Ano ang root user sa Linux at paano ito ligtas na gamitin?

Kung matagal ka nang gumagamit ng Linux, sa kalaunan ay makakatagpo ka na ng sikat na... root user, ang superuser na kayang gawin at i-undo ang mga bagay sa system nang halos walang limitasyonIto ang mahiwagang account na lumalabas sa mga tutorial, iyong account na nagbibigay-daan sa iyong mag-install ng mga package, mag-adjust ng mga delikadong setting, o mag-ayos ng system na ayaw mag-boot... pero maaari rin nitong sirain ang iyong computer sa isang maling command lang.

Sa karamihan ng mga modernong distribusyon, lalo na ang Ubuntu at mga derivatives nito, hindi na karaniwan ang direktang pag-log in bilang root. Sa halip, ang mas mainam na paraan ay ang paggamit ng ibang user. Gumamit lamang ng mga utos tulad ng sudo at su upang makakuha ng mga pribilehiyo ng administrator kung kinakailanganBinabawasan nito ang mga panganib at nag-iiwan ng bakas sa mga system log. Gayunpaman, mahalaga ang mahusay na pag-unawa sa kung ano ang root, kung paano ito naiiba sa sudo at su, kung kailan gagamitin ang mga ito, kung paano i-deactivate ang account, at kung paano mabawi ang password kung gusto mong madaling mag-navigate sa Linux.

Ano ang root user sa Linux at bakit ito espesyal?

Sa anumang sistemang parang Unix (Linux, BSD, macOS, atbp.) mayroong isang superuser na may napakalinaw na tungkulin: Ang root ay ang account na may UID 0 at may ganap na awtoridad sa lahat ng mga file, proseso, at mga mapagkukunan ng systemWalang mga karaniwang paghihigpit sa pahintulot; kung nais basahin, baguhin, o burahin ng root ang isang bagay, gagawin nito.

Mula sa account na ito, maaari mong Mag-install at mag-uninstall ng mga programa, mag-update ng system, mag-edit ng mga configuration file sa /etc, mamahala ng mga serbisyo, lumikha at magbura ng mga user, mag-format ng mga disk, o magpalit ng mga mahahalagang pahintulotIto ay katumbas ng gumagamit ng Windows "Administrator", ngunit may mas malawak na kakayahang ma-access ang mga panloob na paggana ng sistema nang walang mga paghihigpit.

Dahil dito, maraming distribusyon tulad ng Ubuntu ang pumipili ng Huwag payagan ang direktang pag-login sa root pagkatapos ng pag-installSa halip, isang normal na account (na kabilang sa grupo ng mga administrador) ang nilikha at ang sudo ay ginagamit upang magsagawa ng mga partikular na gawaing administratibo, na binabawasan ang pagkakalantad sa panganib.

Sa ibang mga distribusyon, tulad ng Debian sa klasikong configuration nito, karaniwan ang pagtukoy ng password para sa root habang ini-install, upang Maaaring gamitin ang superuser nang direkta sa console o para sa ilang partikular na gawain.bagama't hinihikayat din ng sistema mismo ang paggamit ng sudo.

Bukod sa mga gumagamit ng root at "tao", gumagamit din ang Linux ng mga gumagamit ng sistema ng uri ng serbisyo (daemon), na may limitadong mga pahintulotAng mga espesyal na user na ito ay nagpapatakbo ng mga proseso tulad ng mga web server, database, o system daemon, kaya ang isang security flaw sa isang serbisyo ay hindi awtomatikong magbibigay ng ganap na kontrol sa sistema, gaya ng mangyayari kung ang lahat ay tatakbo sa ilalim ng root.

Mga uri ng user sa Linux at kung paano malaman kung sino ka

Bagama't sa praktikal na paraan ay maaaring mukhang maraming uri ng mga account, sa antas ng mga pahintulot ay napakalinaw ng pagkakahati: ugat sa isang gilid at "ang natitira" sa kabilaAng sinumang user na walang UID 0 ay, teknikal na, isang non-privileged user, bagama't maaaring mayroon silang ilang karagdagang pahintulot salamat sa sudo.

