Cili është përdoruesi root në Linux dhe si ta përdorni atë në mënyrë të sigurt?

Nëse keni përdorur Linux për një kohë të shkurtër, herët a vonë do të keni hasur të famshmin përdoruesi root, superpërdoruesi që mund të bëjë dhe të anulojë gjëra në sistem praktikisht pa kufizimeËshtë ajo llogari misterioze që shfaqet në tutoriale, ajo që ju lejon të instaloni paketa, të ndryshoni cilësime delikate ose të rregulloni një sistem që nuk niset... por që gjithashtu mund ta shkatërrojë makinën tuaj me një komandë të vetme të shkruar gabim.

Në shumicën e shpërndarjeve moderne, veçanërisht Ubuntu dhe derivatet e tij, nuk është më e zakonshme të identifikohesh direkt si root. Në vend të kësaj, metoda e preferuar është të përdorësh një përdorues tjetër. Përdorni komanda si sudo dhe su për të fituar privilegje administratori vetëm kur është e nevojshmeKjo zvogëlon rreziqet dhe lë një gjurmë në regjistrat e sistemit. Megjithatë, një kuptim i mirë i asaj që është root, si ndryshon nga sudo dhe su, kur t'i përdorni ato, si ta çaktivizoni llogarinë dhe si ta rikuperoni fjalëkalimin është thelbësor nëse doni të lundroni në Linux me lehtësi.

Cili është përdoruesi root në Linux dhe pse është kaq i veçantë?

Në çdo sistem të ngjashëm me Unix (Linux, BSD, macOS, etj.) ekziston një superpërdorues i vetëm me një rol shumë të qartë: root është llogaria me UID 0 dhe autoritet absolut mbi të gjitha skedarët, proceset dhe burimet e sistemit.Nuk ka kufizime konvencionale për lejet; nëse root dëshiron të lexojë, modifikojë ose fshijë diçka, do ta bëjë.

Nga kjo llogari mundeni Instaloni dhe çinstaloni programe, përditësoni sistemin, modifikoni skedarët e konfigurimit në /etc, menaxhoni shërbimet, krijoni dhe fshini përdorues, formatoni disqet ose ndryshoni lejet kritike.Është ekuivalenti i përdoruesit "Administrator" të Windows, por me edhe më shumë aftësi për të aksesuar funksionimin e brendshëm të sistemit pa kufizime.

Për këtë arsye, shumë shpërndarje si Ubuntu zgjedhin Mos lejoni hyrje direkte në root pas instalimitNë vend të kësaj, krijohet një llogari normale (që i përket grupit të administratorëve) dhe sudo përdoret për të kryer detyra specifike administrative, duke zvogëluar ekspozimin ndaj rrezikut.

Në shpërndarje të tjera, siç është Debian në konfigurimin e tij klasik, është e zakonshme të përcaktohet një fjalëkalim për root gjatë instalimit, në mënyrë që Superpërdoruesi mund të përdoret direkt në tastierë ose për disa detyra shumë specifike.megjithëse vetë sistemi inkurajon përdorimin e sudo-s.

Përveç përdoruesve root dhe "njerëzorë", Linux përdor edhe përdoruesit e sistemit të tipit të shërbimit (daemon), me leje shumë të kufizuaraKëta përdorues të veçantë ekzekutojnë procese të tilla si servera web, baza të dhënash ose daemonë të sistemit, në mënyrë që një e metë sigurie në një shërbim të mos japë automatikisht kontroll absolut të sistemit, siç do të ndodhte nëse gjithçka do të ekzekutohej nën të drejtat e root-it.

Llojet e përdoruesve në Linux dhe si të zbuloni se kush jeni

Edhe pse në terma praktikë mund të duket se ka shumë lloje llogarish, në nivelin e lejeve ndarja është shumë e qartë: rrënjë në njërën anë dhe "pjesa tjetër" në anën tjetërÇdo përdorues që nuk ka UID 0 është, teknikisht, një përdorues jo i privilegjuar, megjithëse mund të ketë disa leje shtesë falë sudo-s.

Llogaritë e zakonshme të punës janë përdorues normalë me leje të kufizuara në sistemin e skedarëveAta mund të menaxhojnë skedarët e tyre personalë, të ekzekutojnë aplikacione, të përdorin rrjetin dhe, nëse janë në grupin e duhur, të përdorin sudo për të fituar privilegje shtesë për detyra specifike.

