linux禁用root

linux禁用root

    • 1. 禁止普通用户切换到root
      • 1.1 sudo -i和sudo -s的区别
      • 1.2 sudo -i和直接登录root账号的区别
      • 1.3 禁止sudo -i切换root
      • 1.4 禁止su - root切换root
    • 2. 禁止root远程登录
      • 2.1 ssh禁止root登录
      • 2.2 禁止远程桌面登录

在这里插入图片描述

本文主要介绍:

  1. 如何禁止普通用户切换到root
  2. 如何禁止使用root远程登录

1. 禁止普通用户切换到root

普通用户可以通过两个命令切换到root,包括:

sudo -i
su - xxx

以及一个伪切换sudo -s

1.1 sudo -i和sudo -s的区别

  • sudo -i:这个命令会加载用户的.profile, .bash_profile .login文件,并切换到目标用户的home目录,通常是root用户的目录。这允许用户以root用户的完整环境运行命令,包括所有的环境变量和配置。因此,当使用sudo -i时,用户会获得一个类似于登录root用户的环境,包括root的环境变量。
yurq@yurq:~$ sudo -i
root@yurq:~# env
SHELL=/bin/bash
SUDO_GID=1000
LANGUAGE=zh_CN:zh
JAVA_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202
JRE_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/lib
SUDO_COMMAND=/bin/bash
SUDO_USER=yurq
PDSH_RCMD_TYPE=ssh
PWD=/root
LOGNAME=root
HOME=/root
LANG=zh_CN.UTF-8
HADOOP_USER_NAME=hadoop
LESSCLOSE=/usr/bin/lesspipe %s %s
TERM=xterm
HADOOP_HOME=/home/hadoop/workspace/hadoop-2.7.7
LESSOPEN=| /usr/bin/lesspipe %s
USER=root
ZOOKEEPER_HOME=/home/hadoop/workspace/apache-zookeeper-3.7.1-bin
DISPLAY=localhost:10.0
SHLVL=1
SPARK_HOME=/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/desktop
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin:/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/bin:/home/hadoop/workspace/hadoop-2.7.7/bin:/home/hadoop/workspace/hadoop-2.7.7/sbin:/home/hadoop/workspace/apache-zookeeper-3.7.1-bin/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/sbin
SUDO_UID=1000
MAIL=/var/mail/root
_=/usr/bin/env
root@yurq:/home/yurq# id
用户id=0(root) 组id=0(root)=0(root)
  • sudo -s:这个命令不会加载用户的配置文件,也不会切换到目标用户的home目录。它只是提供一个没有加载用户特定配置的root shell。这意味着,虽然用户可以在这个shell中执行命令,但不会享受到完整的root环境,例如不会加载root的环境变量。这通常会带来一些问题,比如xjjdog用户下设置了自己的一套环境变量,当使用 su -s 切换到超级管理员权限,依然使用的是xjjdog的环境变量。这样,就会发生找不到命令,语言错误,甚至配置错误的结果。
yurq@yurq:~$ sudo -s
root@yurq:/home/yurq# env
SHELL=/bin/bash
SUDO_GID=1000
LANGUAGE=zh_CN:zh
SUDO_COMMAND=/bin/bash
SUDO_USER=yurq
PWD=/home/yurq
LOGNAME=root
HOME=/root
LANG=zh_CN.UTF-8
...
LESSCLOSE=/usr/bin/lesspipe %s %s
TERM=xterm
LESSOPEN=| /usr/bin/lesspipe %s
USER=root
DISPLAY=localhost:10.0
SHLVL=1
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin
SUDO_UID=1000
MAIL=/var/mail/root
_=/usr/bin/env
root@yurq:/home/yurq# id
用户id=0(root) 组id=0(root)=0(root)

1.2 sudo -i和直接登录root账号的区别

  • 直接登录root:‌意味着用户完全切换到了root的身份和环境,‌拥有对系统的完全控制权。‌这种做法通常只在必要时才应该进行,‌因为它可能会带来安全风险,‌因为任何在root用户环境下进行的操作都可能对系统造成不可逆的影响。‌