Ang mga karaniwang work account ay mga normal na gumagamit na may limitadong mga pahintulot sa file systemMaaari nilang pamahalaan ang kanilang mga personal na file, magpatakbo ng mga application, gamitin ang network at, kung sila ay nasa naaangkop na grupo, gamitin ang sudo upang makakuha ng karagdagang mga pribilehiyo para sa mga partikular na gawain.

Ang root superuser ay ang pandaigdigang account ng administrasyonHindi ito nilayon para sa pang-araw-araw na paggamit, kundi para sa pagpapanatili, advanced na configuration, o mga operasyon sa pagbawi. Samakatuwid, maraming distribusyon ang ginagawang mas kumplikado ang direktang pag-access sa account na ito, upang maiwasan ang mga sorpresa para sa mga baguhang gumagamit at limitahan ang epekto ng pagkakamali ng tao.

Kung mayroon kang anumang pagdududa tungkol sa kung aling user ang iyong ginagamit sa isang terminal, maaari mong tingnan ang Shell prompt: kapag nagtatapos ito sa $, gumagamit ka ng normal na account, at kapag nagtatapos ito sa #, nasa ilalim ka ng root.Maaari mo ring patakbuhin ang utos sino ako o suriin ang numeric identifier gamit ang id -uKung "root" o "0" ang lumabas, nasa superuser mode ka na.

Bukod pa rito, karaniwang ipinapakita ng prompt ang ang username, ang pangalan ng computer, ang kasalukuyang directory, at ang simbolong $ o #Halimbawa, isang bagay tulad ng alumno@equipo:/home/alumno$ nagpapahiwatig ng isang normal na gumagamit, habang root@equipo:/root# Ito ay sumasalamin sa isang direktang sesyon ng administrasyon.

root, sudo at su: ano ang ginagawa ng bawat isa at kailan gagamitin ang mga ito

Sa pang-araw-araw na paggamit, hindi natin karaniwang tinatype ang root password sa lahat ng oras. Sa halip, karamihan sa mga modernong distribusyon ay pumipili ng Pansamantalang itaas ang mga pribilehiyo mula sa isang normal na account gamit ang mga tool tulad ng sudo at suBagama't kung minsan ay ginagamit ang mga ito nang palitan sa mga pag-uusap, gumaganap sila ng iba't ibang tungkulin at mahalagang malinaw na maiba ang mga ito.

Ang utos sudo (super user gawin) nagpapahintulot sa isang awtorisadong gumagamit na isagawa isang partikular na utos na may mga pahintulot ng ibang gumagamit, kadalasan ay rootSa paggawa nito, itinatala nito kung ano ang naisagawa, sino ang naglunsad nito at kailan, na nag-iiwan ng rekord sa mga security log ng system.

Para sa bahagi nito, iyong (pamalit na gumagamit) Ito ay dinisenyo para sa baguhin ang pagkakakilanlan ng gumagamit sa loob ng parehong sesyon ng terminalKung gagamitin mo ito nang walang mga parameter, karaniwan nitong susubukang lumipat sa root (hihingi ng password). Kung magbibigay ka ng username, lilipat ka sa account na iyon, kasama ang mga pahintulot at kapaligiran nito.

Paano gumagana ang sudo at bakit ito napakahalaga

Sa mga sistemang tulad ng Ubuntu, na kabilang sa grupo sudo (o “admin” sa mga mas lumang bersyon) ay nangangahulugan na ang account na ito ay maaaring isagawa ang mga utos bilang root sa pamamagitan ng pagpasok ng iyong sariling password ng usernang hindi kinakailangang malaman ang password ng superuser. Ang mga patakaran na kumokontrol sa kung ano ang maaaring gawin ng bawat tao ay tinukoy sa file / etc / sudoers, na ligtas na na-eedit gamit ang utos visudo.

