ലിനക്സിൽ റൂട്ട് അക്കൗണ്ട് പ്രവർത്തനരഹിതമാക്കാനുള്ള 4 വഴികൾ

ഒരു Linux-ലെയും മറ്റ് Unix-പോലുള്ള ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളിലെയും ആത്യന്തിക അക്കൗണ്ടാണ് റൂട്ട് അക്കൗണ്ട്. ഈ അക്കൗണ്ടിന് പൂർണ്ണമായി വായിക്കാനും എഴുതാനും നടപ്പിലാക്കാനുമുള്ള അനുമതികളുള്ള ഒരു സിസ്റ്റത്തിലെ എല്ലാ കമാൻഡുകളിലേക്കും ഫയലുകളിലേക്കും ആക്uസസ് ഉണ്ട്. ഒരു സിസ്റ്റത്തിൽ ഏത് തരത്തിലുള്ള ജോലിയും ചെയ്യാൻ ഇത് ഉപയോഗിക്കുന്നു; സോഫ്uറ്റ്uവെയർ പാക്കേജുകൾ ഇൻസ്റ്റാൾ/നീക്കം/അപ്uഗ്രേഡ് ചെയ്യാനും മറ്റും.

റൂട്ട് ഉപയോക്താവിന് സമ്പൂർണ്ണ അധികാരമുള്ളതിനാൽ, അവൻ/അവൾ ചെയ്യുന്ന ഏതൊരു പ്രവർത്തനവും ഒരു സിസ്റ്റത്തിൽ നിർണായകമാണ്. ഇക്കാര്യത്തിൽ, റൂട്ട് ഉപയോക്താവിന്റെ ഏതെങ്കിലും പിശകുകൾ ഒരു സിസ്റ്റത്തിന്റെ സാധാരണ പ്രവർത്തനത്തിൽ വലിയ പ്രത്യാഘാതങ്ങൾ ഉണ്ടാക്കിയേക്കാം. കൂടാതെ, ഈ അക്കൗണ്ട് അനുചിതമായോ അനുചിതമായോ ആകസ്മികമായോ ക്ഷുദ്രകരമായോ അല്ലെങ്കിൽ നയങ്ങളെക്കുറിച്ചുള്ള കൃത്രിമമായ അജ്ഞതയിലൂടെയോ ഉപയോഗിച്ച് ദുരുപയോഗം ചെയ്യപ്പെടാം.

അതിനാൽ, നിങ്ങളുടെ ലിനക്സ് സെർവറിലെ റൂട്ട് ആക്സസ് അപ്രാപ്തമാക്കുന്നതാണ് ഉചിതം, പകരം, സെർവറിൽ നിർണായകമായ ജോലികൾ ചെയ്യുന്നതിനായി, sudo കമാൻഡ് ഉപയോഗിച്ച് റൂട്ട് യൂസർ പ്രത്യേകാവകാശങ്ങൾ നേടുന്നതിനായി കോൺഫിഗർ ചെയ്യേണ്ട ഒരു അഡ്മിനിസ്ട്രേറ്റീവ് അക്കൗണ്ട് സൃഷ്ടിക്കുക.

ഈ ലേഖനത്തിൽ, ലിനക്സിൽ റൂട്ട് യൂസർ അക്കൗണ്ട് ലോഗിൻ പ്രവർത്തനരഹിതമാക്കുന്നതിനുള്ള നാല് വഴികൾ ഞങ്ങൾ വിശദീകരിക്കും.

ശ്രദ്ധിക്കുക: റൂട്ട് അക്കൌണ്ടിലേക്കുള്ള ആക്സസ് തടയുന്നതിന് മുമ്പ്, userradd കമാൻഡ് ഉപയോഗിക്കുന്നതിന് കഴിവുള്ള ഒരു അഡ്മിനിസ്ട്രേറ്റീവ് അക്കൗണ്ട് നിങ്ങൾ സൃഷ്ടിച്ചിട്ടുണ്ടെന്ന് ഉറപ്പുവരുത്തുക, കൂടാതെ ഈ ഉപയോക്തൃ അക്കൗണ്ടിന് ശക്തമായ ഒരു പാസ്വേഡ് നൽകുക. ഫ്ലാഗ് -m അർത്ഥമാക്കുന്നത് ഉപയോക്താവിന്റെ ഹോം ഡയറക്uടറി സൃഷ്uടിക്കുക എന്നാണ് കൂടാതെ ഒരു അഭിപ്രായം വ്യക്തമാക്കാൻ -c അനുവദിക്കുന്നു:

