Todos nós que gerenciamos e usamos computadores Windows ou Mac, precisamos habilitar ou desabilitar o administrador ou usuário root. Hoje temos que saber como fazê-lo em uma distro Linux, chamá-lo de Fedora, Debian, Ubuntu, etc, sabemos a importância e escopo do usuário root dentro do sistema já que este usuário tem o poder de gerenciar totalmente o Sistema Operacional sem qualquer restrição.
Isso é importante para nossas funções como administradores, mas pode ser perigoso para toda a infraestrutura se for manipulado de forma incorreta por pessoas sem autorização ou sem o conhecimento necessário.
Sabemos que em algumas distros Linux um usuário não pode ter acesso a ser um usuário root, então devemos acrescentar o termo sudo para que o comando que estamos executando possa ser processado corretamente, mas algumas tarefas devem ser executadas exclusivamente como root por segurança e não apenas com sudo.
Ter um usuário root envolve riscos, pois tem privilégios absolutos sobre as alterações do sistema. Esta conta deve estar bem protegida, algo problemático se esquecermos nossa senha. Um detalhe em algumas distros Linux é que a conta root está desabilitada por padrão, o que leva ao uso do comando sudo. Mas se preferirmos que nossa conta seja root sem ter que usar este comando, podemos habilitá-lo diretamente.
Hoje veremos como podemos remover esse usuário root de nossos ambientes Linux para evitar esse tipo de inconveniente. Apesar de mostrarmos como fazer isso para qualquer distro, aqui está um exemplo de como fazer no Ubuntu:
Também tenha em mente que em sistemas operacionais UNIX, estamos falando especificamente de Linux, podemos criar usuários com permissões administrativas, mas o usuário que tem mais poder sobre os outros e que é muito cuidadoso em lidar com isso é o usuário root que pode ser ativado ou usar suas permissões prefixando sudo, mas se for manuseado de forma incorreta, pode, sem dúvida, causar impactos negativos tanto na estrutura do sistema quanto nas informações ou serviços hospedados nele.
O usuário root tem acesso a todos os comandos e arquivos com permissões completas de leitura, gravação ou execução e pode ser usado para executar qualquer tipo de tarefa dentro do sistema operacional, como criar, atualizar ou excluir outras contas de usuário, bem como instalar, atualizar ou remover pacotes de software com os quais as consequências podem ser drásticas.
Uma boa prática, caso as informações sejam sensíveis ou confidenciais, é desativar o usuário root do Linux, mas para isso devemos ter uma conta que tenha privilégios administrativos com os quais o comando sudo possa ser usado para obter privilégios de usuário root.
Por exemplo, podemos criar uma conta como esta:
useradd -m -c admin passwd admin "Solvético"Com o comando useradd criamos o usuário, o parâmetro -m significa que vamos criar o diretório pessoal do usuário e o parâmetro -c nos permite especificar um comentário para este usuário.
Depois disso, devemos adicionar o usuário ao grupo de administradores do sistema usando o comando usermod, com a opção -a que adiciona a conta do usuário e -G que especifica um grupo para adicionar o usuário:
usermod -aG wheel admin (CentOS / RHEL) usermod -aG sudo admin (Debian / Ubuntu)A Solvetic explicará as várias maneiras de desabilitar esse usuário no Linux. (também um para ativá-lo).
1. Habilitar usuário root no Linux
Começamos com a maneira de saber como habilitar um usuário root.
Passo 1
Se depois de ter desativado o usuário root por um tempo precisarmos usá-lo novamente, podemos ativá-lo novamente no sistema usando o seguinte comando:
sudo passwd rootCom esse comando, será feito.
Passo 2
Na janela exibida, devemos estabelecer uma senha para o usuário root.
2. Desative o usuário root e remova a senha no Linux
Passo 1
Para executar este processo devemos alterar o usuário com o qual efetuamos login como usuário root, para isso executamos o seguinte comando e inserimos nossa senha de administrador.
sudo -s
Passo 2
Uma vez que somos usuários root, devemos executar o seguinte comando para remover a senha root:
passwd --lock root
etapa 3
Este comando nos permitirá desabilitar completamente o acesso ao usuário root, para verificá-lo tentaremos entrar como usuário root digitando nossa senha e veremos o seguinte:
Passo 4
Outra das opções de segurança que podemos usar com o usuário root é modificar sua senha atual usando o comando:
passwd -d rootCom esse comando, isso seria feito.