Superpërdoruesi rrënjë është llogaria e administrimit globalNuk është menduar për përdorim të përditshëm, por për mirëmbajtje, konfigurim të avancuar ose operacione rikuperimi. Prandaj, shumë shpërndarje e bëjnë aksesin e drejtpërdrejtë në këtë llogari pak më të komplikuar, për të shmangur surprizat për përdoruesit fillestarë dhe për të kufizuar ndikimin e gabimeve njerëzore.

Nëse keni ndonjë dyshim se si përdorues po punoni në një terminal, mund të shikoni Shell prompt: kur mbaron me $, ju po përdorni një llogari normale, dhe kur mbaron me #, ju jeni nën root.Gjithashtu mund të ekzekutoni komandën Kush jam unë ose kontrolloni identifikuesin numerik me id -uNëse merrni "root" ose "0", jeni në modalitetin superuser.

Për më tepër, njoftimi zakonisht tregon emri i përdoruesit, emri i kompjuterit, direktoria aktuale dhe simboli $ ose #Për shembull, diçka si alumno@equipo:/home/alumno$ tregon një përdorues normal, ndërsa root@equipo:/root# Ai pasqyron një seancë administrimi të drejtpërdrejtë.

root, sudo dhe su: çfarë bën secila prej tyre dhe kur t'i përdorim ato

Në përdorimin e përditshëm, zakonisht nuk e shkruajmë fjalëkalimin root gjatë gjithë kohës. Në vend të kësaj, shumica e shpërndarjeve moderne zgjedhin ngritni përkohësisht privilegjet nga një llogari normale duke përdorur mjete si sudo dhe suEdhe pse ndonjëherë përdoren në mënyrë të ndërsjellë në biseda, ato përmbushin role të ndryshme dhe është e rëndësishme t'i dallojmë qartë.

Komanda sudo (bën superpërdoruesi) lejon një përdorues të autorizuar të ekzekutojë një komandë specifike me lejet e një përdoruesi tjetër, zakonisht rootDuke vepruar kështu, ai regjistron se çfarë është ekzekutuar, kush e ka nisur dhe kur, duke lënë një regjistrim në regjistrat e sigurisë së sistemit.

Nga ana e saj, përdoruesi juaj (zëvendësues) Është projektuar për ndryshoni identitetin e përdoruesit brenda të njëjtës seancë terminaliNëse e aktivizoni pa parametra, zakonisht do të përpiqet të kalojë te rrënja (duke kërkuar fjalëkalimin). Nëse jepni një emër përdoruesi, do të kaloni te ajo llogari, me lejet dhe mjedisin e saj.

Si funksionon sudo dhe pse është kaq e rëndësishme

Në sisteme si Ubuntu, që i përkasin grupit sudo (ose “admin” në versionet më të vjetra) do të thotë që kjo llogari mund të ekzekutoni komandat si root duke futur fjalëkalimin tuaj të përdoruesitpa pasur nevojë të dish fjalëkalimin e superpërdoruesit. Rregullat që kontrollojnë atë që mund të bëjë secili person janë të përcaktuara në skedar. / etj / sudoers, i cili modifikohet në mënyrë të sigurt me komandën vizë.

Për ta përdorur, thjesht vendosni fjalën përpara saj. sudo para komandës që kërkon privilegje të lartaPër shembull, instalimi i paketave zakonisht bëhet si më poshtë:

sudo apt install vlc

Në këtë rast, apt ekzekutohet si root, shkruan në drejtoritë e sistemit si /usr ose /var dhe regjistron ndryshimet në bazën e të dhënave të paketave, edhe pse jeni ende i kyçur me përdoruesin tuaj të zakonshëm. Pasi të përfundojë porosia, automatikisht do të ktheheni në lejet tuaja normale..

Për më tepër, sudo zbaton një komandë të vogël "kohë hiri"Pasi të futni fjalëkalimin tuaj, mund ta ekzekutoni përsëri `sudo`-n për disa minuta pa ju kërkuar. Kjo përshpejton administrimin, por gjithashtu paraqet një dobësi të vogël nëse dikush hyn në kompjuterin tuaj gjatë asaj kohe. Nëse doni ta shtrëngoni këtë politikë, mund ta vendosni periudhën e hirit në zero duke modifikuar `sudoers`-in me:

Defaults:ALL timestamp_timeout=0

Kështu, Sa herë që përdorni sudo, do t'ju duhet të autentifikoheni përsëri., disi më e lodhshme, por më e sigurt në mjedise të ndjeshme ose me shumë përdorues.

