Kas ir root lietotājs Linux sistēmā un kā to droši lietot?

Ja Linux lietojat tikai neilgu laiku, agrāk vai vēlāk jūs būsiet saskārušies ar slaveno root lietotājs, superlietotājs, kurš var veikt un atsaukt darbības sistēmā praktiski bez ierobežojumiemTas ir tas noslēpumainais konts, kas parādās pamācībās, tas, kas ļauj instalēt pakotnes, pielāgot delikātus iestatījumus vai salabot sistēmu, kas neieslēdzas... bet kas var arī sabojāt jūsu datoru ar vienu nepareizi ierakstītu komandu.

Vairumā mūsdienu distribūciju, īpaši Ubuntu un tā atvasinājumos, vairs nav ierasts pieteikties tieši kā root. Tā vietā vēlamā metode ir izmantot citu lietotāju. Izmantojiet tādas komandas kā sudo un su, lai iegūtu administratora privilēģijas tikai nepieciešamības gadījumā.Tas samazina riskus un atstāj pēdas sistēmas žurnālos. Tomēr, ja vēlaties ērti orientēties Linux sistēmā, ir svarīgi labi izprast, kas ir root, kā tas atšķiras no sudo un su, kad tos lietot, kā deaktivizēt kontu un kā atgūt paroli.

Kas ir root lietotājs Linux sistēmā un kāpēc tas ir tik īpašs?

Jebkurā Unix līdzīgā sistēmā (Linux, BSD, macOS utt.) ir viens superlietotājs ar ļoti skaidru lomu: root ir konts ar UID 0 un absolūtām pilnvarām pār visiem failiem, procesiem un sistēmas resursiem.Nav tradicionālu atļauju ierobežojumu; ja root lietotājs vēlas kaut ko lasīt, modificēt vai dzēst, tas to arī izdarīs.

No šī konta jūs varat Instalēt un atinstalēt programmas, atjaunināt sistēmu, rediģēt konfigurācijas failus /etc, pārvaldīt pakalpojumus, izveidot un dzēst lietotājus, formatēt diskus vai mainīt kritiskās atļaujasTas ir līdzvērtīgs Windows “Administratora” lietotājam, bet ar vēl plašākām iespējām piekļūt sistēmas iekšējai darbībai bez ierobežojumiem.

Šī iemesla dēļ daudzi distribūcijas, piemēram, Ubuntu, izvēlas Pēc instalēšanas neatļaut tiešu root pieteikšanosTā vietā tiek izveidots parasts konts (kas pieder administratoru grupai), un sudo tiek izmantots konkrētu administratīvu uzdevumu veikšanai, samazinot riska pakāpi.

Citos izplatījumos, piemēram, Debian klasiskajā konfigurācijā, instalēšanas laikā ir ierasts definēt root paroli, lai Superlietotāju var izmantot tieši konsolē vai dažiem ļoti specifiskiem uzdevumiem.lai gan pati sistēma arī mudina izmantot sudo.

Papildus root un "cilvēku" lietotājiem Linux izmanto arī pakalpojuma tipa (dēmons) sistēmas lietotāji ar ļoti ierobežotām atļaujāmŠie īpašie lietotāji vada tādus procesus kā tīmekļa serverus, datubāzes vai sistēmas dēmonus, lai pakalpojuma drošības trūkums automātiski nedotu absolūtu kontroli pār sistēmu, kā tas notiktu, ja viss darbotos ar root piekļuvi.

Lietotāju veidi Linux sistēmā un kā uzzināt, kas jūs esat

Lai gan praktiski var šķist, ka ir daudz kontu veidu, atļauju līmenī sadalījums ir ļoti skaidrs: sakne vienā pusē un “pārējā daļa” otrāJebkurš lietotājs, kuram nav UID 0, tehniski ir neprivileģēts lietotājs, lai gan, pateicoties sudo, viņam var būt noteiktas papildu atļaujas.

Parastie darba konti ir parastie lietotāji ar ierobežotām atļaujām failu sistēmāViņi var pārvaldīt savus personiskos failus, palaist lietojumprogrammas, izmantot tīklu un, ja atrodas atbilstošajā grupā, izsaukt sudo, lai iegūtu papildu privilēģijas konkrētiem uzdevumiem.

