Linux. От новичка к профессионалу. 6-е изд

Отключение учетной записи root

Download 63,9 Mb.

Pdf ko'rish

bet	354/519
Sana	27.03.2022
Hajmi	63,9 Mb.
	#513339

1 ... 350 351 352 353 354 355 356 357 ... 519

Bog'liq
Linux. От новичка к профессионалу ( PDFDrive )

28.3. Отключение учетной записи root:
нестандартный метод
Довольно часто сервер настраивается по принципу — настроил и забыл. Да, после
правильной настройки о нем забудете вы, но только не злоумышленники, которым
не будет давать покоя ваша учетная запись root. Именно она — как учетная запись
с максимальными правами — представляет наибольший интерес для злоумышлен-
ника.
Предлагаемый метод отключения учетной записи root довольно-таки варварский,
но не более варварский, чем команда
rm -rf /
, которую может ввести «доброжела-
тель», получив доступ к root. Метод неудобен тем, что для входа в систему как root
нужно перезагружать компьютер.
Рис. 28.4.
Fedora: редактирование файла /lib/systemd/system/reboot.target

456
Часть VI. Linux на сервере
Прежде всего разрешим одному обычному пользователю (это ваша учетная запись,
под которой вы работаете каждый день) выполнять некоторые команды от имени
root. Для этого откройте файл
/etc/sudoers
и добавьте в него строку типа:
den localhost = NOPASSWD: /bin/kill, /sbin/reboot, /sbin/halt
Такая строка разрешает пользователю
den

выполнять команды
/bin/kill,
/sbin/reboot, /sbin/halt

с привилегиями root на машине
localhost
без ввода пароля.
Можете дополнительно обезопасить систему, изменив приведенную строчку так:
den localhost = PASSWD: /bin/kill, /sbin/reboot, /sbin/halt
Тогда при вводе указанных команд будет запрошен пароль пользователя
den

(а не
root!). Команды
kill, reboot

и
halt

надо будет вызывать через
sudo:
sudo /bin/kill
sudo /sbin/reboot
sudo /sbin/halt
Еще раз отмечу, что сначала нужно разрешить обычному пользователю перезагру-
жать компьютер, иначе после отключения учетной записи root и клавиатурной ком-
бинации ++ единственным способом перезагрузки останется
кнопка Reset.
Вот теперь нужно открыть файл
/etc/passwd
и заменить строку:
root:х:0:0:root:/root:/bin/bash
следующей строкой:
root:х:0:0:root:/root:/bin/true
После этого в качестве командной оболочки пользователя root будет использовать-
ся программа
/bin/true
— она запускается, возвращает истинное значение (для сце-
нариев) и завершает работу (помните рассказ про «заглушки» из
разд. 5.11).
Сохра-
ните файл
/etc/passwd,
введите команду
exit
и попробуйте войти как root — у вас
ничего не получится. Теперь даже если злоумышленник и узнает пароль root, он не
сможет им воспользоваться.
Для проверки войдите в систему как обычный пользователь и введите команду
su.
По правилам работы с этой командой у вас будет запрошен пароль root, но также
будет запущена и оболочка root — команда
/bin/true,
которая немедленно завершит
сеанс root.
А сейчас самое интересное — узнаем, как получить обратно root-доступ, когда он
нам понадобится. Для этого нужно перезагрузить компьютер и передать ядру пара-
метр
init=/bin/bash
— поскольку мы знаем пароль загрузчика, для нас это не
составит проблемы (см. рис. 28.1 и 28.2).
После загрузки системы нужно перемонтировать корневую файловую систему
в режиме
rw

(чтение/запись) командой типа:
mount —w -о remount /dev/sdal /

Download 63,9 Mb.

Do'stlaringiz bilan baham:

1 ... 350 351 352 353 354 355 356 357 ... 519