Questa pagina sulla protezione avanzata del server afferma:
La disabilitazione dell'account root è necessaria per motivi di sicurezza.
Perché è disabilitare l'account root necessario per motivi di sicurezza?
Questa pagina sulla protezione avanzata del server afferma:
La disabilitazione dell'account root è necessaria per motivi di sicurezza.
Perché è disabilitare l'account root necessario per motivi di sicurezza?
Se non stai usando Root, stai usando sudo! Sudo è un ottimo modo per diventare root solo quando è necessario.
Il sito a cui ti colleghi è molto scarso nello spiegare cosa ti stanno portando a fare. L'account root non viene disabilitato, ma piuttosto la password per root è disabilitata. Questo è ciò che fa passwd -l
.
L'intento di queste istruzioni è di fare in modo che le persone non possano accedere come utente root, perché l'account root è facile da indovinare. Non sono sicuro che il loro approccio alla creazione di uno pseudo-utente con un "nome difficile da indovinare" sarà molto più sicuro ...
È un'antica tradizione dei tempi del Mainframe. L'idea è che root
possa fare ciò che vuole con la macchina, inclusa la sostituzione del kernel o la distruzione delle variabili UEFI, che possono bloccare la macchina. Mentre un account non root
non può farlo, a meno che a quell'account non vengano concessi diritti amministrativi tramite sudo
, che è ciò che avrai con Ubuntu, e distrugge completamente la logica di cui sopra.
In realtà, disabilitare l'account root
è ora utilizzato esclusivamente per placare gli dei più anziani, che:
In pratica , la tua vita digitale è completamente accessibile dal tuo normale account utente, quindi fare qualsiasi protezione relativa all'utente root
non ha molto senso. Masticare con la distinzione root
/ non- root
è una cosa del passato, quando le macchine erano grandi server condivisi tra centinaia di utenti che erano probabilmente ostili l'uno all'altro. p>
Tieni presente che (almeno su Ubuntu e le sue derivate), c'è un compromesso coinvolto nella disabilitazione della password di root.
In caso di disastro sul tuo sistema, ti consigliamo di avviare il sistema in modalità di ripristino (o utente singolo) dalla console. Se la password di root è disabilitata (come è di default), allora nessuna autenticazione di sorta può essere richiesta quando si avvia in modalità utente singolo, perché l'account di root non ha credenziali da usare per questo scopo, e nessun altro account può essere garantito per funzionare in tali circostanze. Questo è gestito da codice in casi speciali nel programma sulogin.
A conti fatti, però, questo è un mestiere facile da fare: stai impedendo un'intera classe di attacchi remoti mentre apri il sistema a root non autenticati accedi dalla console fisica. Ricorda che non puoi mai proteggere un sistema da un utente malintenzionato con accesso fisico ad esso comunque. Questo è il motivo per cui esistono data center sicuri con controlli elettronici degli accessi.
Il root è generalmente disabilitato per fornire un ulteriore livello di sicurezza in tutto il sistema operativo Linux. L'utente root ha la capacità di cambiare letteralmente qualsiasi cosa, indipendentemente dall'importanza. Questo lo rende un bersaglio comune di hacker, virus, ecc. Disattivarlo (o piuttosto disabilitare la password) garantisce che l'account non possa essere loggato se la password viene recuperata (cosa non così difficile da fare).
Per impostazione predefinita, la password dell'account root è bloccata in Ubuntu.
Perché se l'account dell'utente viene compromesso da un utente malintenzionato, l'attaccante può anche ottenere i privilegi di root la prossima volta che l'utente lo fa. L'account utente è l'anello debole di questa catena e quindi deve essere protetto con la stessa cura di root.
La password dell'account root non deve essere condivisa con chiunque abbia bisogno di eseguire qualche tipo di amministrazione attività sul sistema.
Per disabilitare il tuo account di root usa il seguente comando:
sudo passwd -dl root