Diese Seite zum Server-Hardening behauptet:
Das Deaktivieren des Root-Kontos ist aus Sicherheitsgründen erforderlich.
Warum ist Deaktivieren des aus Sicherheitsgründen erforderlichen Root-Kontos?
Diese Seite zum Server-Hardening behauptet:
Das Deaktivieren des Root-Kontos ist aus Sicherheitsgründen erforderlich.
Warum ist Deaktivieren des aus Sicherheitsgründen erforderlichen Root-Kontos?
Wenn Sie Root nicht verwenden, verwenden Sie sudo! Sudo ist eine großartige Möglichkeit, nur dann Root zu werden, wenn Sie dies benötigen.
Die Site, auf die Sie verlinken, kann nur sehr schlecht erklären, wozu Sie aufgefordert werden. Das Root-Konto ist nicht deaktiviert, sondern das Kennwort für root ist deaktiviert. Das macht passwd -l
.
Mit diesen Anweisungen soll sichergestellt werden, dass sich Benutzer nicht als Root-Benutzer anmelden können, da das Root-Konto leicht zu erraten ist. Ich bin mir nicht sicher, ob ihr Ansatz, einen Pseudo-Benutzer mit einem "schwer zu erratenden Namen" zu erstellen, so viel sicherer sein wird ...
Es ist eine alte Tradition aus den Tagen des Mainframes. Die Idee ist, dass root
mit der Maschine tun kann, was er will, einschließlich des Austauschs des Kernels oder der Zerstörung der UEFI-Variablen, die die Maschine blockieren können. Während ein Nicht- root
-Konto dies nicht kann - es sei denn, diesem Konto werden über sudo
Administratorrechte erteilt, was Sie mit Ubuntu haben werden, und es zerstört die oben genannten Gründe vollständig.
Das Deaktivieren des root
-Kontos wird jetzt ausschließlich dazu verwendet, ältere Götter zu beschwichtigen, die:
In der Praxis Ihr digitales Leben ist von Ihrem normalen Benutzerkonto aus vollständig zugänglich. Daher ist es wenig sinnvoll, einen Schutz in Bezug auf den Benutzer root
vorzunehmen. Das Mucking mit der Unterscheidung root
/ non- root
gehört der Vergangenheit an, als Maschinen große Server waren, die von Hunderten von Benutzern gemeinsam genutzt wurden, die möglicherweise einander feindlich gesinnt waren.
Bitte beachten Sie, dass (zumindest bei Ubuntu und seinen Derivaten) ein Kompromiss mit dem Deaktivieren des Root-Passworts verbunden ist.
Sollte es auf Ihrem System zu einer Katastrophe kommen, sollten Sie das System über die Konsole im Wiederherstellungsmodus (oder Einzelbenutzermodus) starten. Wenn das Root-Passwort deaktiviert ist (wie es standardmäßig der Fall ist), kann beim Booten im Einzelbenutzermodus überhaupt keine Authentifizierung erforderlich sein , da das Root-Konto keine Anmeldeinformationen für diesen Zweck hat. Unter diesen Umständen kann nicht garantiert werden, dass ein anderes Konto funktioniert. Dies wird durch Sonderfallcode im Sulogin-Programm erledigt.
Alles in allem ist dies jedoch ein einfacher Handel: Sie verhindern eine ganze Klasse von Remote-Angriffen, während Sie das System für nicht authentifizierte Root öffnen Melden Sie sich über die physische Konsole an. Denken Sie daran, dass Sie ein System ohnehin niemals vor einem Angreifer mit physischem Zugriff schützen können. Aus diesem Grund gibt es sichere Rechenzentren mit elektronischer Zugangskontrolle.
Root ist im Allgemeinen deaktiviert, um eine zusätzliche Sicherheitsebene im gesamten Linux-Betriebssystem bereitzustellen. Der Root-Benutzer hat die Möglichkeit, buchstäblich alles zu ändern, unabhängig von der Wichtigkeit. Dies macht es zu einem häufigen Ziel von Hackern, Viren usw. Durch Deaktivieren (oder vielmehr Deaktivieren des Kennworts) wird sichergestellt, dass das Konto nicht angemeldet werden kann, wenn das Kennwort abgerufen wird (was eigentlich nicht so schwierig ist).
Standardmäßig ist das Kennwort des Root-Kontos in Ubuntu gesperrt.
Wenn das Konto dieses Benutzers von einem Angreifer kompromittiert wird, kann der Angreifer beim nächsten Mal auch Root-Berechtigungen erhalten. Das Benutzerkonto ist das schwache Glied in dieser Kette und muss daher mit der gleichen Sorgfalt wie root geschützt werden.
Das Passwort des Root-Kontos muss nicht für alle freigegeben werden, die irgendeine Art von Verwaltung durchführen müssen Aufgaben auf dem System.
Um Ihr Root-Konto zu deaktivieren, verwenden Sie den folgenden Befehl:
sudo passwd -dl root