Saknes superlietotājs ir globālās administrācijas kontsTas nav paredzēts ikdienas lietošanai, bet gan apkopei, papildu konfigurēšanai vai atkopšanas darbībām. Tāpēc daudzi izplatījumi padara tiešu piekļuvi šim kontam nedaudz sarežģītāku, lai izvairītos no pārsteigumiem iesācējiem un ierobežotu cilvēcisko kļūdu ietekmi.

Ja jums rodas šaubas par to, kurš lietotājs terminālī darbojas, varat apskatīt Čaulas uzvedne: ja tā beidzas ar $, jūs izmantojat parastu kontu, un, ja tā beidzas ar #, jūs esat root lietotājs.Varat arī palaist komandu whoami vai pārbaudiet skaitlisko identifikatoru ar id -uJa iegūstat tiesības “root” vai “0”, jūs atrodaties superlietotāja režīmā.

Turklāt uzvednē parasti tiek parādīts lietotājvārds, datora nosaukums, pašreizējā direktorija un simbols $ vai #Piemēram, kaut kas līdzīgs alumno@equipo:/home/alumno$ norāda parastu lietotāju, savukārt root@equipo:/root# Tas atspoguļo tiešas administrēšanas sesiju.

root, sudo un su: ko katrs dara un kad tos lietot

Ikdienas lietošanā mēs parasti nerakstām root paroli visu laiku. Tā vietā lielākā daļa mūsdienu izplatījumu izvēlas īslaicīgi paaugstināt privilēģijas no parasta konta, izmantojot tādus rīkus kā sudo un suLai gan sarunās tos dažreiz lieto savstarpēji aizvietojami, tie pilda dažādas lomas, un ir svarīgi tos skaidri atšķirt.

Komanda sudo (superlietotāja uzdevums) ļauj pilnvarotam lietotājam izpildīt īpaša komanda ar cita lietotāja, parasti root, atļaujāmTo darot, tiek reģistrēts, kas ir izpildīts, kas to palaida un kad, atstājot ierakstu sistēmas drošības žurnālos.

No savas puses, jūsu (aizvietotājs) Tas ir paredzēts mainīt lietotāja identitāti vienas termināļa sesijas laikāJa to izsaucat bez parametriem, tas parasti mēģinās pārslēgties uz root kontu (jautājot paroli). Ja norādāt lietotājvārdu, jūs pārslēgsieties uz šo kontu ar tā atļaujām un vidi.

Kā darbojas sudo un kāpēc tas ir tik svarīgi

Sistēmās, piemēram, Ubuntu, kas pieder grupai sudo (vai “admin” vecākās versijās) nozīmē, ka šis konts var izpildīt komandas kā root, ievadot savu lietotāja parolinezinot superlietotāja paroli. Noteikumi, kas kontrolē katras personas darbības, ir definēti failā. / etc / sudoers, kas tiek droši rediģēts ar komandu Visudo.

Lai to lietotu, vienkārši ievietojiet vārdu pirms tā. sudo pirms komandas, kurai nepieciešamas paaugstinātas privilēģijasPiemēram, pakotnes instalēšana parasti tiek veikta šādi:

sudo apt install vlc

Šajā gadījumā apt darbojas kā root lietotājs, raksta sistēmas direktorijās, piemēram, /usr vai /var, un reģistrē izmaiņas pakotnes datubāzē, pat ja jūs joprojām esat pieteicies kā parastais lietotājs. Kad pasūtījums būs pabeigts, jūs automātiski atgriezīsities pie savām ierastajām atļaujām..

Turklāt sudo ievieš nelielu "žēlastības laiks"Pēc paroles ievadīšanas varat vēlreiz palaist komandu `sudo` dažas minūtes, to neprasot. Tas paātrina administrēšanu, bet arī rada nelielu ievainojamību, ja kāds šajā laikā piekļūst jūsu datoram. Ja vēlaties pastiprināt šo politiku, varat iestatīt labvēlības periodu uz nulli, rediģējot komandu `sudoers` ar:

Defaults:ALL timestamp_timeout=0

Tādējādi, Katru reizi, kad izmantojat sudo, jums būs jāautentificējas vēlreiz., nedaudz nogurdinošāks, bet drošāks jutīgās vai vairāku lietotāju vidēs.

