Linux-da kök hasaby öçürmegiň 4 usuly
Kök hasaby Linux we beýleki Unix ýaly operasiýa ulgamlaryndaky iň soňky hasap. Bu hasap, doly okamak, ýazmak we ýerine ýetirmek rugsatlary bolan ulgamdaky ähli buýruklara we faýllara girip biler. Ulgamda islendik görnüşi ýerine ýetirmek üçin ulanylýar; programma üpjünçilik paketlerini gurmak/aýyrmak/täzelemek we ş.m.
Kök ulanyjynyň mutlak güýji barlygy sebäpli, ýerine ýetirýän islendik hereketi ulgamda möhümdir. Bu nukdaýnazardan, kök ulanyjynyň islendik ýalňyşlygy ulgamyň kadaly işlemegine uly täsir edip biler. Mundan başga-da, bu hasap nädogry ýa-da ýerliksiz ulanmak bilen tötänleýin, zyýanly ýa-da syýasaty oýlap tapmazlyk arkaly hyýanatçylykly ulanylyp bilner.
Şonuň üçin Linux serweriňizdäki kök ygtyýaryny öçürmek maslahat berilýär, ýerine sudo buýrugyny ulanyp kök ulanyjy artykmaçlyklaryny gazanmak, serwerde möhüm işleri ýerine ýetirmek üçin düzülen administratiw hasap döretmek maslahat berilýär.
Bu makalada Linux-da kök ulanyjy hasaby girişini öçürmegiň dört usulyny düşündireris.
Üns beriň: Kök hasabyna girmegi petiklemezden ozal, useradd buýrugyny ulanyp we bu ulanyjy hasabyna berk parol bermäge ukyply administratiw hasap döredendigiňize göz ýetiriň. Baýdak -m ulanyjynyň öý katalogyny döretmegi aňladýar we -c düşündiriş görkezmäge mümkinçilik berýär:
# useradd -m -c "Admin User" admin # passwd admin
Ondan soň, bu ulanyjyny usermod buýrugyny ulanyp, degişli ulgam dolandyryjylarynyň toparyna goşuň, bu ýerde -a wyklýuçatel ulanyjy hasaby goşmagy aňladýar we -G ulanyjy goşmak üçin bir topar kesgitleýär. (Linux paýlanyşyňyza baglylykda tigir ýa-da sudo):
# usermod -aG wheel admin #CentOS/RHEL # usermod -aG sudo admin #Debian/Ubuntu
Dolandyryş aýratynlyklary bolan ulanyjy döredeniňizden soň, kök girişini petiklemek üçin şol hasaby açyň.
# su admin
1. Ulanyjynyň gabygyny üýtgediň
Kök ulanyjy girişini öçürmegiň iň ýönekeý usuly, gabygyny /bin/bash ýa-da /bin/bash (ýa-da ulanyjynyň girmegine rugsat berýän başga gabyk) -dan
$ sudo vim /etc/passwd
Setiri üýtgediň:
root:x:0:0:root:/root:/bin/bash to root:x:0:0:root:/root:/sbin/nologin
Faýly ýazdyryň we ýapyň.
Mundan beýläk kök ulanyjy gireninde\Bu hasap häzirki wagtda elýeterli däl habaryny alar. Bu deslapky habar, ýöne, ony üýtgedip we /etc/nologin.txt faýlynda ýörite habar düzüp bilersiňiz.
Bu usul diňe ulanyjynyň girişi üçin gabyk talap edýän programmalar bilen täsirli, ýogsam sudo, ftp we e-poçta müşderileri kök hasaby açyp bilerler.
2. Konsol enjamy (TTY) arkaly kök girişini öçüriň
Ikinji usul, pam_securetty atly PAM modulyny ulanýar, bu ulanyjy diňe/etc/safetty sanawynda kesgitlenişi ýaly “ygtybarly” TTY-a giren ýagdaýynda kök girmäge mümkinçilik berýär.
Aboveokardaky faýl, kök ulanyjynyň haýsy TTY enjamlaryna girmäge rugsat berilendigini kesgitlemäge mümkinçilik berýär, bu faýly boşatmak kompýuter ulgamyna birikdirilen islendik enjamda kök girmeginiň öňüni alýar.