Para magamit ito, ilagay lamang ang salita sa unahan nito. sudo bago ang utos na nangangailangan ng mataas na pribilehiyoHalimbawa, ang pag-install ng pakete ay karaniwang ginagawa tulad nito:

sudo apt install vlc

Sa kasong ito, ang apt ay tumatakbo bilang root, nagsusulat sa mga direktoryo ng system tulad ng /usr o /var at naglo-log ng mga pagbabago sa database ng package, kahit na naka-log in ka pa rin gamit ang iyong normal na user. Kapag nakumpleto na ang order, awtomatiko kang babalik sa iyong mga normal na pahintulot..

Bukod pa rito, ang sudo ay nagpapatupad ng isang maliit na "Panahon ng biyaya"Pagkatapos mong ilagay ang iyong password, maaari mo nang patakbuhin muli ang `sudo` nang ilang minuto nang hindi hinihiling. Pinapabilis nito ang administrasyon, ngunit nagdudulot din ito ng maliit na kahinaan kung may mag-access sa iyong computer sa panahong iyon. Kung gusto mong higpitan ang patakarang ito, maaari mong itakda ang palugit sa zero sa pamamagitan ng pag-edit ng `sudoers` gamit ang:

Defaults:ALL timestamp_timeout=0

Kaya, Sa tuwing gagamit ka ng sudo, kakailanganin mong magpatotoo muli, medyo mas nakakapagod ngunit mas ligtas sa mga sensitibo o maraming gumagamit na kapaligiran.

Ang utos na `su` at ang kumpletong paglipat sa ibang account

Ang utos na "su", sa kabilang banda, Hindi ito nagsasagawa ng kahit isang utos, ngunit sa halip ay nagbubukas ng isang bagong shell sa ilalim ng pagkakakilanlan ng ibang userKung ito ay tinatawag na "nang walang puwersa":

su

Ipinapalagay ng sistema na gusto mong lumipat sa root, at samakatuwid Hihingin nito sa iyo ang password ng superuser.Kung matagumpay ang pag-login, makikita mong magbabago ang simbolo ng prompt sa #, at mula sa sandaling iyon, anumang utos na iyong isasagawa ay isasagawa nang may mga pribilehiyong root hanggang sa mag-log out ka. lumabas.

Maaari mo ring tukuyin ang isang partikular na user:

su nombreusuario

Malaking tulong ito kapag namamahala ka mga serbisyong tumatakbo gamit ang sarili nilang mga account (hal., postgres, www-data, atbp.) at kailangan mong gumana tulad ng mga ito nang hindi isinasara ang iyong pangunahing sesyonMuli, kapag tapos na, ang paggamit ng exit ay magbabalik sa iyo sa nakaraang gumagamit.

Sa mga system kung saan naka-lock ang root o walang password (tulad ng maraming installation ng Ubuntu), hindi ka direktang makakalipat sa account na iyon gamit ang `su`. Sa mga kasong iyon, ang karaniwang paraan ay kadenang pawis at ang kanyang, halimbawa:

sudo su o sudo -i

Gamit ang mga utos na ito, ilalagay mo ang iyong user password (hindi ang root password) at makakakuha ka ng administrative shell na may environment na katulad ng direktang root login. Ito ay lubos na maginhawa kung gagawa ka ng ilang sunod-sunod na aksyon, ngunit mas mapanganib din, kaya ipinapayong mag-log out sa root session sa sandaling matapos ka.

Kailan mas mainam gamitin ang root, sudo, o su?

Maayos naman ang teorya, pero sa pang-araw-araw na buhay, ang mahalaga ay kung aling kagamitan ang gagamitin sa bawat partikular na sitwasyon upang gumana nang mabilis nang hindi isinasapanganib ang sistemaBilang pangkalahatang tuntunin, hangga't maaari, gumamit ng sudo para sa mga partikular na utos at iwasan ang mga persistent root shell; kung gusto mong mas malalim na suriin Kailan at bakit dapat iwasan ang pawis, tingnan ang gabay na iyon.