Komanda `su` un pilnīga pārslēgšanās uz citu kontu

Savukārt komanda "su" Tas neizpilda vienu komandu, bet gan atver jaunu čaulu ar cita lietotāja identitāti.Ja to izsauc "bez spēka":

su

Sistēma pieņem, ka vēlaties pārslēgties uz root tiesībām, un tāpēc Tas lūgs jums ievadīt superlietotāja paroli.Ja pieteikšanās ir veiksmīga, uzvednes simbols mainīsies uz #, un no šī brīža jebkura jūsu izpildītā komanda tiks izpildīta ar root privilēģijām, līdz jūs izrakstīsities. izeja.

Varat arī norādīt konkrētu lietotāju:

su nombreusuario

Tas ir ļoti noderīgi, kad jūs pārvaldāt pakalpojumi, kas darbojas ar saviem kontiem (piemēram, postgres, www-data utt.), un jums ir jādarbojas tāpat kā tiem, neaizverot galveno sesijuAtkal, kad esat pabeidzis, izmantojot “exit”, jūs atgriežaties pie iepriekšējā lietotāja.

Sistēmās, kurās root ir bloķēts vai tam nav paroles (tāpat kā daudzās Ubuntu instalācijās), jūs nevarēsiet tieši pārslēgties uz šo kontu, izmantojot `su`. Šādos gadījumos parasti tiek izmantota šāda pieeja: ķēdes sviedri un viņaPiemēram:

sudo su o sudo -i

Izmantojot šīs komandas, jūs ievadāt savu lietotāja paroli (nevis root paroli) un iegūstat administratora čaulu ar vidi, kas līdzīga tiešai root pieteikšanās videi. Tas ir ļoti ērti, ja plānojat veikt vairākas darbības pēc kārtas, bet arī bīstamāk, tāpēc ieteicams atteikties no root sesijas, tiklīdz esat pabeidzis.

Kad ir jēga izmantot root, sudo vai su?

Teorija ir laba, bet ikdienas dzīvē svarīgākais ir tas, kuru rīku izmantot katrā konkrētajā situācijā, lai strādātu ātri, neriskējot ar sistēmuParasti, kad vien iespējams, konkrētām komandām izmantojiet sudo un izvairieties no pastāvīgām root čaulām; ja vēlaties iedziļināties sīkāk Kad un kāpēc izvairīties no svīšanas, iepazīstieties ar to ceļvedi.

Piemēram, priekš instalēt vai atjaunināt programmatūru Debian vai Ubuntu balstītos izplatījumos parasti tiek izmantota šāda prakse:

sudo apt update
sudo apt upgrade
sudo apt install gparted

Šādos gadījumos pastāvīga pieteikšanās kā root lietotājam neko daudz nedod. Jūs iegūstat zināmas ērtības, taču vairojat riskus, izdzēšot vai modificējot kaut ko tādu, ko nevajadzētu darīt..

Jūs arī izmantosiet sudo, kad rediģēt sistēmas konfigurācijas failusPiemēram:

sudo nano /etc/hosts
sudo nano /etc/ssh/sshd_config

Tādā veidā tikai redaktors darbojas ar superlietotāja atļaujām, un, to aizverot, jūs atgriežaties savā parastajā privilēģiju līmenī.

Turpretī `su` (vai `sudo -i`) var būt noderīgs, ja Jūs apvienosiet daudzas administratīvās darbības ķēdē `Sudo` pievienošana pirms katras komandas būtu traucēklis. Piemēram, veicot sarežģītus apkopes uzdevumus, pārvaldot vairākus kontus, strādājot ar nodalījumiem utt. Pat ja tā, ieteicams ierobežot laiku, ko pavadāt šajā režīmā, un iziet no tā, tiklīdz esat pabeidzis.

Ļoti praktiska darbības detaļa ir tā, ka, ja neesat pārliecināts, vai jums ir root piekļuve, varat palaist whoami o id -uJa saņemat “root” vai “0”, ir pienācis laiks būt ārkārtīgi piesardzīgam, pirms rakstīt kaut ko destruktīvu.