Boş faýl döretmek üçin işlediň.
$ sudo mv /etc/securetty /etc/securetty.orig $ sudo touch /etc/securetty $ sudo chmod 600 /etc/securetty
Bu usulyň käbir çäklendirmeleri bar, diňe giriş, displeý dolandyryjylary (ýagny gdm, kdm we xdm) we TTY açýan beýleki ulgam hyzmatlary ýaly programmalara täsir edýär. Su, sudo, ssh we beýleki açyk gurallar ýaly programmalar kök hasaby açyp bilerler.
3. SSH kök girişini öçüriň
Uzakdaky serwerlere ýa-da VPS-lere girmegiň iň giň ýaýran usuly SSH-den we kök ulanyjynyň girişini blokirlemek üçin/etc/ssh/sshd_config faýlyny redaktirlemeli.
$ sudo vim /etc/ssh/sshd_config
Soňra “PermitRootLogin” direktiwasyny açmak we skrinshotda görkezilişi ýaly ýok bahasyny bellemek.
Doneerine ýetirilenden soň faýly ýazdyryň we ýapyň. Soňra konfigurasiýalarda soňky üýtgeşmäni ulanmak üçin sshd hyzmatyny täzeden açyň.
$ sudo systemctl restart sshd OR $ sudo service sshd restart
Öňden bilşiňiz ýaly, bu usul diňe openssh gurallar toplumyna täsir edýär, ssh, scp, sftp ýaly programmalaryň kök hasabyna girmeginiň öňüni alar.
4. Kök Acess-i PAM arkaly hyzmatlar bilen çäklendiriň
Plugable autentifikasiýa modullary (gysgaça PAM) Linux ulgamlarynda merkezleşdirilen, dakylýan, modully we çeýe tanamak usulydyr. PAM, /lib/security/pam_listfile.so modulynyň üsti bilen, belli hasaplaryň artykmaçlyklaryny çäklendirmekde uly çeýeligi üpjün edýär.
Aboveokardaky modul, giriş, ssh we islendik PAM habarly programmalar ýaly käbir maksatly hyzmatlaryň üsti bilen girmäge rugsat berilmeýän ulanyjylaryň sanawyna salgylanmak üçin ulanylyp bilner.
Bu ýagdaýda, giriş we sshd hyzmatlaryna girişi çäklendirip, kök ulanyjynyň ulgama girmegini öçürmek isleýäris. Ilki bilen görkezilişi ýaly /etc/pam.d/ katalogynda maksatly hyzmat üçin faýly açyň we redaktirläň.
$ sudo vim /etc/pam.d/login OR sudo vim /etc/pam.d/sshd
Ondan soň, iki faýlda aşakdaky konfigurasiýany goşuň.
auth required pam_listfile.so \
onerr=succeed item=user sense=deny file=/etc/ssh/deniedusers
Gutaranyňyzdan soň, her faýly ýazdyryň we ýapyň. Soňra bir setirde bir element bolmaly we dünýäde okalmaýan ýönekeý faýl/etc/ssh/inkär edijiler dörediň.
Oňa at köküni goşuň, soňra saklaň we ýapyň.
$ sudo vim /etc/ssh/deniedusers
Şeýle hem zerur rugsatlary belläň.
$ sudo chmod 600 /etc/ssh/deniedusers
Bu usul diňe PAM-dan habarly programmalara we hyzmatlara täsir edýär. Ftp we e-poçta müşderileri we başgalar arkaly ulgama kök girmegini blokirläp bilersiňiz.
Has giňişleýin maglumat üçin degişli adam sahypalaryna ýüz tutuň.
$ man pam_securetty $ man sshd_config $ man pam
Bu hemmesi! Bu makalada Linux-da kök ulanyjy girişini (ýa-da hasaby) öçürmegiň dört usulyny düşündirdik. Teswirleriňiz, teklipleriňiz ýa-da soraglaryňyz barmy, aşakdaky seslenme formasy arkaly bize ýüz tutup bilersiňiz.