Desabilita o login root no CentOS 7.2.1511

Não há nenhum ponto de restringir o login root no PC local, porque o usuário local sempre pode carregar o sistema no modo de usuário único com privilégios de root. Se você precisar bloquear o login root via ssh - isso pode ser feito em / etc / ssh / sshd_config adicionando PermitRootLogin no

A maneira mais fácil de impedir o login root é corromper a string criptografada que representa a senha do root em /etc/shadow . Linhas normais em /etc/shadow são assim:

1. Username :Itisyourloginname.
2. Password :Itisyourencryptedpassword.Thepasswordshouldbeminimum6-8characterslongincludingspecialcharacters/digitsandmore.
3. Lastpasswordchange(lastchanged) :DayssinceJan1,1970thatpasswordwaslastchanged
4. Minimum :Theminimumnumberofdaysrequiredbetweenpasswordchangesi.e.thenumberofdaysleftbeforetheuserisallowedtochangehis/herpassword
5. Maximum :Themaximumnumberofdaysthepasswordisvalid(afterthatuserisforcedtochangehis/herpassword)
6. Warn :Thenumberofdaysbeforepasswordistoexpirethatuseriswarnedthathis/herpasswordmustbechanged
7. Inactive :Thenumberofdaysafterpasswordexpiresthataccountisdisabled
8. Expire:dayssinceJan1,1970thataccountisdisabledi.e.anabsolutedatespecifyingwhentheloginmaynolongerbeused.

( Citado aqui ) Você pode adicionar um! (ponto de exclamação) que não será gerado a partir de funções hash na seção de senha na linha do root em /etc/shadow , o que impede o login usando todas as senhas possíveis. Agora que você matou o método de login de senha para root, ninguém pode efetuar login do nada como root usando uma senha . (Outras formas de login podem existir)

Uma maneira mais segura de fazer isso é através do utilitário usermod :     sudo usermod -L root Isso impede que você estrague as coisas. Para obter detalhes sobre usermod usages, consulte usermod(8) .

Quando você quiser fazer o login com root, remova-o! e tudo ficará bem.

Enquanto a resposta anterior pegou meus comentários sobre o bloqueio de root com usermod -L ou passwd -l e efetivamente definiu o campo de senha como !, eles não explicam sua situação.

Eu estive pensando por que o livro diz que excluir com passwd -d impede o acesso. Quando você definir a senha como em branco, com -d, você impedirá que todos os usuários não-root acessem a conta raiz remotamente , porque os usuários não-root não podem migrar para outras contas que não tenham senha. Como o ssh atualmente também bloqueia a raiz por padrão, a conta root será efetivamente bloqueada da perspectiva de usuários remotos e não-root. (por exemplo, a única maneira de trabalhar como root será o sudo)

No entanto, o livro deve mencionar que qualquer usuário no console local pode logar como root sem senha. Hoje em dia, a maioria dos consoles está fora do alcance de usuários normais no console de ambientes virtuais, é sempre sensato ter uma maneira de controlar a senha do root.

Uma política mais sensata como tal está bloqueando a raiz com usermod -L ou passwd -L , mas não antes de estabelecer uma política de usuário sensata e testá-la.

Uma alternativa é estabelecer uma senha root muito segura que seja alterada regularmente e que ninguém saiba (gerando aleatoriamente com makepasswd e mantendo-a em um envelope, por exemplo) para casos de emergência (single-boot por exemplo, ou alguém erroneamente bagunça a configuração do sudo. Então, na verdade, a senha do root pode ser útil. Dessa forma, o trabalho privilegiado via sudo será aplicado. Caso contrário, com root bloqueado, a alternativa é inicializar via CD ou caneta, virtual ou real. / p>