Komanda `su` dhe kalimi i plotë në një llogari tjetër

Komanda "su", nga ana tjetër, Nuk ekzekuton asnjë komandë të vetme, por hap një shell të ri nën identitetin e një përdoruesi tjetër.Nëse thirret "pa forcë":

su

Sistemi supozon se doni të kaloni në root, dhe për këtë arsye Do t'ju kërkojë fjalëkalimin e superpërdoruesit.Nëse hyrja është e suksesshme, simboli i njoftimit do të ndryshojë në #, dhe që nga ai moment, çdo komandë që ekzekutoni do të kryhet me të drejta root derisa të dilni. dalje.

Gjithashtu mund të specifikoni një përdorues specifik:

su nombreusuario

Kjo është shumë e dobishme kur menaxhoni shërbime që funksionojnë me llogaritë e tyre (p.sh., postgres, www-data, etj.) dhe ju duhet të veproni si ato pa mbyllur seancën tuaj kryesorePërsëri, kur të keni mbaruar, përdorimi i exit ju kthen te përdoruesi i mëparshëm.

Në sistemet ku root është i bllokuar ose nuk ka fjalëkalim (si shumë instalime të Ubuntu), nuk do të jeni në gjendje të kaloni direkt në atë llogari me `su`. Në këto raste, qasja e zakonshme është djersë zinxhiri dhe e tij, për shembull:

sudo su o sudo -i

Me këto komanda, ju futni fjalëkalimin e përdoruesit (jo fjalëkalimin root) dhe merrni një shell administrativ me një mjedis të ngjashëm me një hyrje direkte root. Kjo është shumë e përshtatshme nëse do të kryeni disa veprime radhazi, por edhe më e rrezikshme, kështu që këshillohet të dilni nga seanca root sapo të keni mbaruar.

Kur ka kuptim të përdoret root, sudo ose su?

Teoria është në rregull, por në jetën e përditshme ajo që ka rëndësi është cilin mjet të përdoret në secilën situatë specifike për të punuar shpejt pa rrezikuar sisteminSi rregull i përgjithshëm, sa herë që është e mundur, përdorni sudo për komanda specifike dhe shmangni shell-et rrënjësore të vazhdueshme; nëse doni të thelloheni më shumë në Kur dhe pse duhet të shmangni djersitjen, shikoni atë udhëzues.

Për shembull, për instaloni ose përditësoni softuerin Në shpërndarjet e bazuara në Debian ose Ubuntu, praktika e zakonshme është:

sudo apt update
sudo apt upgrade
sudo apt install gparted

Në këto skenarë, hyrja përgjithmonë si root nuk shton shumë. Fiton njëfarë komoditeti, por shumëfishon rreziqet e fshirjes ose modifikimit të diçkaje që nuk duhet..

Do të përdorni gjithashtu sudo kur modifikoni skedarët e konfigurimit të sistemit, për shembull:

sudo nano /etc/hosts
sudo nano /etc/ssh/sshd_config

Në këtë mënyrë, vetëm redaktori funksionon me leje superpërdoruesi, dhe kur e mbyllni, ktheheni në nivelin tuaj normal të privilegjeve.

Në të kundërt, `su` (ose `sudo -i`) mund të jetë i dobishëm kur Do të lidhësh së bashku shumë operacione administrative Shtimi i `sudo` para çdo komande do të ishte i bezdisshëm. Për shembull, kur kryeni detyra komplekse mirëmbajtjeje, menaxhoni llogari të shumëfishta, punoni me ndarje, etj. Megjithatë, është praktikë e mirë të kufizoni kohën që kaloni në atë modalitet dhe të dilni sapo të keni mbaruar.

Një detaj shumë praktik operativ është se, nëse nuk jeni i sigurt nëse jeni root apo jo, mund të ekzekutoni Kush jam unë o id -uNëse merrni "root" ose "0", është koha të jeni jashtëzakonisht të kujdesshëm para se të shkruani diçka shkatërruese.

