Apa itu pengguna root di Linux dan bagaimana cara menggunakannya dengan aman?

Jika Anda sudah menggunakan Linux dalam waktu singkat, cepat atau lambat Anda pasti akan menemukan hal yang terkenal ini. Pengguna root, pengguna super yang dapat melakukan dan membatalkan berbagai hal dalam sistem tanpa batasan yang berarti.Itulah akun misterius yang muncul dalam tutorial, akun yang memungkinkan Anda menginstal paket, mengubah pengaturan yang rumit, atau memperbaiki sistem yang tidak mau booting... tetapi juga dapat merusak mesin Anda hanya dengan satu perintah yang salah ketik.

Di sebagian besar distribusi modern, terutama Ubuntu dan turunannya, masuk langsung sebagai root sudah tidak umum lagi. Sebaliknya, metode yang lebih disukai adalah menggunakan pengguna lain. Gunakan perintah seperti sudo dan su untuk mendapatkan hak akses administrator hanya jika diperlukan.Hal ini mengurangi risiko dan meninggalkan jejak di log sistem. Meskipun demikian, pemahaman yang baik tentang apa itu root, bagaimana perbedaannya dengan sudo dan su, kapan harus menggunakannya, bagaimana cara menonaktifkan akun, dan bagaimana cara memulihkan kata sandi sangat penting jika Anda ingin menavigasi Linux dengan mudah.

Apa itu pengguna root di Linux dan mengapa pengguna ini begitu istimewa?

Dalam sistem mirip Unix mana pun (Linux, BSD, macOS, dll.) terdapat satu superuser dengan peran yang sangat jelas: root adalah akun dengan UID 0 dan otoritas absolut atas semua file, proses, dan sumber daya sistem.Tidak ada batasan izin konvensional; jika root ingin membaca, memodifikasi, atau menghapus sesuatu, ia akan melakukannya.

Dari akun ini Anda dapat Instal dan hapus instalasi program, perbarui sistem, edit file konfigurasi di /etc, kelola layanan, buat dan hapus pengguna, format disk, atau ubah izin penting.Ini setara dengan pengguna "Administrator" di Windows, tetapi dengan kemampuan yang lebih luas untuk mengakses seluk-beluk sistem tanpa batasan.

Oleh karena itu, banyak distribusi seperti Ubuntu memilih Jangan izinkan login root langsung setelah instalasi.Sebaliknya, akun biasa (yang termasuk dalam grup administrator) dibuat dan sudo digunakan untuk melakukan tugas administratif tertentu, sehingga mengurangi risiko.

Pada distribusi lain, seperti Debian dalam konfigurasi klasiknya, biasanya kata sandi untuk root ditentukan selama instalasi, sehingga Pengguna super dapat digunakan langsung di konsol atau untuk beberapa tugas yang sangat spesifik.meskipun sistem itu sendiri juga mendorong penggunaan sudo.

Selain pengguna root dan "manusia", Linux juga menggunakan pengguna sistem tipe layanan (daemon), dengan izin yang sangat terbatasPengguna khusus ini menjalankan proses seperti server web, basis data, atau daemon sistem, sehingga celah keamanan dalam suatu layanan tidak secara otomatis memberikan kendali absolut atas sistem, seperti yang akan terjadi jika semuanya berjalan di bawah hak akses root.

Jenis-jenis pengguna di Linux dan cara mengetahui siapa Anda.

Meskipun secara praktis tampaknya ada banyak jenis akun, pada tingkat izin, pembagiannya sangat jelas: akar di satu sisi dan “sisanya” di sisi lainnyaSecara teknis, setiap pengguna yang tidak memiliki UID 0 adalah pengguna tanpa hak istimewa, meskipun mereka mungkin memiliki izin tambahan tertentu berkat sudo.

Akun pekerjaan yang biasa adalah pengguna biasa dengan izin terbatas pada sistem fileMereka dapat mengelola file pribadi mereka, menjalankan aplikasi, menggunakan jaringan, dan, jika mereka berada dalam grup yang sesuai, menggunakan sudo untuk mendapatkan hak akses tambahan untuk tugas-tugas tertentu.

Pengguna super root adalah akun administrasi globalAkun ini tidak ditujukan untuk penggunaan sehari-hari, melainkan untuk pemeliharaan, konfigurasi tingkat lanjut, atau operasi pemulihan. Oleh karena itu, banyak distribusi Linux membuat akses langsung ke akun ini sedikit lebih rumit, untuk menghindari kejutan bagi pengguna pemula dan membatasi dampak kesalahan manusia.