Rādīt zvaigznītes, rakstot paroli ar sudo

Pēc noklusējuma daudzi izplatījumi (tostarp Ubuntu) Ievadot paroli konsolē, tās nerāda nekādas rakstzīmes.Bez punktiem vai zvaigznītēm. Tas tiek darīts, lai neatklātu atslēgas garumu, lai gan praksē daudzi lietotāji uzskata, ka tas ir neērti, jo viņiem nav vizuāla apstiprinājuma, ka viņi raksta.

Jau kādu laiku sudo piedāvā opciju ar nosaukumu pwfeedback Tas ļauj ekrānā parādīt zvaigznītes, kad tiek ievadīta parole. Dažas jaunākās Ubuntu versijas ir sākušas to iespējot, taču jūs to varat aktivizēt jebkurā sistēmā, modificējot sudo konfigurāciju:

1. Atveriet drošo konfigurācijas redaktoru, izmantojot:

sudo visudo

2. Atvērtajā failā (parasti /etc/sudoers) pievienojiet šādu rindu:

Defaults pwfeedback

3. Saglabāt un aizvērt. No šī brīža Katru rakstzīmi, ko ierakstīsiet, ievadot sudo paroli, attēlos zvaigznīte.Ja vēlāk vēlaties atgriezties pie klasiskās darbības (bez vizuālās atbalss), vienkārši noņemiet šo rindiņu un saglabājiet failu vēlreiz, izmantojot Visudo.

Šī pielāgošana neietekmē sudo kriptogrāfisko drošību, bet gan Tas var uzlabot lietojamību tiem, kas dod priekšroku vizuālam apstiprinājumam par rakstīto.īpaši uz tastatūrām bez fona apgaismojuma vai rakstot no attāliem termināļiem.

Reāli riski, kas saistīti ar saknes neuzmanīgu izmantošanu

Saknes konts ir tikpat spēcīgs, cik bīstams. Linux ir izstrādāts ar vairākiem aizsardzības slāņiem, lai parastam lietotājam būtu grūti nejauši uzlauzt sistēmu, taču Palielinot privilēģijas, šie šķēršļi izzūd, un jebkura neuzmanība var pārvērsties katastrofā..

Pirmais nopietnais risks ir svarīgu failu vai direktoriju nejauša izdzēšanaKomandas, piemēram, rm -rf / o rm -rf /* Tie ir slaveni tieši tāpēc, ka, izpildīti kā root lietotājs, tie var izdzēst praktiski visu failu sistēmas saturu dažu sekunžu laikā. Taču nav nepieciešams iet tik galējībā: vienkārši ierakstiet ceļu nepareizi vai atstājiet mainīgo tukšu, piemēram:

rm -rf $directorio/*

Ja `$directory` nav definēts, kā paredzēts, komanda var norādīt uz pavisam citu atrašanās vietu, nekā paredzēts. Kā root lietotājam sistēma neradīs pārāk daudz problēmu, un, kad komanda būs pabeigta, Atveseļošanās parasti ir ļoti sarežģīta vai vienkārši neiespējama. bez dublējumkopijām vai kriminālistikas rīkiem.

Vēl viena būtiska briesma ir ļaunprātīgas programmatūras vai skriptu izpilde ar pilnām privilēģijāmLejupielādējot instalētāju no nezināmas vietnes un palaižot to ar sudo vai no root čaulas, šim kodam tiek piešķirta absolūta kontrole: tas var instalēt rootkit, aizmugures durvis, taustiņu reģistrētājus, modificēt kodolu vai paslēpties dziļi sistēmā. Bieži vien, līdz brīdim, kad problēma tiek atklāta, uzbrucējs jau kādu laiku ir iekšā.

Jums arī jābūt uzmanīgiem, kad Mainīt kritisko failu atļaujas ar chmod vai chownTāds pasūtījums kā chmod 000 /etc Nepareiza /boot, GRUB sāknēšanas ielādētāja vai /etc/passwd manipulācija var padarīt sistēmu neiespējamu startēt. Šādos gadījumos pat startēšana no LiveCD negarantē vienkāršu labošanu; ražošanas vidē var būt nepieciešami profesionāli atkopšanas pakalpojumi.