Shfaq yje kur shkruan fjalëkalimin me sudo

Si parazgjedhje, shumë shpërndarje (përfshirë Ubuntu) Ato nuk shfaqin asnjë karakter kur shkruani fjalëkalimin në tastierë.Pa pika ose yje. Kjo bëhet për të shmangur zbulimin e gjatësisë së çelësit, megjithëse në praktikë shumë përdorues e kanë të papërshtatshëm sepse nuk kanë konfirmim vizual se po shkruajnë.

Për ca kohë tani, sudo ka ofruar një opsion të quajtur pwfeedback Kjo lejon që yjet të shfaqen në ekran kur futet fjalëkalimi. Disa versione të fundit të Ubuntu kanë filluar ta aktivizojnë këtë, por ju mund ta aktivizoni vetë në çdo sistem duke modifikuar konfigurimin e sudo-s:

1. Hapni redaktuesin e konfigurimit të sigurt me:

sudo visudo

2. Brenda skedarit që hapet (zakonisht /etc/sudoers), shtoni një rresht si ky:

Defaults pwfeedback

3. Ruaj dhe mbyll. Që nga ai moment, Çdo karakter që shkruani kur futni fjalëkalimin sudo do të përfaqësohet nga një yll.Nëse më vonë preferoni të ktheheni në sjelljen klasike (pa jehonë vizuale), thjesht hiqeni atë rresht dhe ruajeni skedarin përsëri me Visudo.

Ky personalizim nuk ndikon në sigurinë kriptografike të sudo-s, por po. Mund të përmirësojë përdorshmërinë për ata që preferojnë të kenë konfirmim vizual të asaj që shkruajnë.veçanërisht në tastierat pa ndriçim nga prapa ose kur shkruani nga terminalet e largëta.

Rreziqet reale të përdorimit të pakujdesshëm të root-it

Llogaria root është po aq e fuqishme sa është edhe e rrezikshme. Linux është projektuar me shtresa mbrojtjeje për ta bërë të vështirë për një përdorues normal që aksidentalisht ta prishë sistemin, por Kur rritni privilegjet, ato barriera zhduken dhe çdo mbikëqyrje mund të shndërrohet në një katastrofë..

Një rrezik i parë serioz është fshirje aksidentale e skedarëve ose drejtorive thelbësoreKomandat si rm -rf / o rm -rf /* Ato janë të famshme pikërisht sepse, nëse ekzekutohen si root, mund të fshijnë praktikisht të gjithë përmbajtjen e sistemit të skedarëve brenda sekondash. Por nuk është e nevojshme të shkohet në atë ekstrem: thjesht shkruani gabim shtegun ose lini një variabël bosh, për shembull:

rm -rf $directorio/*

Nëse `$directory` nuk është përcaktuar siç e prisnit, komanda mund të tregojë një vendndodhje krejtësisht të ndryshme nga ajo që keni menduar. Si root, sistemi nuk do t'ju shkaktojë shumë probleme dhe, pasi të përfundojë komanda, Rimëkëmbja është zakonisht shumë e vështirë ose thjesht e pamundur. pa kopje rezervë ose mjete forenzike.

Një rrezik tjetër i rëndësishëm është ekzekutimi i softuerëve ose skripteve dashakeqe me privilegje të plotaShkarkimi i një instaluesi nga një faqe interneti e panjohur dhe ekzekutimi i tij me sudo ose nga një shell root i jep atij kodi kontroll absolut: ai mund të instalojë rootkit-e, backdoor-e, keylogger-a, të modifikojë kernel-in ose të fshihet thellë brenda sistemit. Shpesh, në kohën kur zbulohet problemi, sulmuesi ka qenë brenda tij për ca kohë.

Gjithashtu duhet të keni kujdes kur modifikoni lejet kritike të skedarëve me chmod ose chownNjë porosi si chmod 000 /etc Manipulimi i gabuar i /boot, ngarkuesit të nisjes GRUB ose /etc/passwd mund ta bëjë sistemin të paaftë për t'u nisur. Në raste të tilla, edhe nisja nga një LiveCD nuk garanton një riparim të thjeshtë; në mjediset e prodhimit, mund të kërkohen shërbime profesionale rikuperimi.

