Awọn ọna 4 lati Mu Account Gbongbo ni Linux

Iwe akọọlẹ jẹ iroyin ikẹhin lori Lainos kan ati awọn ọna ṣiṣe bii Unix miiran. Iwe akọọlẹ yii ni iraye si gbogbo awọn aṣẹ ati awọn faili lori eto pẹlu kika ni kikun, kọ ati ṣiṣẹ awọn igbanilaaye. O ti lo lati ṣe eyikeyi iru iṣẹ-ṣiṣe lori eto kan; lati fi sori ẹrọ/yọ kuro/igbesoke awọn idii sọfitiwia, ati pupọ diẹ sii.

Nitori olumulo ti o ni gbongbo ni awọn agbara idi, eyikeyi awọn iṣe ti o/o ṣe jẹ pataki lori eto kan. Ni eleyi, eyikeyi awọn aṣiṣe nipasẹ olumulo gbongbo le ni awọn ipa nla lori iṣẹ deede ti eto kan. Ni afikun, akọọlẹ yii le tun jẹ ilokulo nipa lilo rẹ ni aiṣe deede tabi aiṣedeede boya lairotẹlẹ, irira, tabi nipasẹ aimọ ete ti awọn ilana.

Nitorinaa, o ni imọran lati mu wiwọle root kuro ninu olupin Linux rẹ, dipo, ṣẹda akọọlẹ iṣakoso eyiti o yẹ ki o tunto lati jere awọn anfani olumulo gbongbo nipa lilo aṣẹ sudo, lati ṣe awọn iṣẹ ṣiṣe pataki lori olupin naa.

Ninu nkan yii, a yoo ṣalaye awọn ọna mẹrin lati mu wiwọle iwọle olumulo olumulo mu ni Linux.

Ifarabalẹ: Ṣaaju ki o to idiwọ wiwọle si akọọlẹ gbongbo, rii daju pe o ti ṣẹda akọọlẹ iṣakoso kan, o lagbara lati lo pipaṣẹ useradd ki o fun akọọlẹ olumulo yii ọrọ igbaniwọle to lagbara. Flag -m tumọ si ṣẹda itọsọna ile ti olumulo ati -c gba laaye lati ṣafihan asọye kan:

# useradd -m -c "Admin User" admin
# passwd admin

Nigbamii, ṣafikun olumulo yii si ẹgbẹ ti o yẹ fun awọn alabojuto eto nipa lilo aṣẹ olumulo ni (kẹkẹ tabi sudo da lori pinpin Linux rẹ):

# usermod -aG wheel admin    #CentOS/RHEL
# usermod -aG sudo admin     #Debian/Ubuntu 

Ni kete ti o ti ṣẹda olumulo kan pẹlu awọn anfani ijọba, yipada si akọọlẹ yẹn lati le dènà iraye si gbongbo.

# su admin

1. Yi ikarahun Olumulo ká gbongbo pada

Ọna ti o rọrun julọ lati mu wiwọle olumulo gbongbo ni lati yi ikarahun rẹ pada lati /bin/bash tabi /bin/bash (tabi eyikeyi ikarahun miiran ti o gba wiwọle olumulo) si /sbin/nologin , ninu faili/ati be be lo/passwd, eyiti o le ṣii fun ṣiṣatunkọ nipa lilo eyikeyi awọn olootu laini aṣẹ ayanfẹ rẹ bi o ti han.

  
$ sudo vim /etc/passwd

Yi ila pada:

root:x:0:0:root:/root:/bin/bash
to
root:x:0:0:root:/root:/sbin/nologin

Fipamọ faili naa ki o pa.

Lati isinsinyi lọ, nigbati gbongbo olumulo ba wọle, oun/yoo gba ifiranṣẹ\"Akọọlẹ yii ko si lọwọlọwọ." Eyi ni ifiranṣẹ aiyipada, ṣugbọn, o le yipada ki o ṣeto ifiranṣẹ aṣa ni faili /etc/nologin.txt.

Ọna yii jẹ doko nikan pẹlu awọn eto ti o nilo ikarahun fun iwọle olumulo, bibẹkọ, sudo, ftp ati awọn alabara imeeli le wọle si akọọlẹ gbongbo naa.

2. Muu Wiwọle gbongbo ṣiṣẹ nipasẹ Ẹrọ Ẹrọ (TTY)

Ọna keji nlo modulu PAM ti a pe ni pam_securetty, eyiti o fun laaye wiwọle si gbongbo nikan ti olumulo ba n wọle lori TTY “aabo”, gẹgẹbi a ti ṣalaye nipasẹ atokọ ni/ati be be/aabo.

