Ідея відключення облікового запису root в операційній системі Linux може на перший погляд здатися нелогічною, але насправді це ефективний захід безпеки. Багато розробників Linux-систем підтримують цю ініціативу, і все частіше в сучасних дистрибутивах root-доступ за замовчуванням відключений.
Система, де прямий доступ до облікового запису root обмежений, хоч і не є повністю невразливою до атак, значно знижує ризик проникнення зловмисника і серйозного пошкодження системи. Навіть маючи права sudo, певні системні зміни залишаються неможливими, якщо root-доступ заблоковано.
Підготовчі дії
Перед тим, як заблокувати root-доступ, необхідно виконати кілька підготовчих кроків. Перш за все, переконайтеся, що всі користувачі, які мають можливість виконувати команди через sudo, використовують надійні паролі. Слабкий пароль будь-якого такого користувача зведе нанівець весь захист root-акаунта.
Найпростіший спосіб посилити захист облікового запису користувача – це змінити його пароль. Відкрийте термінал і виконайте команду passwd разом із іменем користувача, пароль якого потрібно змінити. Система запропонує встановити новий пароль.
sudo passwd username
При введенні нового пароля, використовуйте складну комбінацію символів, яка не є словом зі словника. Також намагайтеся не використовувати старі паролі повторно.
Важко придумати надійний пароль? Скористайтеся Безпечним генератором паролів. Він допоможе вам створити надійні паролі безкоштовно!
Після того, як всі користувачі з sudo правами мають надійні паролі, слід перевірити файл sudoers. Дізнайтеся з нашого посібника, як відключити sudo доступ для облікових записів, які ви вважаєте небезпечними для виконання системних команд.
Відключення облікового запису Root
Щоб відключити root-доступ, потрібен доступ суперкористувача. На щастя, для відключення та шифрування пароля не обов’язково входити в систему як root. Будь-який користувач з правами sudo може це зробити. Щоб отримати оболонку root-терміналу, не входячи в систему як root, виконайте наступну команду в терміналі:
sudo -s
Команда sudo -s дозволяє користувачеві з відповідними правами отримати доступ до root-оболонки і виконувати системні команди.
Використовуйте команду passwd для відключення облікового запису, щоб жоден користувач не міг в нього увійти.
passwd -l root
Блокування облікового запису – це хороший спосіб захисту, але не єдиний. Якщо ви вважаєте, що блокування недостатньо, можна зашифрувати пароль, зробивши його непридатним для використання. Для цього введіть у терміналі:
usermod -p '!' root
Пароль буде зашифровано миттєво. Після виконання цієї команди, доступ до root-аккаунта стане неможливим.
Після завершення блокування, вийдіть з оболонки суперкористувача, виконавши команду exit.
Повторне увімкнення Root
Відключення root-доступу – це корисна практика для підвищення безпеки. Однак, наявність доступу до root має свої переваги, наприклад, можливість повного налаштування Linux-системи. Якщо ви вирішили відновити доступ до root-акаунта, це можна легко зробити.
Знову введіть у терміналі команду sudo -s. Це дасть доступ суперкористувача. Звідти можна відновити пароль.
Використовуючи команду passwd, розблокуйте root-доступ.
passwd root
Команда passwd root змусить систему скинути пароль. Встановіть новий надійний пароль. Після цього вийдіть з терміналу, виконавши команду exit.
Рекомендації щодо використання Root
Відключення root-доступу (або хоча б захист паролем) є хорошим початком, але недостатнім для забезпечення повної безпеки. Якщо ви дійсно хочете захистити вашу Linux-систему, врахуйте наступні рекомендації:
Переконайтеся, що ваш root-пароль складається не менше ніж з 14 символів. Довгий пароль складніше вгадати.
Ніколи не використовуйте один і той самий пароль для облікового запису користувача і root-облікового запису.
Змінюйте паролі щомісяця на всіх облікових записах, включно з root.
Завжди використовуйте цифри, великі та малі літери, а також символи у паролях.
Створіть окремі облікові записи адміністратора з sudo-правами, для користувачів, яким потрібно виконувати системні команди, замість того щоб видавати root-пароль.
Зберігайте SSH-ключі в секреті і дозволяйте тільки довіреним користувачам входити в систему як root через SSH.
Увімкніть двофакторну аутентифікацію під час входу, щоб уникнути підробки вашої системи.
Повноцінно використовуйте брандмауер Linux у вашій системі.