Visbeidzot, no auditēšanas viedokļa, piesakoties tieši kā root, tiek novērsta liela daļa izsekojamības. Lietojot sudo, katra komanda tiek ierakstīta kopā ar lietotāju, kurš to izpildīja.Ja visu dara kā root lietotājs, neizmantojot sudo, žurnālos būs norādīts tikai tas, ka "root kaut ko izdarīja", bet ne tas, kas atradās aiz tastatūras, kas sarežģī izmeklēšanu un drošības noteikumu ievērošanu.

Iespējot, atspējot un bloķēt root kontu

Atkarībā no jūsu izplatītāja, root konts var būt Iespējots ar paroli, bloķēts vai vienkārši bez piešķirtas atslēgasUbuntu līdzīgās sistēmās root tiesības tiešai pieteikšanās gadījumā parasti ir atspējotas, savukārt citās izplatībās parole tiek definēta instalēšanas laikā.

Ja root konts jūsu datorā ir bloķēts, varat to iespējot no lietotāja ar sudo privilēģijām, palaižot:

sudo passwd root

Sistēma vispirms pieprasīs jūsu lietotāja paroli un pēc tam ievadīt un apstiprināt jauno root paroli. No šī brīža, Konts tiks aktivizēts, un jūs varēsiet pieteikties kā superlietotājs virtuālajos termināļos vai dažos gadījumos pat grafiskajā saskarnē.Lai gan pēdējais ir ļoti neieteicams.

Ja nolemjat, ka vairs nevēlaties, lai root piekļuve būtu pieejama, varat atkārtoti bloķēt kontu, izmantojot:

sudo passwd -l root

Parametrs -l bloķē piekļuvi, piesaistot nederīgu paroli, lai Jūs nevarat pieteikties kā root lietotājs ne ar `su`, ne pieteikšanās ekrānā.Tomēr pilnvaroti lietotāji joprojām varēs izmantot sudo sistēmas administrēšanai, tāpēc jums nepaliks bez iespējām veikt apkopes uzdevumus.

Dažas izplatīšanas versijas piedāvā arī iespēju atspējot un atkārtoti aktivizēt root piekļuvi, izmantojot tādas kombinācijas kā sudo passwd -dl root o sudo passwd -u root lai to atbloķētu. Jebkurā gadījumā, Vispārīgs ieteikums ir saglabāt root piekļuvi un vienmēr strādāt ar sudo, izņemot ļoti specifiskus gadījumus., piemēram, glābšanas vai atkopšanas vides smagi bojātām sistēmām.

Atgūt vai mainīt root paroli

Tā var gadīties neatkarīgi no tā, vai esat pazaudējis root paroli, atspējojis to vai vienkārši vēlaties to no jauna definēt serverī, kura sākotnējā konfigurācija tagad ir aizmirsta. Linux piedāvā vairākus veidus, kā to izdarīt, atkarībā no tā, vai sistēma tiek startēta vai arī ir jāizmanto ārēja ierīce.

Ja jūsu dators joprojām sasniedz GRUB sāknēšanas pārvaldnieku, ļoti izplatīta iespēja ir izmantot atkopšanas režīmsAtlasot šo variantu paplašinātajā izvēlnē, sistēma startē samazinātu vidi un piedāvā iespēju iegūt konsoli ar superlietotāja privilēģijām.

Kad esat iekļuvis šajā čaulā, pirmais, kas jādara, ir Atkārtoti piemontējiet failu sistēmu ar rakstīšanas atļaujāmjo tas bieži ir tikai lasīšanas režīmā:

mount -o rw,remount /

Pēc tam varat palaist standarta komandu, lai iestatītu jaunu paroli:

passwd root

Ievadiet jauno atslēgu divreiz un, lai nodrošinātu, ka izmaiņas tiek ierakstītas diskā, izmantojiet:

sync
reboot

Pārstartējot, Saknes kontam būs tikko iestatītā parole.lai jūs to varētu lietot nepieciešamības gadījumā (ideālā gadījumā, taupīgi un piesardzīgi).