Faili ti o wa loke gba ọ laaye lati ṣafihan iru awọn ẹrọ TTY ti o gba olumulo gbongbo laaye lati buwolu wọle, ṣiṣafihan faili yii ṣe idilọwọ iwọle root lori eyikeyi awọn ẹrọ ti o so mọ ẹrọ kọmputa naa.

Lati ṣẹda faili ti o ṣofo, ṣiṣe.

$ sudo mv /etc/securetty /etc/securetty.orig
$ sudo touch /etc/securetty
$ sudo chmod 600 /etc/securetty

Ọna yii ni diẹ ninu awọn idiwọn, o kan awọn eto bii wiwọle, awọn alakoso ifihan (ie gdm, kdm ati xdm) ati awọn iṣẹ nẹtiwọọki miiran ti o ṣe ifilọlẹ TTY kan. Awọn eto bii su, sudo, ssh, ati awọn irinṣẹ openssh miiran ti o ni ibatan yoo ni iraye si akọọlẹ gbongbo.

3. Disabl SSH Root Wiwọle

Ọna ti o wọpọ julọ lati wọle si awọn olupin latọna jijin tabi awọn VPS jẹ nipasẹ SSH ati lati dẹkun wiwọle olumulo gbongbo labẹ rẹ, o nilo lati satunkọ faili/ati be be/ssh/sshd_config.

$ sudo vim /etc/ssh/sshd_config

Lẹhinna aibikita (ti o ba ṣalaye rẹ) itọsọna PermitRootLogin ati ṣeto iye rẹ si rara bi o ṣe han ninu sikirinifoto.

Lọgan ti o ba ti ṣetan, fipamọ ati pa faili naa. Lẹhinna tun bẹrẹ iṣẹ sshd lati lo iyipada to ṣẹṣẹ ni awọn atunto.

$ sudo systemctl restart sshd 
OR
$ sudo service sshd restart 

Bi o ti le ti mọ tẹlẹ, ọna yii nikan ni ipa lori awọn irinṣẹ openssh ti a ṣeto, awọn eto bii ssh, scp, sftp yoo ni idiwọ lati wọle si akọọlẹ gbongbo.

4. Ni ihamọ gbongbo Acess si Awọn iṣẹ Nipasẹ PAM

Awọn modulu Ijeri Pluggable (PAM ni kukuru) jẹ agbedemeji, pipọ, apọjuwọn, ati ọna rirọ ti ijẹrisi lori awọn eto Linux. PAM, nipasẹ modulu /lib/security/pam_listfile.so, ngbanilaaye irọrun nla ni didi awọn anfani ti awọn iroyin kan pato.

A le lo module ti o wa loke lati tọka atokọ ti awọn olumulo ti a ko gba laaye lati wọle nipasẹ diẹ ninu awọn iṣẹ ibi-afẹde bi wiwọle, ssh ati eyikeyi awọn eto akiyesi PAM.

Ni ọran yii, a fẹ lati mu iraye si olumulo olumulo si eto kan, nipa ihamọ wiwọle si iwọle ati awọn iṣẹ sshd. Ni akọkọ ṣii ati ṣatunkọ faili fun iṣẹ ibi-afẹde ninu itọsọna /etc/pam.d/ bi a ti han.

$ sudo vim /etc/pam.d/login
OR
sudo vim /etc/pam.d/sshd

Nigbamii, ṣafikun iṣeto ni isalẹ ni awọn faili mejeeji.

auth    required       pam_listfile.so \
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

Nigbati o ba ti ṣetan, fipamọ ati pa faili kọọkan. Lẹhinna ṣẹda faili pẹtẹlẹ/ati be be lo/ssh/denusers eyi ti o yẹ ki o ni ohun kan fun laini kii ṣe kika agbaye.

Ṣafikun gbongbo orukọ ninu rẹ, lẹhinna fipamọ ki o pa a.

$ sudo vim /etc/ssh/deniedusers

Tun ṣeto awọn igbanilaaye ti a beere lori eyi.

$ sudo chmod 600 /etc/ssh/deniedusers

Ọna yii nikan ni ipa lori awọn eto ati awọn iṣẹ ti o mọ PAM. O le dènà iraye si root si eto nipasẹ ftp ati awọn alabara imeeli ati diẹ sii.

Fun alaye diẹ sii, kan si awọn oju-iwe eniyan ti o yẹ.

$ man pam_securetty
$ man sshd_config
$ man pam

Gbogbo ẹ niyẹn! Ninu nkan yii, a ti ṣalaye awọn ọna mẹrin ti idilọwọ wiwọle olumulo olumulo root (tabi akọọlẹ) ni Lainos. Ṣe o ni awọn asọye eyikeyi, awọn didaba tabi awọn ibeere, ni ọfẹ lati de ọdọ wa nipasẹ fọọmu esi ni isalẹ.