Së fundmi, nga një perspektivë auditimi, hyrja direkt si root eliminon shumë gjurmueshmëri. Kur përdorni sudo, çdo komandë regjistrohet së bashku me përdoruesin që e ekzekutoi atë.Nëse gjithçka bëhet si root pa përdorur sudo, regjistrat do të tregojnë vetëm se "root bëri diçka", por jo se kush ishte pas tastierës, gjë që ndërlikon hetimet dhe pajtueshmërinë me rregulloret e sigurisë.

Aktivizo, çaktivizo dhe blloko llogarinë rrënjë

Në varësi të shpërndarjes suaj, llogaria rrënjë mund të jetë Aktivizohet me fjalëkalim, i kyçur ose thjesht pa një çelës të caktuarNë sistemet e ngjashme me Ubuntu, root zakonisht çaktivizohet për hyrje të drejtpërdrejtë, ndërsa në shpërndarjet e tjera përcaktohet një fjalëkalim gjatë instalimit.

Nëse llogaria root është e bllokuar në makinën tuaj, mund ta aktivizoni atë nga një përdorues me privilegje sudo duke ekzekutuar:

sudo passwd root

Sistemi së pari do t'ju kërkojë fjalëkalimin e përdoruesit dhe më pas do t'ju kërkojë të futni dhe konfirmoni fjalëkalimin e ri root. Që nga ai moment e tutje, Llogaria do të aktivizohet dhe ju do të jeni në gjendje të identifikoheni si superpërdorues në terminalet virtuale ose, në disa raste, edhe në ndërfaqen grafike.Edhe pse kjo e fundit është shumë e padëshirueshme.

Nëse vendosni që nuk dëshironi që qasja root të jetë më e disponueshme, mund ta ribllokoni llogarinë me:

sudo passwd -l root

Parametri -l bllokon aksesin duke shoqëruar një fjalëkalim të pavlefshëm, në mënyrë që Nuk mund të identifikohesh si root, as me `su` dhe as në ekranin e identifikimit.Megjithatë, përdoruesit e autorizuar do të jenë ende në gjendje të përdorin sudo për të administruar sistemin, kështu që nuk do të mbeteni pa mënyra për të kryer detyra mirëmbajtjeje.

Disa shpërndarje ofrojnë gjithashtu mundësinë për të çaktivizuar dhe riaktivizuar root-in me kombinime të tilla si sudo passwd -dl root o sudo passwd -u root për ta zhbllokuar. Sidoqoftë, Rekomandimi i përgjithshëm është që të mbani root të kyçur dhe të punoni gjithmonë me sudo përveç rasteve shumë specifike., siç janë mjediset e shpëtimit ose rikuperimit për sisteme të dëmtuara rëndë.

Rikuperoni ose ndryshoni fjalëkalimin rrënjësor

Mund të ndodhë që nëse e keni humbur fjalëkalimin tuaj root, e keni çaktivizuar atë, apo thjesht duhet ta ripërcaktoni atë në një server, konfigurimi origjinal i të cilit tani është harruar. Linux ofron disa mënyra për ta bërë këtë, varësisht nëse sistemi niset ose nëse duhet të përdorni një pajisje të jashtme.

Nëse makina juaj ende arrin te menaxheri i nisjes GRUB, një mundësi shumë e zakonshme është të përfitoni nga modaliteti i rikuperimitDuke zgjedhur këtë variant në menynë e avancuar, sistemi hap një mjedis të reduktuar dhe ju ofron një mundësi për të marrë një konsolë me privilegje superpërdoruesi.

Pasi të jesh brenda asaj guaskë, gjëja e parë që duhet të bësh është Rimonto sistemin e skedarëve me leje shkrimimeqenëse shpesh është në modalitetin vetëm për lexim:

mount -o rw,remount /

Pastaj, mund të ekzekutoni komandën standarde për të vendosur një fjalëkalim të ri:

passwd root

Futni çelësin e ri dy herë dhe për t'u siguruar që ndryshimet janë shkruar në disk, përdorni:

sync
reboot

Kur rindizni, Llogaria root do të ketë fjalëkalimin që sapo keni vendosur.kështu që mund ta përdorni kur është e nevojshme (idealisht, me kursim dhe me kujdes).