Halimbawa, para sa mag-install o mag-update ng software Sa mga distribusyon na nakabase sa Debian o Ubuntu, ang karaniwang gawain ay:

sudo apt update
sudo apt upgrade
sudo apt install gparted

Sa mga ganitong sitwasyon, ang permanenteng pag-log in bilang root ay hindi gaanong nakakatulong. Makakakuha ka ng kaunting kaginhawahan, ngunit pinararami mo ang mga panganib ng pagbura o pagbabago ng isang bagay na hindi mo dapat gawin..

Gagamitin mo rin ang sudo kapag i-edit ang mga file ng configuration ng system, halimbawa:

sudo nano /etc/hosts
sudo nano /etc/ssh/sshd_config

Sa ganitong paraan, tanging ang editor lamang ang tumatakbo nang may mga pahintulot ng superuser, at kapag isinara mo ito, babalik ka sa iyong normal na antas ng pribilehiyo.

Sa kabilang banda, ang `su` (o `sudo -i`) ay maaaring maging kapaki-pakinabang kapag Pagdudugtong-dugtongin mo ang maraming operasyong administratibo Magiging abala ang pagdaragdag ng `sudo` bago ang bawat utos. Halimbawa, kapag nagsasagawa ng mga kumplikadong gawain sa pagpapanatili, pamamahala ng maraming account, pagtatrabaho sa mga partisyon, atbp. Gayunpaman, mainam na kasanayan na limitahan ang oras na ginugugol mo sa mode na iyon at lumabas sa sandaling matapos ka.

Isang napaka-praktikal na detalye sa operasyon ay, kung hindi ka sigurado kung naka-root ka o hindi, maaari mong patakbuhin ang sino ako o id -uKung ang iyong nakuhang sagot ay "root" o "0", panahon na para maging lubhang maingat bago mag-type ng anumang mapanirang bagay.

Ipakita ang mga asterisk kapag nagta-type ng password gamit ang sudo

Bilang default, maraming distribusyon (kabilang ang Ubuntu) Hindi sila nagpapakita ng anumang karakter kapag tinayp mo ang password sa consoleWalang mga tuldok o asterisk. Ginagawa ito upang maiwasan ang pagpapakita ng haba ng susi, bagama't sa pagsasagawa, maraming gumagamit ang nahihirapan dahil wala silang biswal na kumpirmasyon na sila ay nagta-type.

Sa loob ng ilang panahon ngayon, nag-alok ang sudo ng isang opsyon na tinatawag na pwfeedback Pinapayagan nito ang mga asterisk na maipakita sa screen kapag inilagay ang password. Sinimulan na itong paganahin ng ilang kamakailang release ng Ubuntu, ngunit maaari mo itong i-activate mismo sa anumang system sa pamamagitan ng pagbabago sa configuration ng sudo:

1. Buksan ang secure configuration editor gamit ang:

sudo visudo

2. Sa loob ng file na bubukas (karaniwan ay /etc/sudoers), magdagdag ng linyang tulad nito:

Defaults pwfeedback

3. I-save at isara. Mula sa sandaling iyon, Ang bawat karakter na iyong tina-type kapag ipinasok ang sudo password ay kakatawanin ng isang asterisk.Kung mas gusto mong bumalik sa klasikong pag-uugali (nang walang visual echo), tanggalin lamang ang linyang iyon at i-save muli ang file gamit ang Visudo.

Ang pagpapasadya na ito ay hindi nakakaapekto sa seguridad ng cryptographic ng sudo, ngunit nakakaapekto ito Maaari nitong mapabuti ang usability para sa mga mas gustong magkaroon ng visual na kumpirmasyon ng kanilang tina-type.lalo na sa mga keyboard na walang backlighting o kapag nagta-type mula sa mga remote terminal.

Mga totoong panganib ng hindi maingat na paggamit ng root

Ang root account ay kasinglakas ng pagiging mapanganib nito. Ang Linux ay dinisenyo na may mga patong ng proteksyon upang maging mahirap para sa isang normal na gumagamit na aksidenteng masira ang sistema, ngunit Kapag dinagdagan mo ang mga pribilehiyo, nawawala ang mga hadlang na iyon at ang anumang hindi pangangasiwa ay maaaring mauwi sa isang sakuna..

