Njia 4 za Kuzima Akaunti ya Mizizi kwenye Linux
Akaunti ya mizizi ni akaunti ya mwisho kwenye Linux na mifumo mingine ya uendeshaji kama Unix. Akaunti hii inaweza kufikia amri na faili zote kwenye mfumo wenye ruhusa kamili za kusoma, kuandika na kutekeleza. Inatumika kufanya aina yoyote ya kazi kwenye mfumo; kusakinisha/kuondoa/kuboresha vifurushi vya programu, na mengi zaidi.
Kwa sababu mtumiaji wa mizizi ana uwezo kamili, vitendo vyovyote anachofanya ni muhimu kwenye mfumo. Katika suala hili, makosa yoyote ya mtumiaji wa mizizi yanaweza kuwa na athari kubwa juu ya uendeshaji wa kawaida wa mfumo. Zaidi ya hayo, akaunti hii inaweza pia kutumiwa vibaya kwa kuitumia isivyofaa au isivyofaa ama kwa bahati mbaya, kwa nia mbaya, au kupitia ujinga uliotungwa wa sera.
Kwa hivyo, inashauriwa kuzima ufikiaji wa mizizi kwenye seva yako ya Linux, badala yake, unda akaunti ya usimamizi ambayo inapaswa kusanidiwa kupata haki za mtumiaji wa mizizi kwa kutumia amri ya sudo, kufanya kazi muhimu kwenye seva.
Katika makala hii, tutaelezea njia nne za kuzima kuingia kwa akaunti ya mtumiaji wa mizizi kwenye Linux.
Makini: Kabla ya kuzuia ufikiaji wa akaunti ya msingi, hakikisha kuwa umefungua akaunti ya msimamizi, yenye uwezo wa kutumia amri ya useradd na umpe akaunti hii ya mtumiaji nenosiri dhabiti. Alama -m
inamaanisha kuunda saraka ya nyumbani ya mtumiaji na -c
inaruhusu kubainisha maoni:
# useradd -m -c "Admin User" admin # passwd admin
Kisha, ongeza mtumiaji huyu kwenye kikundi kinachofaa cha wasimamizi wa mfumo kwa kutumia amri ya usermod, ambapo swichi -a
inamaanisha kuongeza akaunti ya mtumiaji na -G
inabainisha kikundi cha kuongeza mtumiaji. katika (gurudumu au sudo kulingana na usambazaji wako wa Linux):
# usermod -aG wheel admin #CentOS/RHEL # usermod -aG sudo admin #Debian/Ubuntu
Baada ya kuunda mtumiaji aliye na haki za usimamizi, badilisha hadi akaunti hiyo ili kuzuia ufikiaji wa mizizi.
# su admin
1. Badilisha Shell ya Mtumiaji wa mizizi
Njia rahisi zaidi ya kuzima kuingia kwa mtumiaji wa mizizi ni kubadilisha ganda lake kutoka /bin/bash
au /bin/bash
(au shell nyingine yoyote inayoruhusu mtumiaji kuingia) hadi
$ sudo vim /etc/passwd
Badilisha mstari:
root:x:0:0:root:/root:/bin/bash to root:x:0:0:root:/root:/sbin/nologin
Hifadhi faili na uifunge.
Kuanzia sasa na kuendelea, mtumiaji wa mizizi anapoingia, atapata ujumbe \Akaunti hii haipatikani kwa sasa. Huu ni ujumbe chaguo-msingi, lakini, unaweza kuubadilisha na kuweka ujumbe maalum katika faili /etc/nologin.txt.
Njia hii inafaa tu na programu zinazohitaji shell kwa kuingia kwa mtumiaji, vinginevyo, wateja wa sudo, ftp na barua pepe wanaweza kufikia akaunti ya mizizi.
2. Zima Kuingia kwa mizizi kupitia Kifaa cha Console (TTY)
Njia ya pili hutumia moduli ya PAM inayoitwa pam_securetty, ambayo inaruhusu ufikiaji wa mizizi ikiwa tu mtumiaji anaingia kwenye TTY salama, kama inavyofafanuliwa na uorodheshaji katika /etc/securetty.
