Questa pagina su server hardening afferma:
Disabling the root account is necessary for security reasons.
Perché è necessario disabilitare l'account di root per motivi di sicurezza?
Questa pagina su server hardening afferma:
Disabling the root account is necessary for security reasons.
Perché è necessario disabilitare l'account di root per motivi di sicurezza?
Se non stai usando Root, stai usando sudo! Sudo è un ottimo modo per diventare root solo quando è necessario.
Il sito a cui ti colleghi è molto povero nello spiegare cosa ti stanno facendo fare. L'account root è disabilitato non , ma la password per root è disabilitata. Ecco cosa fa passwd -l
.
L'intento di queste istruzioni è di fare in modo che le persone non possano accedere come utente root, perché l'account di root è facile da indovinare. Non sono sicuro che il loro approccio alla creazione di uno pseudo-utente con un "nome difficile da indovinare" sarà molto più sicuro ...
È una vecchia tradizione dai tempi del Mainframe. L'idea è che root
possa fare ciò che vuole con la macchina, inclusa la sostituzione del kernel o la distruzione delle variabili UEFI, che possono bloccare la macchina. Considerando che un account non- root
non può - a meno che quell'account abbia i diritti amministrativi attraverso sudo
, che è ciò che avrai con Ubuntu, e distrugge totalmente la logica di cui sopra.
In realtà, la disattivazione dell'account root
è ora utilizzata esclusivamente per placare gli dei più vecchi, che:
In pratica, la tua vita digitale è completamente accessibile dal tuo normale account utente, quindi rendere qualsiasi protezione relativa all'utente root
non ha molto senso. Mucking con la distinzione root
/ non- root
è una cosa del passato, quando le macchine erano grandi server condivisi tra centinaia di utenti che erano probabilmente ostili l'uno con l'altro.
Si prega di essere consapevoli che (almeno su Ubuntu e le sue derivate), c'è un compromesso con la disabilitazione della password di root.
Se dovesse verificarsi un disastro sul sistema, sarà necessario avviare il sistema in modalità ripristino (o utente singolo) dalla console. Se la password di root è disabilitata (come per impostazione predefinita), può essere richiesto nessuna autenticazione quando si esegue il boot in modalità utente singolo, poiché l'account root non ha credenziali da utilizzare per questo scopo, e nessun altro account può essere garantito per funzionare in tali circostanze. Questo è gestito da codice di caso speciale nel programma sulogin.
Tutto considerato, tuttavia, è un'operazione facile da fare: si sta impedendo un'intera classe di attacchi remoti mentre si apre il sistema al login root non autenticato dalla console fisica. Ricorda che non puoi mai proteggere un sistema da un utente malintenzionato con accesso fisico ad esso comunque. Ecco perché esistono centri dati sicuri con controlli di accesso elettronici.
Root è generalmente disabilitato per fornire un ulteriore livello di sicurezza in tutto il sistema operativo Linux. L'utente root ha la possibilità di cambiare letteralmente qualsiasi cosa, indipendentemente dall'importanza. Questo lo rende un obiettivo comune di hacker, virus, ecc. Disabilitarlo (o piuttosto disabilitare la password) garantisce che l'account non possa essere loggato se la password viene recuperata (non è proprio così difficile).
Per impostazione predefinita, la password dell'account di root è bloccata in Ubuntu.
Perché se l'account di quell'utente viene compromesso da un utente malintenzionato, l'utente malintenzionato può anche ottenere i privilegi di root la volta successiva che l'utente esegue tale operazione. L'account utente è il link debole in questa catena, e quindi deve essere protetto con la stessa cura di root.
La password dell'account di root non deve essere condivisa con tutti coloro che devono eseguire alcuni tipi di attività amministrative sul sistema.
Per disabilitare il tuo account di root usa il seguente comando:
sudo passwd -dl root
Leggi altre domande sui tag ubuntu