Ang unang seryosong panganib ay ang aksidenteng pagbura ng mahahalagang file o direktoryo. Mga utos tulad ng rm -rf / o rm -rf /* Sikat ang mga ito dahil, kung isasagawa bilang root, kaya nilang burahin ang halos lahat ng nilalaman ng file system sa loob ng ilang segundo. Ngunit hindi naman kailangang pumunta sa sukdulan na iyon: basta i-type lang nang mali ang path o iwanang blangko ang isang variable, halimbawa:

rm -rf $directorio/*

Kung ang `$directory` ay hindi natukoy gaya ng iyong inaasahan, ang utos ay maaaring tumuro sa isang ganap na naiibang lokasyon kaysa sa iyong nilalayon. Bilang root, hindi ka bibigyan ng masyadong maraming problema ng sistema, at kapag nakumpleto na ang utos, Ang paggaling ay karaniwang napakahirap o sadyang imposible. nang walang mga backup o mga kagamitang forensic.

Ang isa pang mahalagang panganib ay ang pagpapatupad ng malisyosong software o script na may ganap na mga pribilehiyoAng pag-download ng installer mula sa isang hindi kilalang website at pagpapatakbo nito gamit ang sudo o mula sa isang root shell ay nagbibigay sa code na iyon ng ganap na kontrol: maaari itong mag-install ng mga rootkit, backdoor, keylogger, baguhin ang kernel, o magtago nang malalim sa loob ng system. Kadalasan, sa oras na matuklasan ang problema, ang attacker ay matagal nang nasa loob.

Kailangan mo ring maging maingat kapag baguhin ang mga mahahalagang pahintulot ng file gamit ang chmod o chownIsang utos na parang chmod 000 /etc Ang maling manipulasyon ng /boot, ng GRUB bootloader, o ng /etc/passwd ay maaaring maging dahilan upang hindi makapag-boot ang system. Sa ganitong mga kaso, kahit ang pag-boot mula sa isang LiveCD ay hindi garantiya ng isang madaling pagkukumpuni; sa mga kapaligiran ng produksyon, maaaring kailanganin ang mga propesyonal na serbisyo sa pagbawi.

Panghuli, mula sa perspektibo ng pag-awdit, ang direktang pag-log in bilang root ay nag-aalis ng maraming traceability. Kapag gumagamit ka ng sudo, ang bawat utos ay naitala kasama ng gumagamit na nagsagawa nito.Kung ang lahat ay gagawin bilang root nang hindi gumagamit ng sudo, ang mga log ay magsasabi lamang na "may ginawa si root", ngunit hindi kung sino ang nasa likod ng keyboard, na nagpapakomplikado sa mga imbestigasyon at pagsunod sa mga regulasyon sa seguridad.

Paganahin, huwag paganahin, at i-lock ang root account

Depende sa iyong distribusyon, ang root account ay maaaring Pinagana gamit ang password, naka-lock, o kahit walang nakatalagang susiSa mga sistemang tulad ng Ubuntu, ang root ay karaniwang hindi pinagana para sa direktang pag-login, habang sa ibang mga distribusyon ay isang password ang tinutukoy habang ini-install.

Kung naka-lock ang root account sa iyong makina, maaari mo itong paganahin mula sa isang user na may mga pribilehiyo ng sudo sa pamamagitan ng pagpapatakbo ng:

sudo passwd root

Hihingin muna ng sistema ang iyong password para sa user, at pagkatapos ay ilalagay at kumpirmahin mo ang bagong root password. Mula sa sandaling iyon, Maa-activate ang account at makakapag-log in ka bilang superuser sa mga virtual terminal o, sa ilang pagkakataon, kahit sa graphical interface.Bagama't ang huli ay lubhang hindi inirerekomenda.