Ja sistēma pat neieslēdzas, varat ķerties pie LiveCD vai LiveUSB no Linux distributīvaPiemēram, Ubuntu. Palaidiet no šī datu nesēja, izvēlieties opciju "Izmēģināt" bez instalēšanas un atveriet termināli. Parasti vispirms iegūstat root tiesības tiešsaistes vidē, izmantojot:

sudo su

Tālāk jums jāatrod nodalījums, kurā ir instalēta remontējamā sistēma, izmantojot kaut ko līdzīgu:

fdisk -l

Kad esat identificējis pareizo ierīci (piemēram, /dev/sda1), pievienojiet to darba mapē:

mkdir /mnt/recover
mount /dev/sda1 /mnt/recover

Nākamais solis ir “Mainīt vides sakni” uz pievienoto nodalījumulai passwd iedarbotos uz instalēto sistēmu, nevis uz tiešo vidi:

chroot /mnt/recover

No turienes jūs varat palaist:

passwd root

lai iestatītu jaunu paroli. Pēc iziešanas no chroot un restartēšanas Sākotnējā sistēma tiks startēta ar atjauninātajiem superlietotāja akreditācijas datiem.Tas ir ļoti spēcīgs manevrs bloķētu datoru glābšanai, taču tas arī uzsver, kāpēc ir svarīgi aizsargāt fizisko piekļuvi un palaišanu no ārējiem datu nesējiem kritiskos serveros.

Saknes piekļuve Ubuntu un drošības politikas

Ubuntu un daudzi tā atvasinājumi (Xubuntu, Kubuntu, Linux Mint u. c.) ir veidojuši savu drošības modeli uz ļoti skaidras idejas: root pastāv, bet gandrīz vienmēr to izmanto netieši, izmantojot sudoTam ir vairākas praktiskas un drošības priekšrocības.

Standarta instalācijā Saknes lietotājam nav definēta paroleTas neļauj lietotājiem tieši pieteikties ar šo kontu gan TTY termināļos, gan grafiskajā vidē. Tā vietā pirmais instalēšanas laikā izveidotais lietotājs tiek pievienots sudo grupai, un viss administratīvais darbs tiek veikts, piešķirot privilēģijas no šī konta.

Šī pieeja samazina uzbrukuma virsmu Tas aizsargā pret brutāla spēka uzbrukumiem root kontam (piemēram, izmantojot SSH) un samazina cilvēcisku kļūdu iespējamību, radot katastrofālas sekas, jo liek administratoram katru reizi, kad tiek izmantota sudo, padomāt.

Ļoti specifiskos kontekstos (laboratorijās, glābšanas vidēs, ļoti izolētās iekārtās) tas var būt pamatots. Piešķiriet paroli root lietotājam ar sudo passwd root un atļaut tiešu pieteikšanos, taču vislabāk to uzskatīt par pagaidu risinājumu. Kad problēma ir atrisināta, labāk ir atkārtoti bloķēt kontu un turpināt darbu ar sudo.

Turklāt uzdevumiem, kuriem nepieciešama pastāvīga saknes čaula, Ubuntu nodrošina tādas komandas kā:

sudo -i o sudo su -

ka Tie simulē pilnu root pieteikšanos ar savu vidi un PATHTas ir noderīgi skriptiem un rīkiem, kuriem jāatrodas "tīrā" saknes vidē, lai pareizi darbotos, neiespējojot pastāvīgu tiešu pieteikšanos.

Saknes piekļuve, izmantojot SSH: iespējošana, atspējošana un aizsardzība

Attālinātajos serveros root piekļuves jautājums kļūst vēl svarīgāks. Pēc noklusējuma lielākā daļa Ubuntu instalāciju Viņi atspējo tiešu root pieteikšanos, izmantojot SSHTas liek jums pieteikties ar parastu lietotāja kontu un pēc tam izmantot sudo. Tas ir svarīgs drošības pasākums, lai novērstu automatizētus uzbrukumus.

Ja kāda ļoti pamatota iemesla dēļ jums ir jāiespējo šī piekļuve, pamatprocess ietver šādas darbības: pirmkārt piešķirt paroli root lietotājam Ja jums tā nav:

sudo passwd root

Un pēc tam rediģējiet SSH servera konfigurāciju:

sudo nano /etc/ssh/sshd_config

Šajā failā meklējiet direktīvu PermitRootLoginJa tas ir komentēts vai atrodas sadaļā "prohibit-password", varat to mainīt uz:

PermitRootLogin yes

Saglabājiet izmaiņas un restartējiet pakalpojumu:

sudo systemctl restart ssh

No turienes jūs varat pieteikties tieši kā root, izmantojot SSH, kas ir Tas rada ievērojamu ievainojamību, ja to izmanto tikai ar paroli.Šajā gadījumā pieņemamais minimums būtu apvienot to ar publiskās atslēgas autentifikāciju un, ja iespējams, ierobežot piekļuvi, izmantojot IP vai bastionu vai VPN.