Nëse sistemi nuk fillon fare, mund të përdorni një LiveCD ose LiveUSB nga një shpërndarje LinuxPër shembull, Ubuntu. Niseni nga ai medium, zgjidhni opsionin "Provo" pa e instaluar dhe hapni një terminal. Zakonisht, së pari bëheni root në mjedisin live me:

sudo su

Tjetra, duhet të gjesh ndarjen ku është instaluar sistemi që do të riparohet, duke përdorur diçka si:

fdisk -l

Pasi të identifikoni pajisjen e saktë (për shembull, /dev/sda1), montoni atë në një dosje pune:

mkdir /mnt/recover
mount /dev/sda1 /mnt/recover

Hapi tjetër përbëhet nga "ndrysho rrënjën" e mjedisit në ndarjen e montuarnë mënyrë që passwd të veprojë në sistemin e instaluar dhe jo në mjedisin live:

chroot /mnt/recover

Nga aty mund të vraponi:

passwd root

për të vendosur një fjalëkalim të ri. Pas daljes nga chroot dhe rinisjes, Sistemi origjinal do të fillojë me kredencialet e përditësuara të superpërdoruesit.Është një manovër shumë e fuqishme për shpëtimin e makinave të bllokuara, por gjithashtu thekson pse është jetike të mbrohet aksesi fizik dhe nisja nga mediat e jashtme në serverat kritikë.

Qasja rrënjësore në Ubuntu dhe politikat e sigurisë

Ubuntu dhe shumë prej derivateve të tij (Xubuntu, Kubuntu, Linux Mint, etj.) e kanë ndërtuar modelin e tyre të sigurisë mbi një ide shumë të qartë: root ekziston, por pothuajse gjithmonë përdoret indirekt përmes sudo-sKjo ka disa përparësi praktike dhe sigurie.

Në një instalim standard, Nuk është përcaktuar asnjë fjalëkalim për rootKjo i pengon përdoruesit të hyjnë direkt me këtë llogari si në terminalet TTY ashtu edhe në mjedisin grafik. Në vend të kësaj, përdoruesi i parë i krijuar gjatë instalimit shtohet në grupin sudo dhe e gjithë puna administrative kryhet duke rritur privilegjet nga ajo llogari.

Kjo qasje zvogëlon sipërfaqen e sulmit Mbron nga sulmet me forcë brutale në llogarinë root (për shembull, nëpërmjet SSH) dhe minimizon shanset që gabimi njerëzor të ketë pasoja katastrofike, pasi e detyron administratorin të mendojë sa herë që përdor sudo.

Në kontekste shumë specifike (laboratorë, mjedise shpëtimi, makineri shumë të izoluara), kjo mund të justifikohet. Caktoni një fjalëkalim për root me sudo passwd root dhe lejon hyrjen direkte, por është më mirë ta konsideroni këtë si një masë të përkohshme. Pasi të zgjidhet problemi, është më mirë ta rikyçni llogarinë dhe të vazhdoni të punoni me sudo.

Për më tepër, për detyrat që kërkojnë një shell rrënjë të përhershme, Ubuntu ofron komanda të tilla si:

sudo -i o sudo su -

që Ata simulojnë një hyrje të plotë në root, me mjedisin dhe PATH-in e tyre.Kjo është e dobishme për skriptet dhe mjetet që presin të jenë në një mjedis rrënjësor "të pastër" për të funksionuar siç duhet pa pasur nevojë të aktivizojnë hyrjen e përhershme të drejtpërdrejtë.

Qasje rrënjësore nëpërmjet SSH: aktivizimi, çaktivizimi dhe sigurimi

Në serverat e largët, çështja e aksesit root bëhet edhe më e rëndësishme. Si parazgjedhje, shumica e instalimeve të Ubuntu-s Ata çaktivizojnë hyrjen direkte në root nëpërmjet SSH.Kjo ju detyron të identifikoheni me një llogari përdoruesi normal dhe më pas të përdorni sudo. Është një masë thelbësore sigurie për të parandaluar sulmet automatike.

Nëse, për ndonjë arsye shumë të justifikuar, duhet ta aktivizoni atë akses, procesi bazë përfshin këto hapa: së pari caktoni një fjalëkalim për root Nëse nuk e keni:

sudo passwd root

Dhe pastaj modifikoni konfigurimin e serverit SSH:

sudo nano /etc/ssh/sshd_config

Brenda këtij skedari, kërkoni direktivën PermitRootLoginNëse është komentuar jashtë ose në "prohibit-password", mund ta ndryshoni në:

PermitRootLogin yes

Ruani ndryshimet dhe rinisni shërbimin:

sudo systemctl restart ssh

Nga aty, mund të identifikoheni direkt si root nëpërmjet SSH, diçka që Kjo paraqet një dobësi të konsiderueshme nëse përdoret vetëm me fjalëkalim.Minimumi i pranueshëm në këtë rast do të ishte kombinimi i tij me vërtetimin me çelës publik dhe, nëse është e mundur, kufizimi i aksesit me IP ose përmes një bastioni ose VPN.