Kung magdesisyon kang ayaw mo nang magkaroon ng root access, maaari mong i-lock muli ang account gamit ang:

sudo passwd -l root

Hinaharangan ng parameter na -l ang access sa pamamagitan ng pag-uugnay ng isang hindi wastong password, kaya't Hindi ka maaaring mag-log in bilang root, gamit man ang `su` o sa login screen.Gayunpaman, magagamit pa rin ng mga awtorisadong gumagamit ang sudo upang pangasiwaan ang sistema, kaya hindi ka maiiwan nang walang mga paraan upang maisagawa ang mga gawain sa pagpapanatili.

Nag-aalok din ang ilang distribusyon ng opsyon na huwag paganahin at muling i-activate ang root gamit ang mga kumbinasyon tulad ng sudo passwd -dl root o sudo passwd -u root para i-unlock ito. Sa anumang kaso, Ang pangkalahatang rekomendasyon ay panatilihing naka-lock ang root at palaging gumamit ng sudo maliban sa mga partikular na kaso., tulad ng mga kapaligirang pang-rescue o pang-recovery para sa mga sistemang malubhang nasira.

Ibalik o baguhin ang root password

Maaari itong mangyari nawala mo man ang iyong root password, hindi mo ito pinagana, o kailangan mo lang itong baguhin ang kahulugan nito sa isang server na ang orihinal na configuration ay nakalimutan na ngayon. Nag-aalok ang Linux ng ilang paraan para gawin ito, depende sa kung magbo-boot ang system o kung kailangan mong gumamit ng external device.

Kung ang iyong makina ay nakakarating pa rin sa GRUB boot manager, isang karaniwang opsyon ay ang samantalahin ang paraan ng pagbawiSa pamamagitan ng pagpili sa variant na ito sa advanced menu, sisimulan ng system ang isang pinababang kapaligiran at mag-aalok sa iyo ng opsyon na makakuha ng console na may mga pribilehiyo ng superuser.

Kapag nasa loob na ng shell na iyon, ang unang dapat gawin ay I-remount ang file system gamit ang mga pahintulot sa pagsulatdahil madalas itong nasa read-only mode:

mount -o rw,remount /

Pagkatapos, maaari mong patakbuhin ang karaniwang utos upang magtakda ng bagong password:

passwd root

Ilagay ang bagong key nang dalawang beses, at upang matiyak na ang mga pagbabago ay nakasulat sa disk, gamitin ang:

sync
reboot

Kapag nag-reboot, Ang root account ay magkakaroon ng password na iyong itinakda.para magamit mo ito kung kinakailangan (sa isip, nang matipid at may pag-iingat).

Kung hindi man lang nagsisimula ang sistema, maaari kang gumamit ng LiveCD o LiveUSB mula sa isang distribusyon ng LinuxHalimbawa, Ubuntu. Mag-boot mula sa medium na iyon, piliin ang opsyong "Subukan" nang hindi ini-install, at magbukas ng terminal. Kadalasan, una kang nagiging root sa live environment gamit ang:

sudo su

Susunod, kailangan mong hanapin ang partisyon kung saan naka-install ang sistemang aayusin, gamit ang isang bagay tulad ng:

fdisk -l

Kapag natukoy mo na ang tamang device (halimbawa, /dev/sda1), i-mount ito sa isang gumaganang folder:

mkdir /mnt/recover
mount /dev/sda1 /mnt/recover

Ang susunod na hakbang ay ang "baguhin ang ugat" ng kapaligiran sa naka-mount na partisyonpara ang passwd ay gumana sa naka-install na sistema at hindi sa live na kapaligiran:

chroot /mnt/recover

Mula doon maaari mong patakbuhin ang:

passwd root

para magtakda ng bagong password. Pagkatapos lumabas sa chroot at mag-restart, Magsisimula ang orihinal na sistema gamit ang na-update na mga kredensyal ng superuser.Ito ay isang napakalakas na maniobra para sa pagsagip ng mga naka-lock na makina, ngunit itinatampok din nito kung bakit mahalagang protektahan ang pisikal na pag-access at pag-boot mula sa panlabas na media sa mga kritikal na server.

