Angeblich wird die Root-Anmeldung deaktiviert, wenn Sie nicht als Root angemeldet sind und schreiben. sudo passwd -d rootDas bedeutet, dass Sie sich als anderer Benutzer anmelden und mit suzu Root wechseln müssen (oder einfach bei bleiben sudo).
Als ich dies jedoch versuchte, wurde die Root-Anmeldung nicht deaktiviert, sondern nur die Kennwortanforderung entfernt, sodass praktisch jeder auf den Root-Zugriff auf meinem Computer zugreifen konnte (sehr schlecht).
Das Buch, das ich verwenden sollte, sudo passwd -d rootwurde für CentOS 6.5 geschrieben. Meine Version ist 7.2. Ist das eine aktuelle Änderung oder habe ich etwas falsch verstanden?
Antwort1
Es macht keinen Sinn, den Root-Login auf dem lokalen PC einzuschränken, da der lokale Benutzer das System immer im Einzelbenutzermodus mit Root-Rechten laden kann. Wenn Sie den Root-Login über SSH blockieren müssen, können Sie dies in /etc/ssh/sshd_config tun, indem Sie Folgendes hinzufügen: PermitRootLogin no
Antwort2
Der einfachste Weg, die Anmeldung als Root zu verhindern, besteht darin, die verschlüsselte Zeichenfolge zu beschädigen, die das Root-Passwort in darstellt /etc/shadow. Normale Zeilen in /etc/shadowsehen folgendermaßen aus:
- Benutzername: Dies ist Ihr Anmeldename.
- Passwort: Dies ist Ihr verschlüsseltes Passwort. Das Passwort sollte mindestens 6-8 Zeichen lang sein und Sonderzeichen/Ziffern usw. enthalten.
- Letzte Passwortänderung (lastchanged): Tage seit dem 1. Januar 1970, an denen das Passwort zum letzten Mal geändert wurde
- Minimum: Die Mindestanzahl von Tagen, die zwischen Kennwortänderungen vergehen müssen, d. h. die Anzahl der verbleibenden Tage, bevor der Benutzer sein Kennwort ändern darf.
- Maximum: Die maximale Anzahl von Tagen, für die das Passwort gültig ist (danach muss der Benutzer sein Passwort ändern).
- Warnen: Die Anzahl der Tage vor Ablauf des Passworts, in denen der Benutzer gewarnt wird, dass sein Passwort geändert werden muss.
- Inaktiv: Die Anzahl der Tage nach Ablauf des Passworts, in denen das Konto deaktiviert wird
- Ablauf: Tage seit dem 1. Januar 1970, in denen das Konto deaktiviert wurde, d. h. ein absolutes Datum, das angibt, ab wann die Anmeldung nicht mehr verwendet werden kann.
(Zitat von hier) Sie können ein ! (Ausrufezeichen) hinzufügen, das nicht von Hash-Funktionen im Passwortabschnitt in der Zeile von root generiert wird /etc/shadow, wodurch die Anmeldung mit allen möglichen Passwörtern verhindert wird. Nachdem Sie nun die Passwort-Anmeldemethode für root deaktiviert haben, kann sich niemand mehr von irgendwoher als root anmelden.mit einem Passwort(Es können jedoch auch andere Anmeldemöglichkeiten vorhanden sein)
Eine sicherere Möglichkeit hierfür ist das usermodDienstprogramm: sudo usermod -L root. Dadurch wird verhindert, dass Sie etwas durcheinanderbringen. Detaillierte usermodInformationen zur Verwendung finden Sie unter usermod(8).
Wenn Sie sich als Root anmelden möchten, entfernen Sie das ! und alles ist gut.
Antwort3
usermod -LDie vorherige Antwort hat zwar meine Anmerkungen zum Blockieren von Root mit „oder“ passwd -lund zum effektiven Festlegen des Kennwortfelds auf „!“ aufgegriffen , erklärt Ihr Dilemma jedoch nicht.
Ich habe darüber nachgedacht, warum im Buch steht, dass das Löschen mit passwd -dden Zugriff verhindert. Wenn Sie das Passwort auf ein Leerzeichen setzen, verhindern Sie mit -d, dass alle Nicht-Root-Benutzer auf das Root-Konto zugreifen können.aus der Ferne, weil Nicht-Root-Benutzer nicht zu anderen Konten wechseln können, die kein Passwort haben. Da SSH heutzutage auch Root standardmäßig blockiert, wird das Root-Konto aus der Sicht von Remote- und Nicht-Root-Benutzern effektiv blockiert. (Beispielsweise ist dann sudo die einzige Möglichkeit, als Root zu arbeiten.)
Dennoch sollte im Buch erwähnt werden, dass sich jeder Benutzer in der lokalen Konsole ohne Passwort als Root anmelden kann. Obwohl heutzutage die meisten Konsolen in virtuellen Umgebungen für normale Benutzer unerreichbar sind, ist es immer sinnvoll, eine Möglichkeit zur Kontrolle des Root-Passworts zu haben.
Eine sinnvollere Richtlinie ist daher das Blockieren von Root mit usermod -Loder passwd -L, jedoch nicht, bevor eine sinnvolle Benutzerrichtlinie festgelegt und getestet wurde.
Eine Alternative besteht darin, ein sehr sicheres Root-Passwort einzurichten, das regelmäßig geändert wird und das niemand kennt (es nach dem Zufallsprinzip zu generieren makepasswdund es beispielsweise in einem Umschlag aufzubewahren) für Notfälle (beispielsweise Single-Boot oder wenn jemand versehentlich die Sudo-Konfiguration durcheinanderbringt). Dann kann das Root-Passwort tatsächlich nützlich sein. Auf diese Weise wird privilegiertes Arbeiten über Sudo erzwungen. Andernfalls besteht die Alternative bei gesperrtem Root darin, über eine CD oder einen Stift zu booten, entweder virtuell oder real.