtu je změna hesla. V terminálu použijte příkaz passwd s uživatelským jménem, čímž se vynutí reset hesla. Uživatel pak musí zadat nové, bezpečné heslo.
sudo passwd username
Při zadávání nového hesla do výzvy „zadejte nové heslo UNIX“ volte kombinaci, kterou si snadno zapamatujete, a zároveň se nejedná o slovo z běžného slovníku. Dále se vyvarujte opakovanému použití starých hesel.
Hledáte inspiraci pro silné heslo? Vyzkoušejte Generátor bezpečných hesel, který vám pomůže vytvořit složité a bezpečné heslo zdarma.
Jakmile máte hesla všech uživatelů s přístupem k sudo zabezpečená, je na čase zkontrolovat soubor sudoers. Návod, jak omezit sudo přístup pro uživatele, kteří nemají právo spouštět příkazy s root oprávněním, najdete v našem dalším článku.
Deaktivace účtu root
Pro deaktivaci root účtu budete potřebovat přístup s administrátorskými právy. K deaktivaci root účtu a uzamčení hesla není nutné se přihlásit přímo jako root. Stačí vám jakýkoli uživatel s právy sudo. V terminálu zadejte:
sudo -s
Tento příkaz vám zajistí přístup k root shellu a umožní vám spouštět příkazy s oprávněními superuživatele, a to bez přímého přihlášení jako root.
Následně v terminálu použijte příkaz passwd pro deaktivaci účtu, aby se k němu žádný uživatel nemohl přihlásit.
passwd -l root
Uzamčení účtu je jeden ze způsobů, jak ho zabezpečit. Pokud vám uzamčení nestačí, můžete zakódovat heslo a nastavit ho na hodnotu, která nebude použitelná. Pro zakódování hesla root použijte:
usermod -p '!' root
Zakódování hesla proběhne okamžitě. Po provedení příkazu usermod je heslo root nepřístupné.
Po uzamčení účtu root ukončete root shell příkazem exit a tím dokončíte celý proces.
Opětovné povolení root účtu
Deaktivace root účtu je v rámci zabezpečení vhodná. Přístup k root účtu má ovšem své výhody, především možnost plně konfigurovat systém Linux. Pokud jste se rozhodli root účet znovu povolit, lze to provést snadno.
V terminálu opět použijte příkaz sudo -s, který vám zajistí přístup k root terminálu. Následně můžete heslo dekódovat.
Účet root odemknete příkazem passwd:
passwd root
Tento příkaz vynutí reset hesla root. Nastavte si silné, bezpečné heslo. Po nastavení hesla opustě root terminál pomocí příkazu exit.
Doporučené postupy pro zacházení s root účtem
Vypnutí root (nebo alespoň jeho zabezpečení) je dobrý začátek, ale z hlediska bezpečnosti to nestačí. Chcete-li chránit svůj Linuxový systém, dodržujte i následující zásady:
- Heslo root by mělo mít minimálně 14 znaků, delší heslo znesnadňuje jeho uhodnutí.
- Nikdy nepoužívejte stejné heslo pro uživatelský účet a root účet.
- Hesla pravidelně měňte, alespoň jednou za měsíc, u všech účtů včetně root.
- Hesla by měla obsahovat čísla, malá i velká písmena a speciální znaky.
- Pro uživatele, kteří potřebují spouštět příkazy superuživatele, vytvořte speciální administrátorské účty s právy sudoer, namísto toho, aby používali systémové heslo.
- Udržujte své SSH klíče v tajnosti a umožněte přihlašování pomocí SSH pro root pouze důvěryhodným uživatelům.
- Povolte dvoufaktorovou autentizaci pro zabránění neoprávněné manipulaci se systémem.
- Využívejte naplno linuxový firewall ve svém systému.