Root access sa Ubuntu at mga patakaran sa seguridad

Ang Ubuntu at marami sa mga hinango nito (Xubuntu, Kubuntu, Linux Mint, atbp.) ay nagtayo ng kanilang modelo ng seguridad batay sa isang napakalinaw na ideya: umiiral ang root, ngunit halos palaging ginagamit ito nang hindi direkta sa pamamagitan ng sudoIto ay may ilang praktikal at ligtas na bentahe.

Sa isang karaniwang instalasyon, Walang tinukoy na password para sa rootPinipigilan nito ang mga user na direktang mag-log in gamit ang account na ito sa parehong TTY terminal at sa graphical environment. Sa halip, ang unang user na nilikha habang nag-i-install ay idinaragdag sa sudo group, at lahat ng gawaing administratibo ay isinasagawa sa pamamagitan ng pag-angat ng mga pribilehiyo mula sa account na iyon.

Ang pamamaraang ito binabawasan ang ibabaw ng pag-atake Pinoprotektahan nito laban sa mga brute-force na pag-atake sa root account (halimbawa, sa pamamagitan ng SSH) at binabawasan ang posibilidad ng pagkakamali ng tao na magkaroon ng kapaha-pahamak na mga kahihinatnan, dahil pinipilit nito ang administrator na mag-isip sa bawat oras na gagamit sila ng sudo.

Sa mga partikular na konteksto (mga laboratoryo, mga kapaligirang pangsagip, mga makinang lubos na nakahiwalay), maaaring may katwiran ito. Magtalaga ng password sa root gamit ang sudo passwd root at payagan ang direktang pag-login, ngunit mainam na ituring itong pansamantalang hakbang. Kapag nalutas na ang problema, mas makabubuting i-lock muli ang account at ipagpatuloy ang paggamit ng sudo.

Bukod pa rito, para sa mga gawain na nangangailangan ng isang persistent root shell, ang Ubuntu ay nagbibigay ng mga utos tulad ng:

sudo -i o sudo su -

ito Ginagaya nila ang isang buong root login, gamit ang sarili nilang kapaligiran at PATHIto ay kapaki-pakinabang para sa mga script at tool na inaasahang nasa isang "purong" root environment upang gumana nang tama nang hindi kinakailangang paganahin ang permanenteng direktang pag-login.

Root access sa pamamagitan ng SSH: pagpapagana, pag-disable, at pag-secure

Sa mga remote server, ang isyu ng root access ay nagiging mas mahalaga. Bilang default, karamihan sa mga instalasyon ng Ubuntu Hindi nila pinapagana ang direktang pag-login sa root sa pamamagitan ng SSHPipilitin ka nitong mag-log in gamit ang isang normal na user account at pagkatapos ay gumamit ng sudo. Ito ay isang mahalagang hakbang sa seguridad upang maiwasan ang mga awtomatikong pag-atake.

Kung, sa ilang makatwirang dahilan, kailangan mong paganahin ang access na iyon, ang pangunahing proseso ay kinabibilangan ng mga hakbang na ito: una magtalaga ng password sa root Kung wala ka nito:

sudo passwd root

At pagkatapos ay i-edit ang configuration ng SSH server:

sudo nano /etc/ssh/sshd_config

Sa loob ng file na ito, hanapin ang direktiba PermitRootLoginKung ito ay nakalagay sa labas ng komento o nasa "prohibit-password", maaari mo itong baguhin sa:

PermitRootLogin yes

I-save ang mga pagbabago at i-restart ang serbisyo:

sudo systemctl restart ssh

Mula doon, maaari kang direktang mag-log in bilang root sa pamamagitan ng SSH, isang bagay na Nagdudulot ito ng malaking kahinaan kung gagamitin lamang gamit ang isang password.Ang pinakamababang katanggap-tanggap sa kasong ito ay ang pagsamahin ito sa pagpapatotoo ng pampublikong susi at, kung maaari, paghigpitan ang pag-access sa pamamagitan ng IP o sa pamamagitan ng isang balwarte o VPN.