# useradd -m -c "Admin User" admin
# passwd admin

അടുത്തതായി, usermod കമാൻഡ് ഉപയോഗിച്ച് ഉചിതമായ സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാരുടെ ഗ്രൂപ്പിലേക്ക് ഈ ഉപയോക്താവിനെ ചേർക്കുക, ഇവിടെ -a എന്നതിന്റെ സ്വിച്ച് ഉപയോക്തൃ അക്കൗണ്ട് ചേർക്കുകയും -G എന്നത് ഉപയോക്താവിനെ ചേർക്കുന്നതിനുള്ള ഒരു ഗ്രൂപ്പിനെ വ്യക്തമാക്കുന്നു. ഇൻ (വീൽ അല്ലെങ്കിൽ സുഡോ നിങ്ങളുടെ Linux വിതരണത്തെ ആശ്രയിച്ച്):

# usermod -aG wheel admin    #CentOS/RHEL
# usermod -aG sudo admin     #Debian/Ubuntu 

അഡ്മിനിസ്ട്രേറ്റീവ് പ്രത്യേകാവകാശങ്ങളുള്ള ഒരു ഉപയോക്താവിനെ നിങ്ങൾ സൃഷ്ടിച്ചുകഴിഞ്ഞാൽ, റൂട്ട് ആക്സസ് തടയുന്നതിന് ആ അക്കൗണ്ടിലേക്ക് മാറുക.

# su admin

1. റൂട്ട് യൂസറുടെ ഷെൽ മാറ്റുക

റൂട്ട് യൂസർ ലോഗിൻ പ്രവർത്തനരഹിതമാക്കുന്നതിനുള്ള ഏറ്റവും ലളിതമായ മാർഗ്ഗം അതിന്റെ ഷെൽ /bin/bash അല്ലെങ്കിൽ /bin/bash (അല്ലെങ്കിൽ ഉപയോക്തൃ ലോഗിൻ അനുവദിക്കുന്ന മറ്റേതെങ്കിലും ഷെൽ) എന്നതിൽ നിന്ന് <കോഡിലേക്ക് മാറ്റുക എന്നതാണ്. >/sbin/nologin, /etc/passwd ഫയലിൽ, കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങളുടെ പ്രിയപ്പെട്ട ഏതെങ്കിലും കമാൻഡ് ലൈൻ എഡിറ്ററുകൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് എഡിറ്റുചെയ്യാൻ തുറക്കാനാകും.

  
$ sudo vim /etc/passwd

വരി മാറ്റുക:

root:x:0:0:root:/root:/bin/bash
to
root:x:0:0:root:/root:/sbin/nologin

ഫയൽ സംരക്ഷിച്ച് അത് അടയ്ക്കുക.

ഇനി മുതൽ, റൂട്ട് ഉപയോക്താവ് ലോഗിൻ ചെയ്യുമ്പോൾ, \ഈ അക്കൗണ്ട് നിലവിൽ ലഭ്യമല്ല എന്ന സന്ദേശം ലഭിക്കും. ഇതാണ് ഡിഫോൾട്ട് സന്ദേശം, പക്ഷേ, നിങ്ങൾക്ക് ഇത് മാറ്റാനും /etc/nologin.txt എന്ന ഫയലിൽ ഒരു ഇഷ്uടാനുസൃത സന്ദേശം സജ്ജമാക്കാനും കഴിയും.

ഉപയോക്തൃ ലോഗിൻ വേണ്ടി ഷെൽ ആവശ്യമുള്ള പ്രോഗ്രാമുകളിൽ മാത്രമേ ഈ രീതി ഫലപ്രദമാകൂ, അല്ലാത്തപക്ഷം, sudo, ftp, ഇമെയിൽ ക്ലയന്റുകൾക്ക് റൂട്ട് അക്കൗണ്ട് ആക്സസ് ചെയ്യാൻ കഴിയും.

2. കൺസോൾ ഉപകരണം (TTY) വഴിയുള്ള റൂട്ട് ലോഗിൻ പ്രവർത്തനരഹിതമാക്കുക

രണ്ടാമത്തെ രീതി pam_securetty എന്ന PAM മൊഡ്യൂൾ ഉപയോഗിക്കുന്നു, ഉപയോക്താവ് സുരക്ഷിത TTY-യിൽ ലോഗിൻ ചെയ്യുകയാണെങ്കിൽ മാത്രമേ റൂട്ട് ആക്uസസ് അനുവദിക്കൂ, /etc/securetty-ലെ ലിസ്റ്റിംഗ് നിർവചിച്ചിരിക്കുന്നത് പോലെ.