Jika Anda ragu tentang pengguna mana yang sedang Anda gunakan di terminal, Anda dapat melihat Prompt shell: jika diakhiri dengan $, Anda menggunakan akun biasa, dan jika diakhiri dengan #, Anda berada di bawah root.Anda juga dapat menjalankan perintah tersebut. whoami atau periksa pengidentifikasi numerik dengan identitas -uJika Anda mendapatkan "root" atau "0", Anda berada dalam mode superuser.

Selain itu, perintah tersebut biasanya menunjukkan nama pengguna, nama komputer, direktori saat ini, dan simbol $ atau #Sebagai contoh, sesuatu seperti alumno@equipo:/home/alumno$ menunjukkan pengguna biasa, sedangkan root@equipo:/root# Ini mencerminkan sesi administrasi langsung.

root, sudo, dan su: fungsi masing-masing dan kapan menggunakannya

Dalam penggunaan sehari-hari, kita biasanya tidak selalu mengetikkan kata sandi root. Sebaliknya, sebagian besar distribusi modern memilih untuk Meningkatkan hak akses sementara dari akun biasa menggunakan alat seperti sudo dan su.Meskipun terkadang digunakan secara bergantian dalam percakapan, keduanya memiliki peran yang berbeda dan penting untuk membedakannya dengan jelas.

Perintah sudo (super user do) memungkinkan pengguna yang berwenang untuk mengeksekusi perintah khusus dengan izin pengguna lain, biasanya rootDengan melakukan hal tersebut, sistem mencatat apa yang telah dieksekusi, siapa yang meluncurkannya, dan kapan, sehingga meninggalkan catatan dalam log keamanan sistem.

Untuk bagiannya, pengguna pengganti Anda Ini dirancang untuk mengubah identitas pengguna dalam sesi terminal yang samaJika Anda menjalankannya tanpa parameter, biasanya program akan mencoba beralih ke root (meminta kata sandi). Jika Anda memberikan nama pengguna, Anda akan beralih ke akun tersebut, dengan izin dan lingkungannya.

Cara kerja sudo dan mengapa sudo sangat penting

Pada sistem seperti Ubuntu, termasuk dalam grup sudo (atau “admin” di versi lama) berarti bahwa akun ini dapat Jalankan perintah sebagai root dengan memasukkan kata sandi pengguna Anda sendiri.tanpa perlu mengetahui kata sandi superuser. Aturan yang mengatur apa yang dapat dilakukan setiap orang didefinisikan dalam file tersebut. / etc / sudoers, yang diedit dengan aman menggunakan perintah visudo.

Untuk menggunakannya, cukup letakkan kata tersebut di depannya. Gunakan sudo sebelum perintah yang membutuhkan hak akses administrator.Sebagai contoh, instalasi paket biasanya dilakukan seperti ini:

sudo apt install vlc

Dalam hal ini, apt berjalan sebagai root, menulis ke direktori sistem seperti /usr atau /var dan mencatat perubahan ke basis data paket, meskipun Anda masih masuk dengan pengguna biasa Anda. Setelah pesanan selesai, Anda akan secara otomatis kembali ke izin normal Anda..

Selain itu, sudo mengimplementasikan sebuah fitur kecil. “masa anugerah”Setelah memasukkan kata sandi Anda, Anda dapat menjalankan `sudo` lagi selama beberapa menit tanpa diminta lagi. Ini mempercepat administrasi, tetapi juga menimbulkan sedikit kerentanan jika seseorang mengakses komputer Anda selama waktu tersebut. Jika Anda ingin memperketat kebijakan ini, Anda dapat mengatur masa tenggang menjadi nol dengan mengedit `sudoers` dengan:

Defaults:ALL timestamp_timeout=0

De esta Manera, Setiap kali Anda menggunakan sudo, Anda harus melakukan autentikasi lagi., agak lebih rumit tetapi lebih aman di lingkungan yang sensitif atau banyak pengguna.

Perintah `su` dan peralihan lengkap ke akun lain

Perintah "su", di sisi lain, Program ini tidak mengeksekusi satu perintah pun, melainkan membuka shell baru dengan identitas pengguna lain.Jika hal itu dilakukan "tanpa paksaan":

su

Sistem menganggap Anda ingin beralih ke root, dan oleh karena itu Anda akan diminta memasukkan kata sandi superuser.Jika proses login berhasil, Anda akan melihat simbol prompt berubah menjadi #, dan mulai saat itu, setiap perintah yang Anda jalankan akan dilakukan dengan hak akses root hingga Anda keluar. keluar.

Anda juga dapat menentukan pengguna tertentu:

su nombreusuario

Ini sangat berguna ketika Anda mengelola layanan yang berjalan dengan akunnya sendiri (misalnya, postgres, www-data, dll.) dan Anda perlu beroperasi seperti layanan tersebut tanpa menutup sesi utama Anda.Sekali lagi, setelah selesai, menggunakan perintah exit akan mengembalikan Anda ke pengguna sebelumnya.