Para baligtarin ang sitwasyon at palakasin ang seguridad, i-edit muli / etc / ssh / sshd_config at i-configure:

PermitRootLogin no

O, kung gusto mong subhetibong payagan lamang ang key access:

PermitRootLogin prohibit-password

Muli, i-restart ang SSH at, kung gusto mong gumawa ng mas malalim na hakbang, i-lock din ang lokal na root account gamit ang:

sudo passwd -l root

Kaya, Ang lahat ng mga gawain sa malayuang pangangasiwa ay kailangang dumaan sa mga regular na gumagamit at mga pribilehiyo ng sudo., na nakarehistro at napapailalim sa mga patakaran ng sudoers file.

Mga pinakamahusay na kasanayan kapag gumagamit ng mga pribilehiyo ng superuser

Ang pag-master sa root, sudo, at su ay hindi lamang tungkol sa pagsasaulo ng mga utos, kundi tungkol din sa magpatibay ng mga gawi na nagbabawas ng panganib kapag nagtatrabaho nang may matataas na pribilehiyoMay ilang makatuwirang gawain na sulit isama sa iyong pang-araw-araw na gawain.

Ang pinakamahalaga ay ang palaging paglalapat ng prinsipyo ng hindi bababa sa pribilehiyo: pagkakaroon lamang ng mga kinakailangang pahintulot, at hangga't talagang kinakailangan. Kung isasalin sa Linux, nangangahulugan ito ng paggamit ng `sudo` para sa mga nakahiwalay na utos hangga't maaari at pag-iwas sa pananatili sa isang root shell nang matagal na panahon nang hindi kinakailangan.

Ito rin ay susi Huwag kailanman magpatakbo ng mga script o binary mula sa mga kahina-hinalang mapagkukunan bilang root.Bago patakbuhin ang isang snippet ng code na kinopya mo mula sa internet, buksan ito gamit ang isang text editor at suriin kung ano mismo ang ginagawa nito. Kung hindi mo maintindihan ang anumang bahagi, maghinala ka. Pagdating sa na-download na software, subukang laging kunin ito mula sa mga opisyal na repository, mga website ng proyekto, o iba pang mapagkakatiwalaang mapagkukunan, at i-verify ang mga checksum kung inilalathala ito ng developer.

Kung may posibilidad ka, Una, subukan ang mga script o manwal sa isang nakahiwalay na kapaligiran (isang virtual machine, isang Docker container, isang test environment) bago ilapat ang mga ito sa isang production server o sa iyong pangunahing makina, at kumonsulta Mga trick sa software ng LinuxMakakatipid ito sa iyo ng maraming abala.

Sa mga server na may maraming administrator, ipinapayong gumawa pa ng mas malalim na hakbang at i-configure ang mga sweater sa isang detalyadong paraanPinapayagan nito ang bawat tao na isagawa lamang ang mga utos na talagang kailangan nila. Nililimitahan nito ang potensyal na pinsala ng isang pagkakamali o isang nakompromisong account, at pinapanatili rin ang pagsubaybay kung sino ang gumawa ng ano sa anumang oras.

Sa pamamagitan ng pagsubaybay sa mga aspetong ito at paggalang sa ideya na Ang Root ay isang kagamitan para sa mga partikular na sitwasyon, hindi isang gumagamit na sumusubok sa labanan para sa mga pang-araw-araw na gawain.Maaari mong lubos na mapakinabangan ang kakayahang umangkop ng Linux nang hindi kinakailangang isinasapanganib ang katatagan at seguridad ng iyong sistema.

Ang ecosystem ng Linux ay lubos na umaasa sa paghihiwalay sa pagitan ng normal na user at superuser, at sa mga mekanismo tulad ng sudo at su upang lumipat sa pagitan ng mga ito kung kinakailangan lamang; ang pag-unawa kung paano gumagana ang root, kailan ito gagamitin, kung paano limitahan ang exposure nito at kung paano ito i-recover sa kaso ng emergency ay isang mahalagang bahagi upang matalinong mapamahalaan ang anumang distribusyon, maging sa iyong personal na laptop o sa isang kritikal na production server.