Protéger l'utilisateur root dans Ubuntu 20.04 Focal Fossa

Protéger l'utilisateur root

J'ai parlé de Mautic, une alternative open source pour mener des campagnes de marketing numérique. Mon intention était de commencer à expliquer à partir de cet article comment l'installer sur un serveur privé virtuel. Mais, par pur hasard, j'ai découvert quelque chose. Mon hébergeur propose deux types d'images pour la version serveur d'Ubuntu 20.04; l'original et un personnalisé par eux. Leur personnalisation permet de gagner du temps d'installation mais complique inutilement l'installation de Mautic.

Pour faire court, j'ai gaspillé une journée de recherche qui aurait pu me sauver en utilisant l'image originale, mais, comme certains Les choses que j'ai découvertes peuvent être utiles à quelqu'un, je les ai recyclées dans cet article.

Protéger l'utilisateur root

Gestion des utilisateurs

L'une des différences entre l'image originale d'Ubuntu et celle de mon fournisseur d'hébergement est que dans le premier, j'ai choisi mon nom d'utilisateur et mon mot de passe, tandis que dans le second, un utilisateur root a été créé et le mot de passe a été généré automatiquement.

Certaines distributions Linux vous demandent au moment de l'installation deux mots de passe, l'utilisateur et le mot de passe root. L'utilisateur root peut faire absolument tout ce qu'il veut avec le système. Pour des raisons de sécurité il est pratique de limiter l'utilisation et de créer un autre utilisateur qui a des pouvoirs d'administrateur, mais qui peut être retiré en cas de problèmes. C'est pourquoi Ubuntu choisit de ne pas créer ce type d'utilisateur par défaut bien qu'il soit possible de l'ajouter plus tard.

Lorsque vous vous connectez à Ubuntu, Si vous souhaitez apporter des modifications importantes, vous devez indiquer au système d'exploitation que vous disposez des autorisations nécessaires. Cela se fait en mettant le mot de passe dans la fenêtre qui s'ouvre ou en tapant une instruction précédée de la commande sudo dans le terminal.

L'utilisateur root a sa propre commande, su quoi pIl permet d'exécuter n'importe quelle commande non seulement en votre nom mais également au nom de tout autre utilisateur. Une fois que vous avez entré le mot de passe, vous pouvez faire ce que vous voulez avec le système jusqu'à ce que vous saisissiez sortie Dans le terminal.

Au lieu de cela, sudo Il ne peut être exécuté que pour le compte d'un seul utilisateur, une commande à la fois et vous devez réinitialiser le mot de passe toutes les 15 minutes.

Il doit être clair que Ubuntu a un utilisateur root, mais comme il n'a pas de mot de passe configuré, c'est comme s'il n'existait pas. Pour pouvoir l'activer, il vous suffit d'écrire la commande suivante:

sudo passwd root

Créer un nouvel utilisateur avec des pouvoirs d'administrateur

Si vous avez un serveur ou un ordinateur auquel de nombreuses personnes accèdent et, pour une raison quelconque, vous avez activé l'utilisateur root, lou mieux est de prendre des mesures de protection

Pour créer le nouvel utilisateur, nous écrivons la commande
sudo useradd nombre_de_usuario
N'oubliez pas de remplacer le nom d'utilisateur par le nom de votre choix.

Ensuite, nous attribuons un mot de passe
sudo passwd nombre_de_usuario

Le système vous demandera de saisir le mot de passe deux fois. N'oubliez pas que vous utilisez le terminal et que vous ne verrez pas ce que vous tapez.

Le programme proposera d'accepter les valeurs par défaut ou de remplir des informations supplémentaires. Je vous suggère d'accepter les paramètres par défaut.

Nous procédons maintenant à l'attribution des nouveaux pouvoirs d'administrateur utilisateur

usermod -aG sudo username

Protéger l'utilisateur root

Si votre fournisseur d'hébergement a créé un utilisateur root pour vous, il a probablement également généré un mot de passe qui répond à certaines recommandations de sécurité. Il est recommandé de le changer avec la commande
code> sudo passwd root

Gardez à l'esprit les conseils suivants:

  • N'utilisez pas de mots qui se trouvent dans le dictionnaire.
  • Combinez symboles et caractères alphanumériques.
  • Écrivez un mot de passe aussi long que possible et utilisez un gestionnaire pour le stocker.

Vous pouvez verrouiller l'utilisateur root avec la commande suivante
sudo passwd -l root
Et déverrouillez-le en attribuant un nouveau mot de passe avec ceci:

sudo passwd root

Sécuriser l'accès à distance

N'oubliez pas que cet article était destiné à parler des serveurs privés virtuels. Il est possible que votre fournisseur vous autorise à accéder au serveur virtuel à l'aide du navigateur, mais vous aurez très probablement accès à distance à l'aide du protocole SSH.  Une couche de sécurité supplémentaire consiste à désactiver l'utilisation de l'utilisateur root à distance.

Nous faisons cela avec:
sudo nano /etc/ssh/sshd_config

Nous recherchons cette ligne
PermitRootLogin

Et quand nous le trouvons, nous changeons Oui en Non.

Pendant que nous y sommes, recherchez la ligne suivante:
PermitEmptyPasswords

Et assurez-vous qu'il est réglé sur NON

Enregistrer les modifications avec CTRL + X


Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.