使用sudo -i相比直接登录为root,‌提供了更高的安全性。‌因为即使是以root权限运行命令,‌用户也仍然在自己的用户环境中,‌这减少了误操作或恶意软件对系统的潜在损害。‌此外,‌sudo命令的使用记录会被详细记录在日志中,‌这对于追踪潜在的安全威胁或系统故障非常有用

root@yurq:~# env
SHELL=/bin/bash
LANGUAGE=zh_CN:zh
JAVA_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202
JRE_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/lib
PDSH_RCMD_TYPE=ssh
PWD=/root
LOGNAME=root
XDG_SESSION_TYPE=tty
MOTD_SHOWN=pam
HOME=/root
LANG=zh_CN.UTF-8
HADOOP_USER_NAME=hadoop
LESSCLOSE=/usr/bin/lesspipe %s %s
XDG_SESSION_CLASS=user
TERM=xterm
HADOOP_HOME=/home/hadoop/workspace/hadoop-2.7.7
LESSOPEN=| /usr/bin/lesspipe %s
USER=root
ZOOKEEPER_HOME=/home/hadoop/workspace/apache-zookeeper-3.7.1-bin
DISPLAY=localhost:10.0
SHLVL=1
SPARK_HOME=/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7
XDG_SESSION_ID=15
XDG_RUNTIME_DIR=/run/user/0
SSH_CLIENT=192.168.79.1 61751 22
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/desktop
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/bin:/home/hadoop/workspace/hadoop-2.7.7/bin:/home/hadoop/workspace/hadoop-2.7.7/sbin:/home/hadoop/workspace/apache-zookeeper-3.7.1-bin/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/sbin
DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/0/bus
SSH_TTY=/dev/pts/0
_=/usr/bin/env

1.3 禁止sudo -i切换root

sudo命令的配置文件是/etc/sudoers/etc/sudoers.d/,可以在/etc/sudoers.d目录中单独配置用户的sudo命令限制,类似vsftp单独配置每个账号

ubuntu默认普通用户是无法切换root

lvdd@yurq:~$ sudo -i
[sudo] lvdd 的密码:
lvdd 不在 sudoers 文件中。此事将被报告。

我们可以通过修改/etc/sudoers/etc/sudoers.d/进行配置,但是一般来说不能通过vim直接修改,因为默认无权限,即使是root

root@yurq:~# ll /etc/sudoers
-r--r----- 1 root root 917 724 11:39 /etc/sudoers

这里linux给我们提供了visudo命令,专门用于修改这个文件,不过虽然看起来像是vi命令,实际上是nano编辑器进行修改的。新增内容如下

root@yurq:~# grep lvdd /etc/sudoers
lvdd    ALL=(ALL:ALL) ALL

关于/etc/sudoers的编写格式,网上有很多讲解,这里不展开了

lvdd@yurq:~$ sudo -i
[sudo] lvdd 的密码:
root@yurq:~# 

sudo -i切换root需要输入当前用户的密码。改完了直接就生效了。

ubuntu如果禁止sudo -i可以切换用户,那么就要看看这个配置文件是否对普通用户进行了特殊配置。

这里我们改回去,在/etc/sudoers.d目录中配置用户信息

root@yurq:~# grep lvdd /etc/sudoers
#lvdd    ALL=(ALL:ALL) ALL#切换终端
lvdd@yurq:~$ sudo -i
lvdd 不在 sudoers 文件中。此事将被报告。

新增配置文件lvdd

root@yurq:/etc/sudoers.d# cat lvdd
lvdd    ALL=(ALL:ALL) ALL#切换终端
lvdd@yurq:~$ sudo -i
root@yurq:~#

又可以切换了。

1.4 禁止su - root切换root

lvdd@yurq:~$ su - root
密码:
root@yurq:~# 

前面提到sudo -切换root需要输入当前用户的密码,使用su - 切换root需要输入root密码。这个看起来像一个伪命题,因为我们都知道root密码了,还切换干嘛,不如直接登录了。实际上后面将提到,通过ssh登录,即使知道root密码,也可以禁止登录。毕竟大多数时候,我们都接触不到物理机。这里我们只研究可行性,暂时不讨论合理性。

