4 cara untuk menonaktifkan akun root di linux

Itu akar Akun adalah akun utama pada Linux dan sistem operasi seperti UNIX lainnya. Akun ini memiliki akses ke semua perintah dan file pada sistem dengan membaca, menulis, dan menjalankan izin lengkap. Ini digunakan untuk melakukan segala jenis tugas pada suatu sistem; Untuk membuat/memperbarui/mengakses/menghapus akun pengguna lain, menginstal/menghapus/meningkatkan paket perangkat lunak, dan banyak lagi.

Karena akar Pengguna memiliki kekuatan mutlak, tindakan apa pun yang ia lakukan sangat penting pada suatu sistem. Dalam hal ini, kesalahan apa pun oleh akar Pengguna mungkin memiliki implikasi besar pada operasi normal suatu sistem. Selain itu, akun ini juga dapat disalahgunakan dengan menggunakannya secara tidak benar atau tidak tepat baik secara tidak sengaja, jahat, atau melalui ketidaktahuan kebijakan yang dibuat -buat.

Oleh karena itu, disarankan untuk menonaktifkan akses root di server Linux Anda, sebaliknya, membuat akun administratif yang harus dikonfigurasi untuk mendapatkan hak pengguna root menggunakan perintah sudo, untuk melakukan tugas -tugas penting di server.

Di artikel ini, kami akan menjelaskan empat cara untuk menonaktifkan login akun pengguna root di Linux.

Perhatian: Sebelum Anda memblokir akses ke akar akun, pastikan Anda telah membuat akun administratif, mampu menggunakan perintah sudo untuk mendapatkan hak pengguna root, dengan perintah useradd dan memberikan akun pengguna ini kata sandi yang kuat. Bendera -M berarti membuat direktori rumah pengguna dan -C memungkinkan untuk menentukan komentar:

# useradd -m -c "admin user" admin # passwd admin 

Selanjutnya, tambahkan pengguna ini ke grup administrator sistem yang sesuai menggunakan perintah USERMOD, di mana sakelar -A berarti menambahkan akun pengguna dan -G Menentukan grup untuk menambahkan pengguna di (roda atau sudo tergantung pada distribusi linux Anda):

# USERMOD -AG Wheel Admin # CentOS/RHEL # USERMOD -AG Sudo Admin # Debian/Ubuntu 

Setelah Anda membuat pengguna dengan hak administratif, beralih ke akun itu untuk memblokir akses root.

Admin # Su 

1. Ubah Shell Pengguna Root

Metode paling sederhana untuk menonaktifkan login pengguna root adalah mengubah cangkangnya /bin/bash atau /bin/bash (atau shell lain yang memungkinkan login pengguna) /sbin/nologin, dalam /etc/passwd file, yang dapat Anda buka untuk diedit menggunakan editor baris perintah favorit Anda seperti yang ditunjukkan.

 $ sudo vim /etc /passwd 

Ubah garis:

Root: x: 0: 0: root:/root:/bin/bash ke root: x: 0: 0: root:/root:/sbin/nologin 

Simpan file dan tutup.

Mulai sekarang, kapan akar Pengguna masuk, dia akan mendapatkan pesan "Akun ini saat ini tidak tersedia.Ini adalah pesan default, tetapi, Anda dapat mengubahnya dan mengatur pesan khusus di file /etc/nologin.txt.

Metode ini hanya efektif dengan program yang membutuhkan shell untuk login pengguna, jika tidak, sudo, ftp Dan surel Klien dapat mengakses akun root.

2. Nonaktifkan login root melalui perangkat konsol (TTY)

Metode kedua menggunakan a Pam modul dipanggil Pam_Securetty, yang memungkinkan akses root hanya jika pengguna masuk pada "aman ”tty, sebagaimana didefinisikan oleh daftar /etc/securetty.

File di atas memungkinkan Anda untuk menentukan yang mana Tty Perangkat Pengguna root diizinkan untuk masuk, mengosongkan file ini mencegah login root pada perangkat apa pun yang terpasang pada sistem komputer.

Untuk membuat file kosong, jalankan.

$ sudo mv /etc /securetty /etc /securetty.Orig $ sudo touch /etc /securetty $ sudo chmod 600 /etc /securetty 

Metode ini memiliki beberapa keterbatasan, ini hanya mempengaruhi program seperti login, manajer tampilan (i.e GDM, kdm Dan XDM) dan layanan jaringan lainnya yang meluncurkan TTY. Program seperti Su, Sudo, SSH, dan alat OpenSSH terkait lainnya akan memiliki akses ke akun root.

3. Menonaktifkan login root ssh

Cara paling umum untuk mengakses server jarak jauh atau VPS adalah melalui SSH dan untuk memblokir login pengguna root di bawahnya, Anda perlu mengedit /etc/ssh/sshd_config mengajukan.

$ sudo vim/etc/ssh/sshd_config 

Maka uncomment (jika dikomentari) arahan Leverrootlogin dan mengatur nilainya TIDAK seperti yang ditunjukkan dalam tangkapan layar.

Setelah selesai, simpan dan tutup file. Lalu restart sshd Layanan untuk menerapkan perubahan konfigurasi terbaru.

$ sudo systemctl restart sshd atau $ sudo service sshd restart 

Seperti yang mungkin sudah Anda ketahui, metode ini hanya mempengaruhi set alat openssh, program seperti SSH, SCP, SFTP akan diblokir dari mengakses akun root.

4. Batasi akes root untuk layanan melalui PAM

Modul Otentikasi Pluggable (Pam Singkatnya) adalah metode otentikasi yang terpusat, dapat dicolokkan, modular, dan fleksibel pada sistem Linux. Pam, melalui /lib/keamanan/pam_listfile.Jadi modul, memungkinkan fleksibilitas besar dalam membatasi hak istimewa akun tertentu.

Modul di atas dapat digunakan untuk merujuk daftar pengguna yang tidak diizinkan masuk melalui beberapa layanan target seperti login, SSH dan program yang sadar PAM apa pun.

Dalam hal ini, kami ingin menonaktifkan akses pengguna root ke suatu sistem, dengan membatasi akses ke layanan login dan SSHD. Pertama buka dan edit file untuk layanan target di /etc/pam.D/ direktori seperti yang ditunjukkan.

$ sudo vim /etc /pam.d/login atau sudo vim/etc/pam.d/sshd 

Selanjutnya, tambahkan konfigurasi di bawah ini di kedua file.

Auth yang diperlukan PAM_LISTFILE.Jadi \ onerr = item sukses = Sense pengguna = tolak file =/etc/ssh/deniedusers 

Setelah selesai, simpan dan tutup setiap file. Kemudian buat file biasa /etc/ssh/deniedusers yang seharusnya berisi satu item per baris dan bukan dunia yang dapat dibaca.

Tambahkan root nama di dalamnya, lalu simpan dan tutup.

$ sudo vim/etc/ssh/deniedusers 

Juga mengatur izin yang diperlukan untuk ini.

$ sudo chmod 600/etc/ssh/deniedusers 

Metode ini hanya memengaruhi program dan layanan yang sadar Pam. Anda dapat memblokir akses root ke sistem melalui FTP dan klien email dan banyak lagi.

Untuk informasi lebih lanjut, konsultasikan dengan halaman pria yang relevan.

$ man pam_securetty $ man sshd_config $ man pam sshd 

Itu saja! Dalam artikel ini, kami telah menjelaskan empat cara untuk menonaktifkan login pengguna root (atau akun) di Linux. Apakah Anda memiliki komentar, saran atau pertanyaan, jangan ragu untuk menghubungi kami melalui formulir umpan balik di bawah ini.