Можда се чини контраинтуитивно, али онемогућавање приступа root налогу на Линук системима заправо представља значајну сигурносну меру. Све је више програмера Линук оперативних система који се слажу са овом праксом и препоручују њено спровођење.
Систем без директног приступа root кориснику није потпуно отпоран на нападе, али су шансе да нападач продре у систем и нанесе озбиљну штету знатно смањене. Разлог лежи у чињеници да, чак и са sudo приступом, одређене системске области остају недоступне за измене када је root налог онемогућен.
Предуслови за онемогућавање root налога
Пре него што се упустите у онемогућавање root налога, потребно је да обратите пажњу на неколико битних ствари. Први корак је осигурати да сви корисници који имају могућност извршавања команди путем sudo имају јаке, сигурне лозинке. Слабе лозинке корисника могу поништити све напоре за заштиту root налога, што је крајње непожељно.
Најједноставнији начин да заштитите кориснички налог је да промените лозинку. Отворите терминал и унесите команду passwd, заједно са корисничким именом. Систем ће од вас затражити да унесете нову лозинку.
sudo passwd username
Када се појави упит „унесите нову УНИКС лозинку“, унесите јаку, сложену лозинку коју је тешко погодити, избегавајући речи из речника. Такође, избегавајте поновно коришћење старих лозинки.
Ако вам је тешко да смислите јаку лозинку, можете искористити генератор безбедних лозинки. Овај алат специјализован је за креирање јаких и поузданих лозинки бесплатно.
Сада када корисници са sudo приступом имају сигурне лозинке, време је да прегледате sudoers датотеку. Погледајте наш детаљни водич о томе како да онемогућите sudo приступ за све налоге за које сматрате да не заслужују да извршавају команде на највишем нивоу.
Процес онемогућавања root налога
За онемогућавање root налога потребан је приступ суперкорисника. Међутим, добра вест је да за онемогућавање и шифровање лозинке не морате се нужно пријављивати као root корисник. Довољно је да било који корисник са sudo приступом изврши потребне операције. Да бисте добили root терминал без директне пријаве, унесите следећу команду у прозор терминала:
sudo -s
Команда sudo -s омогућава корисницима са одговарајућим привилегијама да приступе root окружењу и извршавају системске команде, баш као што би то учинио root корисник.
У терминалу, употребите команду passwd да бисте онемогућили налог тако да се ниједан корисник на систему не може пријавити на њега.
passwd -l root
Закључавање налога је поуздан начин да се заштити root налог. Међутим, то није једини приступ. Ако сматрате да закључавање није довољно, прави начин је шифровање лозинке и њено постављање на неупотребљиву вредност. Да бисте шифровали root налог, унесите следећу команду у терминал:
usermod -p '!' root
Шифровање лозинке је тренутно. Чим се команда usermod заврши, root лозинка постаје недоступна.
Када сте завршили са закључавањем root налога, напустите суперкорисничку љуску командом exit да бисте завршили процес.
Поновно омогућавање root приступа
Иако је онемогућавање root налога добра безбедносна пракса, приступ root окружењу има своје предности, пре свега могућност да модификујете Линук систем у потпуности. Ако сте одлучили да поново омогућите root налог на Линук рачунару, процес је једноставан за поништавање.
У терминалу покрените команду sudo -s, као и претходни пут. Ово ће дати терминалу приступ суперкориснику и омогућити дешифровање лозинке.
Користећи команду passwd, откључајте root налог.
passwd root
Покретање команде passwd root захтева ресетовање лозинке. Поставите нову лозинку за root налог која је сигурна и тешко је погодити. Након постављања лозинке, одјавите се са терминала командом exit.
Препоручене праксе за root налог
Онемогућавање root налога (или барем обезбеђивање лозинке) представља добар почетак, али не и довољан корак у погледу безбедности. Ако желите ефикасно заштитити свој Линук систем, придржавајте се следећих основних мера:
Потрудите се да root лозинка има бар 14 знакова. Што је лозинка дужа, то је теже погодити је.
Никада немојте користити исту лозинку за кориснички и root налог.
Мењајте лозинке на сваком налогу, укључујући и root, сваког месеца.
Увек користите бројеве, велика и мала слова и симболе у лозинкама.
Креирајте посебне администраторске налоге са sudo привилегијама за кориснике који треба да извршавају команде суперкорисника, уместо да им дајете системску лозинку.
Чувајте ССХ кључеве поверљивим и дозволите само поузданим корисницима да се пријаве као root преко ССХ-а.
Активирајте двофакторску аутентификацију приликом пријављивања да бисте спречили неовлашћено коришћење система.
Искористите пуни потенцијал заштитног зида на вашем Линук систему.