这里简单介绍以下su命令带不带参的区别

  • su:‌这个命令允许用户切换到其他用户,‌但它不会加载目标用户的环境变量。‌这意味着,‌当你使用su命令切换到另一个用户时,‌你实际上是在当前用户的环境中运行目标用户的shell,‌而不是在目标用户的环境中运行。‌
  • su -:‌这个命令允许用户切换到另一个用户,‌并且会加载目标用户的环境变量。‌当你使用su -命令切换到另一个用户时,‌你会在目标用户的环境中运行,‌这意味着你会获得该用户所有的环境变量和配置。‌
  • su -c:‌这个命令允许你在切换到另一个用户的同时执行一个命令,‌然后立即返回到原始用户。‌这意味着你可以以其他用户的身份运行一个命令,‌而不需要实际切换到那个用户。‌例如,‌如果你想要以root用户的身份运行一个命令,‌但不想切换到root用户,‌你可以使用su -c 'command'的形式来执行。‌
lvdd@yurq:~$ su -c "tail -1 /etc/passwd" root
密码:
lvdd:x:1001:1007::/home/lvdd:/bin/bash

这里有多种方法禁止su切换到root,基本上大同小异,笔者列举两种方法:

方法一 修改su的权限

root@yurq:/etc/sudoers.d# ll /bin/su
-rwsr-xr-x 1 root root 67816 49 23:34 /bin/su*
root@yurq:/etc/sudoers.d# chmod 750 /bin/su
root@yurq:/etc/sudoers.d# ll /bin/su
-rwxr-x--- 1 root root 67816 49 23:34 /bin/su*
lvdd@yurq:~$ su - root
-bash: /usr/bin/su: 权限不够
lvdd@yurq:~$ su - yurq
-bash: /usr/bin/su: 权限不够

这样可以仅允许root用户和所属组的用户使用su命令,其他用户将无法使用。改回原来的权限

root@yurq:/etc/sudoers.d# chmod 4755 /bin/su
root@yurq:/etc/sudoers.d# ll /bin/su
-rwsr-xr-x 1 root root 67816 49 23:34 /bin/su*

方法二 修改认证条件

root@yurq:/etc/sudoers.d# grep auth /etc/pam.d/su
auth       sufficient pam_rootok.so debug
auth       required   pam_wheel.so group=wheel

这样设置后,‌只有wheel组的成员才能使用su -命令切换到root用户。‌

lvdd@yurq:~$ su - root
密码:
su: 认证失败

添加组及修改用户附加组

root@yurq:/etc/sudoers.d# groupadd wheel
root@yurq:/etc/sudoers.d# usermod -G wheel lvdd
lvdd@yurq:~$ su - root
密码:
root@yurq:~#

lvdd又可以愉快的切换root了。

到这里ubuntu系统就可以禁止或允许普通用户通过su进行切换root了,不过有的系统可能还需要作如下修改

修改/etc/login.defs文件,‌在文件末添加一行SU_WHEEL_ONLY yes,‌这样配置后,‌非wheel组的用户即使输入了正确的密码,‌也无法通过su -命令切换到root用户。‌

这里关于认证模块,可以参考linux PAM模块简介

2. 禁止root远程登录

前面说到了知道root密码,还使用普通用户切换root干什么?直接登录不好么。其实有些情况下,即使知道root密码也不可以通过远程登录。这里包括通过ssh进行命令行登录和远程桌面登录,下面我们分别进行说明

2.1 ssh禁止root登录

我们通过修改ssh的配置文件/etc/ssh/sshd_config,禁止root登录

root@yurq:/etc/sudoers.d# grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin prohibit-password

可以看到ubuntu默认是禁止root使用密码登录的。

 PermitRootLoginSpecifies whether root can log in using ssh(1).  The argument must be yes, prohibit-password, forced-commands-only, or no.  The default isprohibit-password.