3. Desativar usuário root do Shell
A maneira mais simples de desabilitar o login do usuário root é mudar seu shell do diretório / bin / bash ou / bin / bash para / sbin / nologin, no arquivo / etc / passwd que pode ser aberto com qualquer editor.:
sudo nano / etc / passwdVeremos o seguinte:
PROLONGAR
Lá devemos mudar a linha root: x: 0: 0: root: / root: / bin / bash por root: x: 0: 0: root: / root: / sbin / nologin:
PROLONGAR
Salvamos as alterações usando as teclas Ctrl + O e saímos do editor usando Ctrl + X.
A partir de agora, quando o usuário root fizer login, a mensagem "Esta conta está indisponível no momento" será vista, esta é a mensagem padrão, mas se quisermos alterá-la e configurar uma mensagem personalizada, podemos fazê-lo no / etc / arquivo nologin .txt.
4. Desativar usuário root por meio de dispositivo de console (TTY)
Este método usa um módulo PAM chamado pam_securetty que permite acesso root apenas se o usuário estiver fazendo login em um TTY seguro, conforme definido na listagem em:
/ etc / securettyCom este arquivo anterior será possível especificar em quais dispositivos TTY o usuário root terá permissão para logar, de forma que, caso desocupemos este arquivo, o login será impedido de qualquer dispositivo conectado.
Para criar um arquivo vazio, executamos o seguinte:
sudo mv / etc / securetty /etc/securetty.orig sudo touch / etc / securetty sudo chmod 600 / etc / securettyCom ele será criado.
PROLONGAR
Este método se aplica apenas a gerenciadores de tela como gdm, kdm e xdm) e outros serviços de rede que iniciam um TTY, mas para outros programas como su, sudo, ssh, a conta root será acessada.
5. Desativar root boot via SSH
É um método comum para acessar como root via SSH, portanto, para bloquear o login do usuário root, será necessário editar o arquivo / etc / ssh / sshd_config:
sudo nano / etc / ssh / sshd_configDevemos remover o comentário da linha "PermitRootLogin" e definir seu valor como no.
PROLONGAR
Depois disso, devemos atualizar a mudança usando qualquer uma das seguintes linhas:
sudo systemctl restart sshdOU
sudo service sshd restartCom isso, será feito.
6. Desativar root por meio de PAM
PAM (Pluggable Authentication Modules), é um método de autenticação centralizado, modular e flexível em sistemas Linux. O PAM, no módulo /lib/security/pam_listfile.so, permite que você execute certas tarefas para limitar os privilégios de contas específicas.
Neste módulo será possível estabelecer uma lista de usuários que não terão permissão para logar através de alguns serviços de destino como login, ssh e qualquer programa compatível com PAM.
Para conseguir isso, devemos acessar e editar o arquivo para o serviço de destino no diretório /etc/pam.d/ com uma das seguintes opções:
sudo nano /etc/pam.d/loginOU
sudo nano /etc/pam.d/sshdLá, adicionaremos o seguinte:
auth required pam_listfile.so \ onerr = sucesso item = user sense = deny file = / etc / ssh / deniedusers
PROLONGAR
Nós salvamos as alterações e saímos do editor.
Agora vamos criar o arquivo simples / etc / ssh / deniedusers que deve conter um elemento por linha e não pode ser acessado por outros usuários:
sudo nano / etc / ssh / deniedusersProsseguimos para conceder permissões:
sudo chmod 600 / etc / ssh / deniedusersCom qualquer um desses métodos, desabilitamos o usuário root no Linux.
Vimos como podemos obter essa vantagem de segurança desabilitando o usuário root, mas devemos fazer isso se necessário, pois se nosso sistema não for acessado por muitos usuários ou soubermos que as pessoas que acessam são confiáveis e autorizadas, não é necessário execute esta tarefa. Se ainda precisarmos dele novamente, você já viu como é fácil reativar este usuário root em uma das seções.
Talvez você também tenha se encontrado na situação de ter que desabilitar o usuário root no Ubuntu e aqui você verá uma maneira simples de fazer isso.