Për të ndryshuar situatën dhe për të forcuar sigurinë, rimodifikoni / Etc / ssh / sshd_config dhe konfiguroni:

PermitRootLogin no

Ose, nëse doni të lejoni në mënyrë subjektive vetëm aksesin me çelës:

PermitRootLogin prohibit-password

Përsëri, rinisni SSH dhe, nëse doni të shkoni një hap më tej, bllokoni edhe llogarinë lokale root me:

sudo passwd -l root

Kështu, Të gjitha detyrat e administrimit në distancë do të duhet të kalojnë përmes përdoruesve të rregullt dhe privilegjeve sudo., duke qenë i regjistruar dhe duke iu nënshtruar rregullave të skedarit sudoers.

Praktikat më të mira kur përdorni privilegjet e superpërdoruesit

Zotërimi i root, sudo dhe su nuk ka të bëjë vetëm me memorizimin e komandave, por edhe me të miratojnë zakone që minimizojnë rrezikun kur punojnë me privilegje të lartaKa disa praktika të arsyeshme që ia vlen t’i integroni në rutinën tuaj të përditshme.

Gjëja më e rëndësishme është që gjithmonë të aplikohet parimi i privilegjit më të vogël: duke pasur vetëm lejet e nevojshme dhe vetëm për aq kohë sa është absolutisht e nevojshme. Përkthyer në Linux, kjo do të thotë të përdorni `sudo` për komanda të izoluara sa herë që është e mundur dhe të shmangni qëndrimin në një shell rrënjë për periudha të gjata pa nevojë.

Është gjithashtu kyç Mos ekzekutoni kurrë skripte ose skedarë binare nga burime të dyshimta si root.Para se të ekzekutoni një fragment kodi që keni kopjuar nga interneti, hapeni atë me një redaktues teksti dhe kontrolloni saktësisht se çfarë bën. Nëse nuk e kuptoni ndonjë pjesë, kini dyshime. Kur bëhet fjalë për softuer të shkarkuar, përpiquni gjithmonë ta merrni atë nga depot zyrtare, faqet e internetit të projekteve ose burime të tjera me reputacion të mirë dhe verifikoni shumat e kontrollit nëse zhvilluesi i publikon ato.

Nëse keni mundësi, Së pari, testoni skriptet ose manualet në një mjedis të izoluar (një makinë virtuale, një kontejner Docker, një mjedis testimi) përpara se t'i aplikoni ato në një server prodhimi ose në makinën tuaj kryesore, dhe konsultohuni Truket e softuerit LinuxMund t'ju kursejë shumë telashe.

Në serverat me administratorë të shumtë, këshillohet të shkosh një hap më tej dhe konfiguroni pulovrat në një mënyrë të detajuarKjo i lejon çdo personi të ekzekutojë vetëm komandat që i nevojiten në të vërtetë. Kjo kufizon dëmin e mundshëm të një gabimi ose një llogarie të kompromentuar, dhe gjithashtu ruan gjurmueshmërinë e asaj se kush bëri çfarë në çdo kohë të caktuar.

Duke monitoruar këto aspekte dhe duke respektuar idenë se Root është një mjet për situata specifike, jo një përdorues që teston betejën për detyrat e përditshme.Mund të përfitoni plotësisht nga fleksibiliteti i Linux-it pa rrezikuar panevojshëm stabilitetin dhe sigurinë e sistemit tuaj.

Ekosistemi Linux mbështetet shumë në ndarjen midis përdoruesit normal dhe superpërdoruesit, dhe në mekanizma si sudo dhe su për të kaluar midis tyre vetëm kur është e nevojshme; të kuptuarit se si funksionon root, kur ta përdorni, si ta kufizoni ekspozimin ndaj tij dhe si ta rikuperoni atë në rast emergjence është një pjesë kyçe për të menaxhuar çdo shpërndarje me mençuri, qoftë në laptopin tuaj personal apo në një server kritik prodhimi.