Faili iliyo hapo juu hukuruhusu kubainisha ni vifaa vipi vya TTY ambavyo mtumiaji wa mizizi anaruhusiwa kuingia, kuondoa faili hii huzuia kuingia kwa mizizi kwenye vifaa vyovyote vilivyoambatishwa kwenye mfumo wa kompyuta.
Ili kuunda faili tupu, endesha.
$ sudo mv /etc/securetty /etc/securetty.orig $ sudo touch /etc/securetty $ sudo chmod 600 /etc/securetty
Njia hii ina mapungufu, inaathiri tu programu kama vile kuingia, wasimamizi wa onyesho (yaani gdm, kdm na xdm) na huduma zingine za mtandao zinazozindua TTY. Programu kama vile su, sudo, ssh, na zana zingine zinazohusiana za openssh zitaweza kufikia akaunti ya mizizi.
3. Zima Kuingia kwa Mizizi ya SSH
Njia ya kawaida ya kufikia seva za mbali au VPS ni kupitia SSH na kuzuia kuingia kwa mtumiaji chini yake, unahitaji kuhariri /etc/ssh/sshd_config faili.
$ sudo vim /etc/ssh/sshd_config
Kisha uondoe maoni (ikiwa yametolewa maoni) maagizo PermitRootLogin na uweke thamani yake kuwa hapana
kama inavyoonyeshwa kwenye picha ya skrini.
Mara baada ya kumaliza, hifadhi na funga faili. Kisha anza tena huduma ya sshd ili kutumia mabadiliko ya hivi majuzi katika usanidi.
$ sudo systemctl restart sshd OR $ sudo service sshd restart
Kama unavyoweza kujua, njia hii inaathiri tu seti ya zana za openssh, programu kama vile ssh, scp, sftp zitazuiwa kufikia akaunti ya mizizi.
4. Zuia ufikiaji wa mizizi kwa Huduma kupitia PAM
Moduli za Uthibitishaji Zinazoweza Kuchomekwa (PAM kwa kifupi) ni njia ya kati, inayoweza kuchomekwa, ya moduli na inayoweza kunyumbulika kwenye mifumo ya Linux. PAM, kupitia moduli ya /lib/security/pam_listfile.so, inaruhusu unyumbufu mkubwa katika kuzuia marupurupu ya akaunti maalum.
Sehemu iliyo hapo juu inaweza kutumika kurejelea orodha ya watumiaji ambao hawaruhusiwi kuingia kupitia baadhi ya huduma lengwa kama vile kuingia, ssh na programu zozote zinazojulikana za PAM.
Katika kesi hii, tunataka kuzima ufikiaji wa mtumiaji wa mizizi kwa mfumo, kwa kuzuia ufikiaji wa kuingia na huduma za sshd. Kwanza fungua na uhariri faili kwa ajili ya huduma lengwa katika saraka ya /etc/pam.d/ kama inavyoonyeshwa.
$ sudo vim /etc/pam.d/login OR sudo vim /etc/pam.d/sshd
Ifuatayo, ongeza usanidi hapa chini katika faili zote mbili.
auth required pam_listfile.so \ onerr=succeed item=user sense=deny file=/etc/ssh/deniedusers
Ukimaliza, hifadhi na funga kila faili. Kisha unda faili wazi /etc/ssh/deniedusers ambayo inapaswa kuwa na kipengee kimoja kwa kila mstari na isisomeke ulimwenguni.
Ongeza mzizi wa jina ndani yake, kisha uhifadhi na uifunge.
$ sudo vim /etc/ssh/deniedusers
Pia weka ruhusa zinazohitajika kwenye hili.
$ sudo chmod 600 /etc/ssh/deniedusers
Mbinu hii huathiri tu programu na huduma ambazo PAM inafahamu. Unaweza kuzuia ufikiaji wa mizizi kwa mfumo kupitia ftp na wateja wa barua pepe na zaidi.
Kwa habari zaidi, wasiliana na kurasa za mtu husika.
$ man pam_securetty $ man sshd_config $ man pam
Ni hayo tu! Katika makala haya, tumeelezea njia nne za kuzima kuingia kwa mtumiaji wa mizizi (au akaunti) katika Linux. Je, una maoni yoyote, mapendekezo au maswali, jisikie huru kuwasiliana nasi kupitia fomu ya maoni hapa chini.