ഏത് TTY ഉപകരണങ്ങളിലാണ് റൂട്ട് ഉപയോക്താവിന് ലോഗിൻ ചെയ്യാൻ അനുമതിയുള്ളതെന്ന് വ്യക്തമാക്കാൻ മുകളിലെ ഫയൽ നിങ്ങളെ അനുവദിക്കുന്നു, ഈ ഫയൽ ശൂന്യമാക്കുന്നത് കമ്പ്യൂട്ടർ സിസ്റ്റത്തിൽ ഘടിപ്പിച്ചിട്ടുള്ള എല്ലാ ഉപകരണങ്ങളിലും റൂട്ട് ലോഗിൻ ചെയ്യുന്നത് തടയുന്നു.

ഒരു ശൂന്യമായ ഫയൽ സൃഷ്ടിക്കാൻ, റൺ ചെയ്യുക.

$ sudo mv /etc/securetty /etc/securetty.orig
$ sudo touch /etc/securetty
$ sudo chmod 600 /etc/securetty

ഈ രീതിക്ക് ചില പരിമിതികളുണ്ട്, ഇത് ലോഗിൻ, ഡിസ്പ്ലേ മാനേജർമാർ (അതായത് gdm, kdm, xdm) പോലുള്ള പ്രോഗ്രാമുകളെയും ഒരു TTY സമാരംഭിക്കുന്ന മറ്റ് നെറ്റ്uവർക്ക് സേവനങ്ങളെയും മാത്രമേ ബാധിക്കുകയുള്ളൂ. su, sudo, ssh, മറ്റ് അനുബന്ധ openssh ടൂളുകൾ എന്നിവ പോലുള്ള പ്രോഗ്രാമുകൾക്ക് റൂട്ട് അക്കൗണ്ടിലേക്ക് ആക്uസസ് ഉണ്ടായിരിക്കും.

3. SSH റൂട്ട് ലോഗിൻ പ്രവർത്തനരഹിതമാക്കുക

റിമോട്ട് സെർവറുകളോ VPSകളോ ആക്സസ് ചെയ്യുന്നതിനുള്ള ഏറ്റവും സാധാരണമായ മാർഗ്ഗം SSH വഴിയാണ്, കൂടാതെ റൂട്ട് യൂസർ ലോഗിൻ തടയുന്നതിന്, നിങ്ങൾ /etc/ssh/sshd_config ഫയൽ എഡിറ്റ് ചെയ്യേണ്ടതുണ്ട്.

$ sudo vim /etc/ssh/sshd_config

തുടർന്ന് PermitRootLogin എന്ന നിർദ്ദേശം അൺകമന്റ് ചെയ്യുകയും സ്ക്രീൻഷോട്ടിൽ കാണിച്ചിരിക്കുന്നതുപോലെ അതിന്റെ മൂല്യം no എന്ന് സജ്ജമാക്കുകയും ചെയ്യുക.

നിങ്ങൾ പൂർത്തിയാക്കിക്കഴിഞ്ഞാൽ, ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക. കോൺഫിഗറേഷനുകളിലെ സമീപകാല മാറ്റം പ്രയോഗിക്കുന്നതിന് sshd സേവനം പുനരാരംഭിക്കുക.

$ sudo systemctl restart sshd 
OR
$ sudo service sshd restart 

നിങ്ങൾക്ക് ഇതിനകം അറിയാവുന്നതുപോലെ, ഈ രീതി openssh ടൂളുകളെ മാത്രമേ ബാധിക്കുകയുള്ളൂ, റൂട്ട് അക്കൗണ്ട് ആക്സസ് ചെയ്യുന്നതിൽ നിന്ന് ssh, scp, sftp പോലുള്ള പ്രോഗ്രാമുകൾ തടയപ്പെടും.

4. PAM വഴിയുള്ള സേവനങ്ങളിലേക്കുള്ള റൂട്ട് ആക്uസസ് നിയന്ത്രിക്കുക

പ്ലഗ്ഗബിൾ ഓതന്റിക്കേഷൻ മൊഡ്യൂളുകൾ (ചുരുക്കത്തിൽ PAM) എന്നത് Linux സിസ്റ്റങ്ങളിലെ ഒരു കേന്ദ്രീകൃതവും പ്ലഗ്ഗബിൾ, മോഡുലാർ, ഫ്ലെക്സിബിൾ ആയതുമായ പ്രാമാണീകരണ രീതിയാണ്. PAM, /lib/security/pam_listfile.so മൊഡ്യൂളിലൂടെ, നിർദ്ദിഷ്ട അക്കൗണ്ടുകളുടെ പ്രത്യേകാവകാശങ്ങൾ പരിമിതപ്പെടുത്തുന്നതിന് വലിയ വഴക്കം അനുവദിക്കുന്നു.

