Суперпользователь — звучит гордо
Суперпользователь — сила и неограниченная власть в Linux. Учетная запись root предоставляет доступ ко всей системе. С одной стороны, это очень удобно и полезно. С другой — постоянная головная боль администраторов, вынужденных сражаться со всякой «нечистью», рвущейся к власти. Давайте вместе рассмотрим советы относительно конфигурирования и использования учетной записи root. Итак.
- Разрешайте доступ к учетной записи root только через команды su и sudo.
- Переходите в режим суперпользователя только тогда, когда это действительно необходимо.
- Тщательно контролируйте команды, выполняемые в режиме суперпользователя.
- Если необходимо заниматься дистанционным администрированием системы на правах суперпользователя, используйте пакет SSH и утилиту sudo.
Нежелательно постоянно работать в режиме суперпользователя. Рассматривайте учетную запись root как специальную (административную), необходимую лишь в особых случаях. Переходить в привилегированный режим необходимо только для выполнения действий, доступных лишь суперпользователю.
Став суперпользователем, будьте внимательны. Например, прежде чем выполнить команду shutdown, убедитесь, что вы зарегистрированы в той системе, которую собираетесь остановить. Для этого воспользуйтесь командой uname —n или hostname. Прежде чем выполнять команду rm —r *, убедитесь, что вы находитесь в нужном каталоге. Команда rm —i будет запрашивать подтверждение на удаление каждого файла.
1. Задайте переменную среды PATH так, чтобы она содержала минимум элементов.
- Не указывайте каталоги, открытые для записи всем пользователям: можно случайно запустить «троянчика».
- По той же самой причине не указывайте «.» (жесткая ссылка на текущий каталог).
2. Указывайте полные имена вызываемых команд.
3. Не указывайте «/» в качестве начального каталога суперпользователя.
Почему необходимо использовать SSH? Потому, что он позволяет осуществлять аутентификацию, выходящую за рамки традиционных паролей Linux. Он организует защищенный туннель между двумя системами, шифруя все передаваемые данные. Всегда пользуйтесь этим пакетом, если необходимо стать суперпользователем в удаленной системе.
Группы суперпользователей
В крупных системах нередко возникает ситуация, когда административными полномочиями необходимо наделить целую группу людей. Иногда для этого создается несколько root-овских учетных записей. Предположим, к примеру, что Маша и Вася отвечают за сопровождение одной и той же системы. Один из способов контроля их деятельности — создать две учетные записи, скажем, rootm для Машки и rootv для Васьки, каждую со своим уникальным паролем и идентификатором пользователя 0. Если Машуне нужен привилегированный доступ, она может зарегистрироваться в системе напрямую или с помощью команды su как пользователь rootm. To же самое может сделать и Василий, но от имени пользователя rootv.
Преимущество такого подхода состоит в том, что появляется возможность раздельного контроля (поговорим об этом в следующих статьях). Кроме того, не приходится совместно использовать один и тот же пароль. С другой стороны, каждая учетная запись с идентификатором пользователя 0 — это еще одна потенциальная брешь в защите системы. Наилучший способ контроля действий администраторов — утилита sudo.
Создание учетной записи с идентификатором пользователя 0 — одна из распространенных уловок хакеров. Поэтому необходимо регулярно просматривать файл /etc/passwd (это может автоматически делать программа Bastille, которая также будет рассмотрена в следующих статьях) на предмет наличия несанкционированных записей, особенно если они принадлежат суперпользователю.
Уменьшение последствий взлома учетной записи суперпользователя
Получив доступ к учетной записи суперпользователя, злоумышленник захватывает контроль над всей системой.
- Шифруйте все важные файлы с помощью таких средств, как CFS и PGP.
- Регулярно создавайте резервные копии системы в неповрежденном состоянии. Контролировать целостность системы позволяют программы Bastille и Tripwire.
Применение шифрования существенно затруднит злоумышленнику доступ к конфиденциальным данным. Наличие неповрежденных резервных копий позволит восстановить систему в корректном состоянии после того, как произошел взлом.
Настройка файла /etc/securetty
Файл /etc/securetty определяет, с каких терминалов суперпользователь может регистрироваться в системе. По умолчанию файл сконфигурирован таким образом, что суперпользователю доступны только аппаратная консоль (монитор, непосредственно подключенный к системе, — /dev/tty1) и виртуальные консоли (/dev/tty2-tty8). Попытки зарегистрироваться через другие устройства будут проигнорированы — придется регистрироваться в системе как обычный пользователь, а затем выполнять команду su. Стандартный вид файла /etc/securetty такой:
# cat /etc/securetty ttyl tty2 tty3 tty4 tty5 tty6 tty7 tty8 |
Как видите, в нем нет записей вида pts*, т.е. привилегированный доступ по сети запрещен. Можно еще больше ограничить доступ, запретив виртуальные консоли и оставив только аппаратную консоль (tty1).
Если файл /etc/securetty существует, но пуст, суперпользователь вообще не сможет напрямую зарегистрироваться в системе. Ему придется пользоваться командой su или sudo, что представляет собой гораздо более безопасный подход.
Если файл /etc/securetty не существует, суперпользователь сможет регистрироваться в системе откуда угодно! Осторожно! Таким образом, следует всегда проверять наличие этого файла.
Твитнуть
Все вопросы по линуху можно решить с помощью форумов, там всегда подскажут или уже есть подобный случай!
Помню… изучали такое в инстике, но там так и не привили мне любовь к линуксу
>Все вопросы по линуху можно решить с помощью >форумов, там всегда подскажут или уже есть
>подобный случай!
По моему опыту, часто на форумах любят только потрепаться, а дельного совета не дают.
Пока такие проблемы не возникали, но может пригодиться.
Благодарю за советы. Как раз осваиваю линукс Очень пригодятся