Desative o login root no CentOS 7.2.1511

Não faz sentido restringir o login root no PC local, porque o usuário local sempre pode carregar o sistema no modo de usuário único com privilégios de root. Se você precisar bloquear o login root via ssh - isso pode ser feito em /etc/ssh/sshd_config adicionando PermitRootLogin no

A maneira mais fácil de impedir o login do root é corromper a string criptografada que representa a senha do root no formato /etc/shadow. As linhas normais /etc/shadowficam assim:

1. Nome de usuário: É o seu nome de login.
2. Senha: É sua senha criptografada. A senha deve ter no mínimo 6 a 8 caracteres, incluindo caracteres/dígitos especiais e muito mais.
3. Última alteração de senha (última alteração): dias desde 1º de janeiro de 1970 em que a senha foi alterada pela última vez
4. Mínimo: O número mínimo de dias necessários entre alterações de senha, ou seja, o número de dias restantes antes que o usuário possa alterar sua senha
5. Máximo: O número máximo de dias que a senha é válida (após o usuário ser forçado a alterar sua senha)
6. Avisar: O número de dias antes de a senha expirar em que o usuário é avisado de que sua senha deve ser alterada
7. Inativo: o número de dias após a expiração da senha em que a conta é desativada
8. Expira: dias desde 1º de janeiro de 1970 em que a conta foi desativada, ou seja, uma data absoluta especificando quando o login não poderá mais ser usado.

(Citado daqui) Você pode adicionar um ! (ponto de exclamação) que não será gerado a partir de funções hash na seção de senha na linha in do root /etc/shadow, o que impede o login usando todas as senhas possíveis. Agora que você eliminou o método de login com senha para root, ninguém pode fazer login do nada como rootusando uma senha. (Outras maneiras de fazer login podem existir)

Uma maneira mais segura de fazer isso é através do usermodutilitário: sudo usermod -L root Isso evita que você estrague tudo. Para usos detalhados usermod, consulte usermod(8).

Quando você quiser fazer login com root, remova-o! e tudo ficará bem.

Embora a resposta anterior tenha sido baseada em meus comentários sobre como bloquear o root usermod -Lou passwd -ldefinir efetivamente o campo de senha como!, eles não explicam sua situação.

Tenho pensado por que o livro diz que excluir passwd -dimpede o acesso. Ao definir a senha em branco, com -d, você impedirá que todos os usuários não root acessem a conta rootremotamente, porque usuários não root não podem migrar para outras contas que não tenham senha. Como o ssh hoje em dia também bloqueia o root por padrão, a conta root será efetivamente bloqueada da perspectiva de usuários remotos e não-root. (por exemplo, a única maneira de funcionar como root será sudo)

No entanto, o livro deve mencionar que qualquer usuário no console local pode fazer login como root sem senha. Embora hoje em dia a maioria dos consoles esteja fora do alcance dos usuários normais no console de ambientes virtuais, é sempre sensato ter uma forma de controlar a senha do root.

Uma política mais sensata é bloquear o root com usermod -Lou passwd -L, mas não antes de estabelecer uma política de usuário sensata e testá-la.

Uma alternativa é estabelecer uma senha de root muito segura que seja alterada regularmente e que ninguém saiba (gerando-a aleatoriamente makepasswde mantendo-a em um envelope, por exemplo) para casos de emergência (inicialização única, por exemplo, ou quando alguém bagunçar por engano o sudo configuração. Então, de fato, a senha do root pode ser útil. Dessa forma, o trabalho privilegiado via sudo será imposto. Caso contrário, com o root bloqueado, a alternativa é inicializar através de um CD ou caneta, seja virtual ou real.