查看帮助,可以知道PermitRootLogin 选项的值包括:

参数类别是否允许ssh登陆登录方式交互shell
yes允许没有限制没有限制
prohibit-password (without-password)允许除密码以外没有限制
forced-commands-only允许仅允许使用密钥仅允许已授权的命令
no不允许N/AN/A

改成yes就可以登录了

root@yurq:/etc/sudoers.d# grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin yes

ssh配置文件简介,这篇文章很详细的介绍了sshd_config

2.2 禁止远程桌面登录

ubuntu系统root默认是无法远程桌面的,所以要禁止,先开启

  1. 修改文件/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf文件,增加两行:
sudo vi /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf greeter-show-manual-login=true 
all-guest=false 
  1. 进入/etc/pam.d目录,修改gdm-autologin和gdm-password文件
vi gdm-autologin 
#注释掉auth required pam_succeed_if.so user != root quiet_success这一行,保存 
vi gdm-password 
#注释掉 auth required pam_succeed_if.so user != root quiet_success这一行,保存
  1. 修改/root/.profile文件
sudo vi /root/.profile 
#将文件末尾的mesg n || true这一行修改成tty -s&&mesg n || true, 保存
  1. 重启系统,输入root用户名和密码,登录系统。
  2. root自动登录
vim /etc/gdm3/custom.conf
#将[daemon]
AutomaticLoginEnable=True
AutomaticLogin=root
#设置为root用户自动登录

可以根据以上配置,对已开启允许root的远程桌面的系统进行限制。当然不同的系统,不同的桌面系统配置可能不同,此处仅以ubuntu的gnome桌面为例进行说明。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/383471.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python-docx 如何将列表中的值提取到段落中的run以及保存为多个文档?

🏆本文收录于《CSDN问答解惑-专业版》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收…

如何定位Milvus性能瓶颈并优化

假设您拥有一台强大的计算机系统或一个应用,用于快速执行各种任务。但是,系统中有一个组件的速度跟不上其他部分,这个性能不佳的组件拉低了系统的整体性能,成为了整个系统的瓶颈。在软件领域中,瓶颈是指整个路径中吞吐…

前端网页打开PC端本地的应用程序实现方案

最近开发有一个需求,网页端有个入口需要跳转三维大屏,而这个大屏是一个exe应用程序。产品需要点击这个入口,并打开这个应用程序。这个就类似于百度网盘网页跳转到PC端应用程序中。 这里我们采用添加自定义协议的方式打开该应用程序。一开始可…

吴恩达深度学习笔记1 Neural Networks and Deep Learning

参考视频:(超爽中英!) 2024公认最好的【吴恩达深度学习】教程!附课件代码 Professionalization of Deep Learning_哔哩哔哩_bilibili Neural Networks and Deep Learning 1. 深度学习引言(Introduction to Deep Learning) 2. 神 经 网 络 的 编 程 基 础…

大型语言模型的生物医学知识图优化提示生成

大型语言模型的生物医学知识图优化提示生成 https://arxiv.org/abs/2311.17330 https://github.com/BaranziniLab/KG_RAG 大型语言模型的生物医学知识图优化提示生成 摘要 KG-RAG框架,较好的结合了生物医学知识图谱SPOKE和LLM的优势。SPOKE是一个开放知识图谱&…

【云原生】Kubernetes中的DaemonSet介绍、原理、用法及实战应用案例分析

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,…

59、mysql存储过程

存储过程 一、存储过程: 1.1、存储过程的概念 概念:完成特定功能的sql语句的集合。把定义好的sql集合在一个特定的sql的函数当中 每次执行调用函数即可。还可以实现传参的调用。 1.2、存储过程的语法: delimiter $$ ##delimiter开始和结…

Visual Studio 2022新建 cmake 工程测试 tensorRT 自带样例 sampleOnnxMNIST

1. 新建 cmake 工程 vs2022_cmake_sampleOnnxMNIST_test( 如何新建 cmake 工程,请参考博客:Visual Studio 2022新建 cmake 工程测试 opencv helloworld ) 2. 删除默认生成的 vs2022_cmake_sampleOnnxMNIST_test.h 头文件 3. 修改默认生成的 vs2022_cma…

