деякий час тому я дав root коду пароля, щоб я міг увійти як root і отримати деякі речі. Тепер я хочу відключити кореневий вхід, щоб посилити безпеку, оскільки я буду виставляти свою послугу в Інтернет. Я бачив декілька способів зробити це ( sudo passwd -l rootманіпулюючи /etc/shadowі так далі), але ніде не сказано, що найкращий / найрозумніший спосіб це зробити. Я зробив, sudo passwd -l rootале я бачив пораду, яка говорить про те, що це може вплинути на сценарії init, і що це не так безпечно, як виглядає, оскільки він все ще запитує пароль, якщо ви спробуєте увійти, а не виправити заборону доступу. То який би спосіб досягти цього?

EDIT: щоб уточнити, це для локального входу як кореня; Я вже відключив віддалений вхід через SSH. Хоча спроба увійти як root через SSH, все ще вимагає ввести пароль root (який завжди не вдається). Це погано?

Для мене сумнівно, що відключення кореня варте потенційних проблем. Я ніколи не перевіряв сервер, налаштований таким чином. Моя перевага - дозволити лише локальний кореневий доступ. Якщо зловмисник має фізичний доступ до вашого сервера, ви можете забути все, що ви зробили, щоб "убезпечити" встановлення.

Вимкнути кореневий sshдоступ, редагуючи, /etc/ssh/sshd_configщоб містити:

PermitRootLogin no

Якщо не встигати /etc/shadow, chsh -s /bin/false rootвсе можна скасувати простим завантажувальним CD / thumbdrive.

Оновлення за вашим коментарем:

З help.ubuntu.com : "За замовчуванням пароль кореневого облікового запису заблокований в Ubuntu ". Будь ласка, перегляньте розділ "Повторне відключення вашого кореневого облікового запису" спеціально. Для того, щоб скинути стан облікового запису root, встановити за замовчуванням, використовуйте таку команду:

sudo usermod -p '!' root

Я припускаю, що ви посилаєтесь на віддалений вхід через ssh. Додайте наступний рядок до /etc/ssh/sshd_config:

PermitRootLogin no

і перезапустити службу ssh

sudo service ssh restart

Це повинно зробити цю роботу, і ви можете зберегти свій кореневий обліковий запис таким, яким він є (або спробувати його вимкнути в будь-якому випадку, якщо вважаєте, що це необхідно).

На головне питання відповіли кілька разів, але на другорядне - ні. SSH запитує пароль після введення root після його відключення як функції захисту. Він також запуститься, якщо ви спробуєте увійти як lkjfiejlksji.

Це для того, щоб хтось не тестував купу імен користувачів, щоб перевірити, які є дійсними у вашій системі. Однак, з точки зору безпеки, якщо ви відключили root через SSH, я також створив програму виявлення грубої сили (наприклад, fail2ban) і встановив би її так, що якщо хтось навіть намагається увійти як root, він блокує їх від намагання будь-яких додаткових атак.

Заміна зашифрованого пароля на * in / etc / shadow (друге поле після першого ':') - найкращий спосіб, IMHO. Крім того, відключіть кореневий логін для ssh (таким чином просто неможливо увійти через ssh як root) та, можливо, обмежити ssh для входу в сертифікати, що набагато безпечніше, ніж вхід на основі пароля.

У більшості випадків SSH має бути єдиною службою, доступною ззовні, яка потенційно дозволяє кореневим входом, тому ця двері буде заблокована.

Щоб ще більше обмежити це, ви можете встановити щось на кшталт fail2ban, яке забороняє IP-адреси протягом певного часу після ряду невдалих спроб входу.

JR та ін.,

Ваші AllowUsers привели мене до цього https://help.ubuntu.com/community/SSH/OpenSSH/Configuring

sudo vi / etc / ssh / sshd_config

PermitRootLogin так (змінено на ні)

(додайте рядок внизу файлу) DenyUsers user1 user2

зберегти та вийти, а потім

sudo service ssh перезапуск

Вирішили мою проблему. Дякую всім.

Якщо ви хочете відключити локальний кореневий вхід, ви можете спробувати змінити / etc / passwd та замінити / bin / bash на / bin / false. ЗАРАЗ, оскільки я його не перевіряв, я б сказав, залиште кореневий сеанс відкритим збоку, протестуйте його, і якщо є якийсь дивний побічний ефект, змініть його назад.

Re: Безпека.

IMHO є лише стільки, що ви можете зробити, безпечний, якщо не виймати коробку з розетки, від'єднати її від мережі та приварити всередину 3-дюймової коробки з нержавіючої сталі з твердої сталі.

Подумайте про це так - якщо люди можуть зламати Міністерство оборони, ЦРУ, ФБР та Citibank - решта з нас просто смертні не можуть зробити набагато кращого.

Re: безпека SSH.

Я не тільки забороняю доступ до root через ssh, я також встановлюю параметр "AllowUsers" на моє і лише моє ім'я користувача. Таким чином ніхто, крім мого власного користувача, не може входити через ssh. Це може бути зайвим, як і в моєму власному випадку, я так чи інакше створюю лише Одного некористуючого користувача.

На жаль, як уже багато разів говорили раніше, як тільки хтось отримує фізичний доступ до поля, усі ставки ВИМКНЕНІ!

Обмін сертифікатами для входу в ssh? Гмммм. . . . звучить добре. Як ти це робиш?

Джим (JR)