Lai mainītu situāciju un stiprinātu drošību, rediģējiet atkārtoti / etc / ssh / sshd_config un konfigurēt:

PermitRootLogin no

Vai arī, ja vēlaties subjektīvi atļaut tikai piekļuvi atslēgai:

PermitRootLogin prohibit-password

Vēlreiz restartējiet SSH un, ja vēlaties spert soli tālāk, bloķējiet arī lokālo root kontu ar:

sudo passwd -l root

Līdz ar to, Visiem attālās administrēšanas uzdevumiem būs jāiziet caur parastajiem lietotājiem un sudo privilēģijām., esot reģistrētam un pakļaujoties sudoers faila noteikumiem.

Labākā prakse, izmantojot superlietotāja privilēģijas

Root, sudo un su apgūšana nav tikai komandu iegaumēšana, bet gan pieņemt ieradumus, kas samazina risku, strādājot ar augstām privilēģijāmIr daži saprātīgi ieteikumi, kurus ir vērts iekļaut savā ikdienas rutīnā.

Vissvarīgākais ir vienmēr pielietot mazāko privilēģiju princips: piešķirt tikai nepieciešamās atļaujas un tikai tik ilgi, cik absolūti nepieciešams. Tulkojot uz Linux, tas nozīmē izmantot `sudo` komandu atsevišķām komandām, kad vien iespējams, un nevajadzīgi izvairīties no ilgstošas ​​uzturēšanās root čaulā.

Tas ir arī galvenais Nekad nepalaidiet skriptus vai bināros failus no apšaubāmiem avotiem kā root lietotājs.Pirms palaist no interneta kopētu koda fragmentu, atveriet to teksta redaktorā un pārbaudiet, ko tas dara. Ja kādu daļu nesaprotat, esiet aizdomīgi. Lejupielādētu programmatūru vienmēr mēģiniet iegūt no oficiālām krātuvēm, projektu vietnēm vai citiem cienījamiem avotiem un pārbaudiet kontrolsummas, ja izstrādātājs tās publicē.

Ja jums ir iespēja, Pirmkārt, testa skripti vai rokasgrāmatas izolētā vidē (virtuālā mašīna, Docker konteiners, testa vide) pirms to lietošanas ražošanas serverī vai galvenajā datorā un konsultējieties ar Linux programmatūras trikiTas var ietaupīt jums daudz nepatikšanas.

Serveros ar vairākiem administratoriem ieteicams spert soli tālāk un konfigurēt džemperus detalizētā veidāTas ļauj katrai personai izpildīt tikai tās komandas, kas tai faktiski nepieciešamas. Tas ierobežo kļūdas vai kompromitēta konta iespējamo kaitējumu, kā arī nodrošina iespēju izsekot, kas ko ir darījis jebkurā laikā.

Uzraugot šos aspektus un respektējot ideju, ka Sakne ir rīks konkrētām situācijām, nevis ikdienas uzdevumu veikšanai paredzēts lietotājs, kas pārbaudīs tās izturību.Jūs varat pilnībā izmantot Linux elastību, nevajadzīgi neapdraudot savas sistēmas stabilitāti un drošību.

Linux ekosistēma lielā mērā balstās uz parastā lietotāja un superlietotāja atdalīšanu, kā arī uz tādiem mehānismiem kā sudo un su, lai pārslēgtos starp tiem tikai nepieciešamības gadījumā; izpratne par to, kā darbojas root tiesības, kad tās lietot, kā ierobežot to iedarbību un kā tās atjaunot ārkārtas gadījumā, ir galvenais elements, lai gudri pārvaldītu jebkuru izplatījumu neatkarīgi no tā, vai tas ir jūsu personīgajā klēpjdatorā vai kritiskā ražošanas serverī.