- クラウドホストの多様で作成し、クラウドサービスプロバイダは、非常に便利であるrootユーザが、与えられたが、今後は、サーバー上のサービスを開始した後、いくつかの回は、root権限を持つユーザーのみ、いくつかの問題が発生しますがありますされています変更アクセスこれらのサービスは、いくつかの不要なトラブルを引き起こしますが、安全ではありません。セキュリティ上の理由だけでなく、将来的にはマルチユーザ管理サーバの場合は、サーバのrootユーザーにする必要がありますのみ、sudoコマンドを使用してコマンドを実行するためのいくつかのルートを行うために、冒頭で無効になっています。
- ツールを分取:Linuxの雲は、SSHツールをホスティング
- sudo権限を持つユーザを作成します。
- 注 :への停止では、ルートアカウントにアクセスする前に、使用してください useraddコマンドを使用することができ、管理アカウント、作成するために、 sudoコマンドを root権限を取得するため、およびユーザーアカウントの強力なパスワードを提供します。フラグは
-m
、ユーザのホームディレクトリの作成を表し、-c
コメントを示します。1#useraddの-m -c " 管理者ユーザー" 管理者 2#passwdの管理
- 次は、使用するusermodのコマンドを切り替え、適切なシステム管理者グループにユーザーを追加する
-a
追加のユーザーアカウントを示し、-G
(お使いのLinuxディストリビューションによっては、ホイールまたはsudoの)のためにユーザーを追加するグループを指定します。1#USERMOD -agホイール管理#CentOSの/ RHEL 2#USERMOD -Ag 須藤管理#のDebian / Ubuntuの
- あなたが管理者権限を持つユーザーを作成した後、アクセスを防止するために、rootアカウントに切り替えます。
1位持っている管理者を
- 注 :への停止では、ルートアカウントにアクセスする前に、使用してください useraddコマンドを使用することができ、管理アカウント、作成するために、 sudoコマンドを root権限を取得するため、およびユーザーアカウントの強力なパスワードを提供します。フラグは
- rootユーザのシェルを変更
- rootユーザのログインを無効にする最も簡単な方法は、からそのシェルにある
/bin/bash
か/bin/bash
(または、ユーザーが任意の他のシェルにログインできるようにする)/に/ etc / passwdファイルを変更するsbin/nologin
には、ラインエディタのようなあなたが編集用に開い任意のコマンドを使用することができ、図に示すように。1 $ sudoの vimのは/ etc / passwdの
編集保存
1ルートX:0:0:ルート:/ルート:/ binに/ bashの 2 へ 3ルートX:0:0:ルート:/ルート:/ sbinに/ NOLOGIN
ファイル保存して閉じます。
今からで、時にルートユーザーがログインすると、彼/彼女はメッセージが表示されます「 このアカウントは現在使用できませんが。 」これがデフォルトのメッセージであるが、しかし、あなたはファイルでそれを変更することができますに/etc/nologin.txtカスタムメッセージを設定します。このメソッドは、そうでない場合は、ユーザのログインシェル効果的なプログラムを必要と sudoを 、 FTPや電子メールクライアントは、rootアカウントにアクセスすることができます。
- rootユーザのログインを無効にする最も簡単な方法は、からそのシェルにある
- コンソールデバイス(TTY)によって無効にrootログイン
-
名前の第二の方法が使用pam_securettyをPAMのモジュールのみが「ユーザーがログオン セキュリティを」TTYは唯一のような、ルートアクセスを許可する/中など/ securettyに定義されたリスト。
これらの文書は、rootユーザーログインできるように指定することができますTTYの、機器をコンピュータシステムに接続された任意のデバイス上で実行ファイルの防止のrootログインを空にします。
、空のファイルを作成するために実行。
1 $ sudoの MVは/ etc / securettyには/ etc / securetty.orig 2 $ sudoの タッチの/ etc / securettyに 3 $ sudoを chmodの 600の/ etc / securettyに
このアプローチは、それだけで、ログインディスプレイマネージャに影響(すなわち、いくつかの制限がありGDM 、 KDMやXDM )やその他のプログラム、およびその他のネットワークサービスは、TTYの開始します。このようなSU、sudoのは、sshのopensshのおよびその他の関連ツールとして、このようなプログラムはrootアカウントへのアクセス権を持っています。
-
- SSHのrootログインを無効にします
- リモートアクセスサーバーまたは最も一般的な方法は、SSH経由で、ログインにrootユーザからそれを防ぐVPS、あなたは編集する必要は、/ etc / ssh / sshd_configファイル。
1 $ sudoの vimのは/ etc / sshを / sshd_configに
注次に(それが注釈されている場合)、キャンセル指示のPermitRootLoginとその値を設定する
no
スクリーンショットに示すように、。 -
ときに完成し、ファイルを保存して閉じます。その後、再起動のsshdサービスは、最新の構成変更を適用します。
1 $ sudoをsystemctl再起動sshdを 2 OR 3 $ sudoをするサービスのsshdの再起動
あなたが既に知っているかもしれません、この方法は、唯一のツールセットのOpenSSHは、ssh、scpコマンド、SFTPおよび他の手順は、rootアカウントへのアクセスをブロックされます影響します。
- リモートアクセスサーバーまたは最も一般的な方法は、SSH経由で、ログインにrootユーザからそれを防ぐVPS、あなたは編集する必要は、/ etc / ssh / sshd_configファイル。
- PAM rootユーザーログオンの制限により、
-
プラグ可能な認証モジュール (以下PAMは )は、Linuxシステムは、プラグイン可能なモジュール式の柔軟な認証方法に焦点を当てています。PAMによって/lib/security/pam_listfile.soモジュール、あなたは非常に特定のアカウントのための柔軟性の権限を制限することができます。
モジュールの上にいくつかの(ログイン、SSH、および任意のPAM対応プログラムなど)のサービスにログインして、ターゲットに許可されたユーザーのリストを参照するために使用することができます。
この場合、当社は、ログインしてsshdのサービスへのアクセスを制限することで、システムにrootユーザーのアクセスを無効にしたいです。まず、/etc/pam.d/の示すように、ターゲットディレクトリサービスで開いて編集ファイル、。
$ sudoを vimの/etc/pam.d/のログイン OR $ sudoを vimの/etc/pam.d/のログイン
次に、両方のファイルに以下の設定を追加します。
認証が必要なpam_listfile.so \ ONERR =アイテム=ユーザーのセンス=拒否成功し たファイル =は/ etc / sshを / deniedusersを
場合は、各ファイルを保存して閉じ、終了。その後、通常のファイルの作成に/ etc / SSH / deniedusersを 、各ラインは、プロジェクトではなく、世界読めるが含まれている必要があります。
アドオン名rootで、[保存して閉じます。
$ sudoの vimのは/ etc / sshを / deniedusers
また、この目的のために必要な権限を提供します。
$ sudoは chmodの 600の/ etc / sshを / deniedusers
このメソッドは、PAMのサポートプログラムおよびサービスに影響を与えます。あなたは、FTPや電子メールクライアントを介してシステムへのrootアクセスを防ぐことができます。
詳細については、関連するマニュアルページを参照してください。
-
$ 男pam_securettyの $の男のsshd_config $の男の PAM
-