Esta é uma questão de duas partes. Em primeiro lugar, estou apenas olhando para validação, se estou fazendo isso corretamente, pois não tenho certeza de como testar isso. O objetivo é impedir o login da conta raiz e fazer com que todos usem sudo
. Para conseguir isso, estou colocando um bloqueio na conta raiz impedindo que alguém faça login como root. Se a necessidade surgir, eu sempre posso fazer uma conta com permissões completas e executar comandos destinados ao root através do sudo. Isso me leva à segunda pergunta, mas vou perguntar isso perto do fim.
A razão pela qual eu também estou procurando validação é porque quando eu pesquisei sobre o tópico e como conseguir isso, as discussões eram antigas e sugeri que as pessoas inicialmente definissem uma senha via rootpw
em seu arquivo de kickstart, então escrevessem uma script em %post
que editou o arquivo /etc/shadow
para definir a senha para outra coisa ou usar !!
. Eu olhei para a minha instância do Amazon EC2 para ver o que a Amazon fez para a conta root e se parece com isso:
root:*LOCK*:14600::::::
Estou assumindo que o motivo do bloqueio é por causa do *
e não do *LOCK*
. Se minha suposição estiver correta, então:
root:*LOCK*:14600::::::
Seja o mesmo que?:
root:*:14600::::::
Dito isso, no meu arquivo de kickstart eu editei a linha sobre o rootpw
para se parecer com o seguinte:
rootpw --iscrypted *
Após a instalação, meu arquivo /etc/shadow
é semelhante ao seguinte:
root:*::0:99999:7:::
Portanto, minha primeira pergunta é se essa seria uma maneira correta de bloquear a conta root?
Em segundo lugar, sobre o assunto que mencionei anteriormente, não usando root. Há alguma circunstância específica em que isso não seja recomendado? Em caso afirmativo, por que uma conta de acesso completo com o sudo (para que você tenha auditoria), não é suficiente?