Docker简单快速入门

1. 安装Docker 基于 Ubuntu 24.04 LTS 安装Docker 。 # 更新包索引并安装依赖包 sudo apt-get update sudo apt-get install -y apt-transport-https ca-certificates curl software-properties-common# 添加Docker的官方GPG密钥并存储在正确的位置 curl -fsSL https://mirror…

叮!2024 龙蜥操作系统大会议题征集正式启动

定啦!2024 龙蜥操作系统大会(OpenAnolis Conference,以下简称“龙蜥大会”)将于 2024 年 8 月 30 日在北京中关村国家自主创新示范区会议中心盛大召开。 2024 龙蜥大会由中关村科学城管委会、海淀区委网信办、中国开源软件推进联…

Python从0到100(四十三):数据库与Django ORM 精讲

前言: 零基础学Python:Python从0到100最新最全教程。 想做这件事情很久了,这次我更新了自己所写过的所有博客,汇集成了Python从0到100,共一百节课,帮助大家一个月时间里从零基础到学习Python基础语法、Pyth…

Arduino学习笔记1——IDE安装与起步

一、IDE安装 去浏览器直接搜索Arduino官网,点击Software栏进入下载界面,选择Windows操作系统: 新版IDE下载不需要提前勾选所下载的拓展包,下载好后直接点击安装即可。 安装好后打开Arduino IDE,会自动开始下载所需的…

World of Warcraft [CLASSIC] Timebadge

游戏币【每个服务器实时金价不一样,本例子是5000-6000金】 1枚【魔兽世界时光徽章】 30天游戏时间。 5760金币游戏币,策划如何消耗游戏里面的金币总量,以及如何留住那些非人民币玩家呢 30天加上去了 World of Warcraft [CLASSIC] [魔兽世界…

怎么使用动态IP地址上网

如何设置动态IP地址上网? 设置动态IP地址上网的步骤如下: 一、了解动态IP地址 动态IP地址是由网络服务提供商(ISP)动态分配给用户的IP地址,它会根据用户的需求和网络情况实时改变。相比于静态IP地址,动态…

使用VuePress-Reco快速搭建博客(保姆级)

简介:VuePress-Reco 一款简洁的 vuepress 博客 & 文档 主题,可以自由搭建自己的风格,比较方便简洁。 链接:vuepress-reco 准备环境: Node.Js >20.5.0,Npm > 10.8.2 OR Yarn > 1.22.19 注&am…

七、SpringBoot日志

1. 得到日志对象 import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.ResponseBody; //打印日志…

【Django】django模板与前端技术(html模板)

文章目录 “python包html”还是“html包python”?1.新建模板2.模板语法3.views.py测试 “python包html”还是“html包python”? 在前端页面中html代码比python多得多,所以一定是html包python最优!于是引出今天的模板。 大体分为三个步骤:…

独立站外链如何影响搜索引擎排名?

独立站的外链对搜索引擎排名有着非常重要的影响。简单来说,外链就像是别的网站对你的网站投的信任票。每一条外链都告诉搜索引擎:“这个网站的内容是有价值的,值得推荐。”因此,外链的数量和质量直接影响你的网站在搜索引擎中的排…

Lc60---1189. “气球” 的最大数量(排序)---Java版

1.题目 2.思路 (1)用字典的方法,ballon,这个单词里面每个字母,需要的个数 (2)再创一个字典的方法统计,输入的字符串的字母的个数 (3)计算能拼凑出多少个“ballon" (4)代码解释 for (char c : text.toCharArray()) {count.put(c, count.getOrDefau…

vue3编程-import.meta.glob实现动态路由(菜单)

import.meta.glob 是vite提供的批量懒加载组件的方法 本地开发环境: const modules import.meta.glob(../views/**/*.vue)这段代码返回的modules是一个Map: key是vue文件的相对路径,值是一个函数,将函数打印出来,如…