Protegint a l'usuari arrel en Ubuntu 20.04 Focal Fossa

Diego Germán González

4 minuts

Protegint a l'usuari Root

Des de fa un temps vinc parlant de Mautic, Una alternativa de codi obert per a la realització de campanyes de màrqueting digital. La meva intenció era començar a explicar a partir d'aquest article com instal·lar-lo en un servidor privat virtual. Però, per pur accident vaig descobrir alguna cosa. El meu proveïdor d'allotjament web ofereix dos tipus d'imatges de la versió server d'Ubuntu 20.04; l'original i una personalitzada per ells. La personalitzada per ells estalvia temps d'instal·lació però complica innecessàriament la instal·lació de Mautic.

Per fer-curta, vaig perdre un dia d'investigacions que em podria haver estalviat fent servir la imatge original, però, com algunes de les coses que vaig descobrir poden resultar útil a algú, les recicli en aquest article.

Protegint a l'usuari arrel

Gestió dels usuaris

Una de les diferències entre la imatge original d'Ubuntu i la de la meva proveïdor de hosting és que a la primera jo vaig triar el meu nom d'usuari i la contrasenya, mentre que en la segona es va crear un usuari Root i es va generar la contrasenya en forma automàtica .

Algunes distribucions Linux et demanen en el moment d'instal·lació dues contrasenyes, la d'usuari i la de Root. L'usuari Root pot fer absolutament el que vulgui amb el sistema. Per raons de seguretat és convenient limitar l'ús i crear un altre usuari que tingui poders d'administrador, però a què sigui possible retirárselos en cas de problemas. És per això que Ubuntu opta per no crear aquest tipus d'usuari per defecte tot i que és possible afegir més endavant.

Quan inicies sessió en Ubuntu, si vols fer canvis importants has de indicar-li a el sistema operatiu que comptes amb les autoritzacions necessàries. Això es fa posant la contrasenya a la finestra que s'obre o escriure un comandament precedida d'el comando suo a la terminal.

L'usuari Root té una ordre propi, su Quèermite executar qualsevol comanda no només en el seu nom si no en nom de qualsevol altre usuari. Una vegada que vas escriure la contrasenya pots fer el que vulguis amb el sistema fins que escriguis sortir de a la terminal.

En canvi, suo només pot ser executat en nom d'un sol usuari, d'un comando per vegada i hauràs de tornar a posar la contrasenya cada 15 minuts.

Cal deixar en clar que Ubuntu si té un usuari Root, però, al no tenir configurada una contrasenya, és com si no existís. Per poder habilitar només has d'escriure la següent comanda:

sudo passwd root

Creant un nou usuari amb poders d'administrador

Si tens un servidor o un ordinador a la qual accedeix molta gent i, per algun motiu tens el usuari Root habilitat, lo millor és prendre mesures de protecció

Per crear el nou usuari escrivim la comanda
sudo useradd nombre_de_usuario
Recorda reemplaçar FITXER-usuari pel nom que triis.

A continuació li assignem una contrasenya
sudo passwd nombre_de_usuario

El sistema et demanarà que escriguis dues vegades la contrasenya. Recorda que estàs fent servir la terminal i no veuràs el que estàs escrivint.

El programa et oferirà acceptar els valors per defecte o completar informació addicional. Et suggereixo acceptar la configuració per defecte.

Ara procedim a assignar a l'usuari poders d'administrador

usermod -aG sudo username

Protegint a l'usuari Root

Si el teu proveïdor de hosting et va crear un usuari Root, probablement també hagi generat una contrasenya que compleixi amb algunes recomanacions de seguretat. És recomanable canviar-la amb la comanda
code> sudo passwd root

Tingues present els següents consells:

  • No facis servir paraules que es puguin trobar al diccionari.
  • Combina símbols i caràcters alfanumèrics.
  • Escriu una clau el més llarga que puguis i usa un gestor per emmagatzemar-la.

Pots bloquejar a l'usuari root amb la següent comanda
sudo passwd -l root
I desbloquejar-li un nou password amb aquest:

sudo passwd root

Assegurant l'accés remot

Recorda que aquest article es va pensar per parlar de servidors privats virtuals. És possible que el teu proveïdor et permeti accedir a servidor virtual usant el navegador, però el més probable és que accedeixis en forma remota usant el protocol SSH.  Una capa addicional de seguretat és inhabilitar l'ús de l'usuari Root en forma remota.

Això ho fem amb:
sudo nano /etc/ssh/sshd_config

Busquem aquesta línia
PermitRootLogin

I quan la vam trobar vam canviar Yes per No.

Ja que estem en això, cerca la següent línia:
PermitEmptyPasswords

I assegura't que està configurada en NO

Guarda els canvis amb CTRL + X


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.