Некоторое время назад я дал root пароль, чтобы я мог войти в систему как root и выполнить некоторые действия. Теперь я хочу отключить root-вход для усиления безопасности, так как я собираюсь выставить свою подачу в Интернет. Я видел несколько способов сделать это ( sudo passwd -l rootвозиться /etc/shadowи т. Д.), Но нигде это не говорит о том, какой самый лучший / самый разумный способ сделать это. Я сделал, sudo passwd -l rootно я видел совет, который говорит, что это может повлиять на сценарии инициализации, и что он не настолько безопасен, как кажется, так как он все еще запрашивает пароль, если вы пытаетесь войти, вместо того, чтобы отказываться от отказа в доступе. Так каков был бы способ достичь этого?

РЕДАКТИРОВАТЬ: чтобы уточнить, это для локального входа в систему как root; Я уже отключил удаленный вход через SSH. Хотя попытка войти в систему как root через SSH все равно запрашивает пароль root (который всегда терпит неудачу). Это плохо?

Это спорный вопрос, мне, что отключение корня стоит потенциальных проблем. Я никогда не проверял сервер, настроенный таким образом. Я предпочитаю разрешить только локальный root-доступ. Если у злоумышленника есть физический доступ к вашему серверу, вы все равно можете забыть обо всем, что вы сделали, чтобы «обезопасить» вашу установку.

Отключите root- sshдоступ, отредактировав /etc/ssh/sshd_config:

PermitRootLogin no

Теребя /etc/shadow, chsh -s /bin/false rootвсе может быть отменено с помощью простого загрузочного CD / флэшки.

Обновление за ваш комментарий:

Из help.ubuntu.com : «По умолчанию пароль учетной записи root заблокирован в Ubuntu ». Пожалуйста, ознакомьтесь с разделом «Повторное отключение вашей учетной записи root». Чтобы сбросить состояние учетной записи root, для установки по умолчанию используйте следующую команду:

sudo usermod -p '!' root

Я полагаю, вы ссылаетесь на удаленный вход через SSH. Добавьте следующую строку в /etc/ssh/sshd_config:

PermitRootLogin no

и перезапустите службу SSH

sudo service ssh restart

Это должно сработать, и вы можете сохранить свою корневую учетную запись как есть (или попытаться отключить ее в любом случае, если считаете, что это необходимо).

На главный вопрос ответили несколько раз, а на вторичный - нет. SSH запрашивает пароль после ввода root после его отключения в качестве функции безопасности. Это также сработает, если вы попытаетесь войти в систему как lkjfiejlksji.

Это сделано для того, чтобы кто-то не смог протестировать кучу имен пользователей, чтобы попытаться выяснить, какие из них действительны в вашей системе. Однако с точки зрения безопасности, если вы отключили root через SSH, я бы также настроил программу обнаружения bruteforce (например, fail2ban) и настроил ее так, чтобы, если кто-то даже попытается войти в систему как root, он заблокирует их от пробовать любые дополнительные атаки.

Замена зашифрованного пароля на * в / etc / shadow (второе поле после первого ':') - лучший способ, ИМХО. Кроме того, деактивируйте root-вход для ssh (таким образом, просто невозможно войти через ssh от имени root) и, возможно, ограничить ssh для входа в систему сертификатов, что намного более безопасно, чем вход на основе пароля.

В большинстве случаев SSH должен быть единственной службой, доступной извне, которая потенциально позволяет входить в систему root, поэтому эта дверь будет заблокирована.

Чтобы еще больше ограничить это, вы можете установить что-то вроде fail2ban, который блокирует IP-адреса в течение определенного периода времени после нескольких неудачных попыток входа в систему.

JR et al,

Ваши AllowUsers привели меня к этому https://help.ubuntu.com/community/SSH/OpenSSH/Configuring

sudo vi / etc / ssh / sshd_config

PermitRootLogin да (изменено на нет)

(добавить строку внизу файла) DenyUsers user1 user2

сохранить и выйти, а затем

sudo service ssh restart

Решил мою проблему. Спасибо всем.

Если вы хотите отключить локальный root-доступ, попробуйте изменить / etc / passwd и заменить / bin / bash на / bin / false. ОДНАКО, так как я не проверял это, я бы сказал, оставьте корневой сеанс открытым на стороне, протестируйте его, и, если есть какие-то странные побочные эффекты, измените его обратно.

Re: Безопасность.

ИМХО, есть только так много, что вы можете сделать, с точки зрения безопасности, если не отсоединять коробку, не отсоединять ее от сети и не сваривать ее в 3-дюймовом толстопробиваемом корпусе из твердосплавной стали.

Подумайте об этом так - если люди могут взломать Министерство обороны, ЦРУ, ФБР и Ситибанк - остальные из нас, простых смертных, не смогут добиться большего успеха.

Re: SSH безопасность.

Я не только запрещаю root-доступ через ssh, я также устанавливаю параметр «AllowUsers» для моего и только моего имени пользователя. Таким образом, никто, кроме моего собственного пользователя, не может войти через ssh. Это может быть избыточно, так как в моем случае я все равно создаю только ОДНОГО пользователя без полномочий root.

К сожалению, как уже много раз говорили другие, как только кто-то получит физический доступ к коробке, все ставки отключены!

Обмен сертификатов для входа по ssh? Хммм. , , , звучит хорошо. Как ты это делаешь?

Джим (младший)