Todo esse temor de medo, dizendo "Não faça isso!" é ridículo. Uma vez, sim, provavelmente quebrou muitos roteiros mal escritos, mas suspeito que eles não são mais tão comuns; pelo menos não nas distribuições padrão.
Disseram-nos para renomear a conta root em um subconjunto de servidores linux. Então, depois de tentar pesquisar como fazer isso corretamente, eu encontrei muitos posts dizendo "Não faça isso!" com muitos avisos terríveis de "coisas ruins" acontecendo se você optar por fazer isso. Mas ainda não encontrei nenhum com exemplos concretos das "coisas ruins" que poderiam acontecer.
Então, deixe-me voltar e explicar onde estou e como chegamos aqui. Estamos construindo um ambiente compatível com PCI, e uma das ferramentas que nos ajuda a atender a esses "requisitos" está nos dizendo que precisamos renomear as contas root e administrator e guest para outra coisa. Para aqueles sem instrução sobre PCI, você tem a opção de seguir as diretrizes ou documentar por que você não pode ou não seguir essa diretriz e qual estratégia de mitigação você tem para manter os sistemas seguros. Então, eu imagino que a maioria dos lugares documenta porque eles não vão renomear suas contas de root, no entanto, nosso grupo decidiu que, se pudermos renomear as contas de administrador do Windows sem problema, iremos renomear as contas de raiz do Linux também. / p>
Estou bem versado nos argumentos de "segurança através da obscuridade"; Eu sei que apenas mudar o nome da conta raiz não melhora muito a segurança, o root deve ser desativado no SSH, etc. Eu sei, não é esse o ponto, eu não estou interessado em ouvir mais. Eu também não estou interessado em mais "o céu vai cair" avisos. Estou à procura de declarações como esta: "> esta coisa ruim < acontecerá com > este pacote padrão < (a menos que você > faça isso <)".
Até agora eu tenho 3 sistemas CentOS (RHEL) que aparentemente não têm problemas em renomear a conta root. Aqui está o que eu fiz: Eu mudei o nome da conta em / etc / passwd, / etc / shadow, / etc / group e / etc / gshadow. Então grepped para o nome root em / etc / e modifiquei o arquivo aliases do postfix para que root fosse um apelido para o nome da nova conta, chame-o rojotoro. (Algo semelhante deve ser feito para outros sistemas de e-mail). Eu também achei que precisava alterar algumas configurações para logrotate ao descrever quem deveria possuir os arquivos que criaria automaticamente. E isso foi tudo o que mudei até agora.
Eu olhei muitos scripts init.d, mas não mudei nada, e tudo parece começar bem na inicialização. Eu tenho que especificar a nova conta ao usar o sudo: "sudo-u rojotoro vim / etc / passwd" como um exemplo, mas eu realmente não precise alterar nada dentro do arquivo sudoers. Eu esperava talvez alguns problemas com o selinux que nós temos e reforçamos, mas até agora eu não precisei tocar nesse sistema.
Eu também posso ver que os scripts mkdev ou mkfs podem precisar ser ajustados, mas eu não planejo usá-los, então eu não olhei para eles com o escrutínio que merecem.
Se é realmente tão fácil mudar sem efeitos negativos em um sistema que permite o uso do selinux, por que a continuação de todo o temor?