Para proteger sua máquina contra acesso raiz indesejado, podemos desativar o terminal raiz de descoberta em Grub2 removendo o comentário da seguinte linha em /etc/default/grub :

GRUB_DISABLE_RECOVERY="true"

^{Observação: Para evitar problemas de segurança editando as entradas do GRUB2 durante a inicialização, também poderemos restringir o acesso ao menu de inicialização do Grub definindo GRUB_HIDDEN_TIMEOUT=0 e permitindo que o OS_PROBER evite chamadas scripts em /etc/grub.d} .

Para entrar em vigor, também queremos executar o seguinte comando:

sudo update-grub

Isso não impedirá a inicialização em um ambiente raiz com um live CD.

Além disso, seu disco rígido pode ter que ser criptografado caso seu hardware seja roubado.

  

Aviso: Ao proteger seu sistema dessa maneira, você pode se bloquear completamente fora do seu computador. Cuidado com o que você faz e prossiga apenas se você souber exatamente o que faz. Mantenha suas senhas em um lugar seguro.

1. Não pense que o nome de root pode ser alterado.

2. Em /etc/default/grub , descomente (remova o símbolo '#') a seguinte linha:

   #GRUB_DISABLE_LINUX_RECOVERY="true"
   

... então execute sudo update-grub .

Renomeando a conta root

NÃO RECOMENDADO Mas, se você realmente quiser, use sudo vipw e sudo vipw -s para renomear "root" nos arquivos /etc/passwd e /etc/shadow , respectivamente. Isso é tudo que existe para isso; para o kernel, root é qualquer usuário com UID 0 (pelo menos essa é minha compreensão de principiante). Observe que, se você fizer isso, sudo -i não funcionará mais, mas sudo -u xyz -i fará isso e ainda o colocará em um prompt raiz.

Protegendo o acesso ao console

1. Bloqueie fisicamente o gabinete do PC para que ele não seja aberto.

2. Evite que o computador inicialize outros dispositivos.

   No BIOS, edite a sequência de inicialização para que ela inicialize apenas o disco rígido (e não do CD, dispositivo USB, etc.). Em seguida, defina uma senha do BIOS para impedir que alguém edite a sequência de inicialização.

3. Desative a opção do modo de recuperação no Grub.

   Edite o arquivo /etc/default/grub . Descomente a linha:

   #GRUB_DISABLE_LINUX_RECOVERY="true"
   

4. Adicione um superusuário do Grub. Isso tem o efeito colateral de impedir que usuários Grub não autenticados editem linhas de inicialização (como adicionar o parâmetro single para inicializar no modo de usuário único e obter root).

   Primeiro, misture a senha que você deseja usar para a conta de superusuário do Grub:

   grub-mkpasswd-pbkdf2
   

   Em seguida, adicione o superusuário à configuração do Grub anexando as linhas a seguir a /etc/grub.d/00_header (sim, inclua as linhas cat e EOF ):

   cat << EOF
   set superusers=[YOUR USERNAME]
   password_pbkdf2 [YOUR USERNAME] [YOUR grub.pbkdf2.sha512.10000.... PASSWORD STRING]
   EOF
   

   (Exemplo retirado do link .)

   Por fim, execute o seguinte para que as alterações na configuração do Grub entrem em vigor:

   sudo update-grub2
   

O que isto faz (assumindo que nós realmente protegemos o BIOS e o Grub) é reduzir a superfície de ataque para a segurança física do PC (ou seja, quebrar o bloqueio do caso) e a segurança do Ubuntu quando ele estiver online. O objetivo é fazer com que alguém não possa acessar o computador, reiniciá-lo, entrar no modo de usuário único, conceder acesso root e, em seguida, ir embora - tudo em menos de um minuto. Mesmo se você estiver executando a criptografia de disco completo (mas ainda inicializando o kernel + initrd fora do disco rígido do PC), todas essas etapas ainda podem ser uma boa idéia, já que é trivial executar o mesmo ataque para adicionar um keylogger. para o initrd que irá farejar a frase secreta de criptografia.

A alteração do nome de usuário root é NÃO recomendado - você provavelmente interromperá sua instalação como root.

Para uma definição de root e seus privilégios, consulte este artigo - e as razões para não mudar, estão neste Thread de Fóruns do Ubuntu .