ലോഗിൻ, ssh, ഏതെങ്കിലും PAM അവയർ പ്രോഗ്രാമുകൾ എന്നിവ പോലുള്ള ചില ടാർഗെറ്റ് സേവനങ്ങൾ വഴി ലോഗിൻ ചെയ്യാൻ അനുവദിക്കാത്ത ഉപയോക്താക്കളുടെ ഒരു ലിസ്റ്റ് പരാമർശിക്കാൻ മുകളിലുള്ള മൊഡ്യൂൾ ഉപയോഗിക്കാം.

ഈ സാഹചര്യത്തിൽ, ലോഗിൻ, sshd സേവനങ്ങളിലേക്കുള്ള ആക്uസസ് നിയന്ത്രിച്ചുകൊണ്ട് ഒരു സിസ്റ്റത്തിലേക്കുള്ള റൂട്ട് യൂസർ ആക്uസസ് അപ്രാപ്uതമാക്കാൻ ഞങ്ങൾ ആഗ്രഹിക്കുന്നു. ആദ്യം കാണിച്ചിരിക്കുന്നതുപോലെ /etc/pam.d/ ഡയറക്uടറിയിൽ ടാർഗെറ്റ് സേവനത്തിനായി ഫയൽ തുറന്ന് എഡിറ്റ് ചെയ്യുക.

$ sudo vim /etc/pam.d/login
OR
sudo vim /etc/pam.d/sshd

അടുത്തതായി, രണ്ട് ഫയലുകളിലും താഴെയുള്ള കോൺഫിഗറേഷൻ ചേർക്കുക.

auth    required       pam_listfile.so \
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

നിങ്ങൾ പൂർത്തിയാക്കുമ്പോൾ, ഓരോ ഫയലും സംരക്ഷിച്ച് അടയ്ക്കുക. തുടർന്ന് പ്ലെയിൻ ഫയൽ /etc/ssh/deniedusers സൃഷ്uടിക്കുക, അതിൽ ഓരോ വരിയിലും ഒരു ഇനം അടങ്ങിയിരിക്കണം, അത് വേൾഡ് റീഡബിൾ അല്ല.

അതിൽ റൂട്ട് എന്ന പേര് ചേർക്കുക, തുടർന്ന് സേവ് ചെയ്ത് അടയ്ക്കുക.

$ sudo vim /etc/ssh/deniedusers

ഇതിന് ആവശ്യമായ അനുമതികളും സജ്ജമാക്കുക.

$ sudo chmod 600 /etc/ssh/deniedusers

PAM അറിയാവുന്ന പ്രോഗ്രാമുകളെയും സേവനങ്ങളെയും മാത്രമേ ഈ രീതി ബാധിക്കുകയുള്ളൂ. ftp വഴിയും ഇമെയിൽ ക്ലയന്റുകൾ വഴിയും മറ്റും നിങ്ങൾക്ക് സിസ്റ്റത്തിലേക്കുള്ള റൂട്ട് ആക്സസ് തടയാൻ കഴിയും.

കൂടുതൽ വിവരങ്ങൾക്ക്, പ്രസക്തമായ മാൻ പേജുകൾ പരിശോധിക്കുക.

$ man pam_securetty
$ man sshd_config
$ man pam

അത്രയേയുള്ളൂ! ഈ ലേഖനത്തിൽ, ലിനക്സിലെ റൂട്ട് യൂസർ ലോഗിൻ (അല്ലെങ്കിൽ അക്കൗണ്ട്) പ്രവർത്തനരഹിതമാക്കുന്നതിനുള്ള നാല് വഴികൾ ഞങ്ങൾ വിശദീകരിച്ചിട്ടുണ്ട്. നിങ്ങൾക്ക് എന്തെങ്കിലും അഭിപ്രായങ്ങളോ നിർദ്ദേശങ്ങളോ ചോദ്യങ്ങളോ ഉണ്ടോ, ചുവടെയുള്ള ഫീഡ്uബാക്ക് ഫോം വഴി ഞങ്ങളെ ബന്ധപ്പെടാൻ മടിക്കേണ്ടതില്ല.