Pada sistem di mana akses root terkunci atau tidak memiliki kata sandi (seperti banyak instalasi Ubuntu), Anda tidak akan dapat beralih langsung ke akun tersebut dengan `su`. Dalam kasus tersebut, pendekatan yang biasa dilakukan adalah keringat rantai dan miliknya, misalnya:

sudo su o sudo -i

Dengan perintah-perintah ini, Anda memasukkan kata sandi pengguna Anda (bukan kata sandi root) dan mendapatkan shell administratif dengan lingkungan yang mirip dengan login root langsung. Ini sangat nyaman jika Anda akan melakukan beberapa tindakan secara berurutan, tetapi juga lebih berbahaya, jadi disarankan untuk keluar dari sesi root segera setelah Anda selesai.

Kapan penggunaan root, sudo, atau su masuk akal?

Teorinya bagus, tetapi dalam kehidupan sehari-hari yang terpenting adalah... Alat mana yang harus digunakan dalam setiap situasi spesifik agar dapat bekerja dengan cepat tanpa membahayakan sistem.Sebagai aturan umum, jika memungkinkan, gunakan sudo untuk perintah tertentu dan hindari shell root yang terus berjalan; jika Anda ingin mempelajarinya lebih dalam Kapan dan mengapa harus menghindari keringat?, lihat panduan itu.

Misalnya, untuk menginstal atau memperbarui perangkat lunak Pada distribusi berbasis Debian atau Ubuntu, praktik yang umum dilakukan adalah:

sudo apt update
sudo apt upgrade
sudo apt install gparted

Dalam skenario ini, masuk sebagai root secara permanen tidak memberikan banyak manfaat. Anda mendapatkan sedikit kemudahan, tetapi Anda melipatgandakan risiko menghapus atau memodifikasi sesuatu yang seharusnya tidak Anda lakukan..

Anda juga akan menggunakan sudo saat mengedit file konfigurasi sistem, misalnya:

sudo nano /etc/hosts
sudo nano /etc/ssh/sshd_config

Dengan cara ini, hanya editor yang berjalan dengan hak akses superuser, dan ketika Anda menutupnya, Anda kembali ke tingkat hak akses normal Anda.

Sebaliknya, `su` (atau `sudo -i`) dapat berguna ketika Anda akan merangkai banyak operasi administratif. Menambahkan `sudo` sebelum setiap perintah akan merepotkan. Misalnya, saat melakukan tugas pemeliharaan yang kompleks, mengelola banyak akun, bekerja dengan partisi, dll. Meskipun demikian, ada baiknya membatasi waktu yang Anda habiskan dalam mode tersebut dan keluar segera setelah selesai.

Detail operasional yang sangat praktis adalah, jika Anda tidak yakin apakah Anda seorang root atau bukan, Anda dapat menjalankan perintah berikut: whoami o identitas -uJika Anda mendapatkan "root" atau "0", Anda harus sangat berhati-hati sebelum mengetikkan sesuatu yang merusak.

Tampilkan tanda bintang saat mengetik kata sandi dengan sudo

Secara default, banyak distribusi (termasuk Ubuntu) Tidak ada karakter yang ditampilkan saat Anda mengetikkan kata sandi ke dalam konsol.Tidak ada titik atau tanda bintang. Hal ini dilakukan untuk menghindari terungkapnya panjang tombol, meskipun dalam praktiknya banyak pengguna merasa hal ini tidak nyaman karena mereka tidak memiliki konfirmasi visual bahwa mereka sedang mengetik.

Sejak beberapa waktu lalu, sudo telah menawarkan opsi yang disebut pwfeedback Ini memungkinkan tanda bintang ditampilkan di layar saat kata sandi dimasukkan. Beberapa rilis Ubuntu terbaru telah mulai mengaktifkan fitur ini, tetapi Anda dapat mengaktifkannya sendiri di sistem mana pun dengan memodifikasi konfigurasi sudo:

1. Buka editor konfigurasi aman dengan:

sudo visudo

2. Di dalam file yang terbuka (biasanya /etc/sudoers), tambahkan baris seperti ini:

Defaults pwfeedback

3. Simpan dan tutup. Mulai saat itu, Setiap karakter yang Anda ketik saat memasukkan kata sandi sudo akan diwakili oleh tanda bintang (*).Jika nanti Anda lebih suka kembali ke perilaku klasik (tanpa gema visual), cukup hapus baris tersebut dan simpan file lagi dengan Visudo.

Kustomisasi ini tidak memengaruhi keamanan kriptografi sudo, tetapi memang demikian. Hal ini dapat meningkatkan kemudahan penggunaan bagi mereka yang lebih suka mendapatkan konfirmasi visual atas apa yang mereka ketik.khususnya pada keyboard tanpa lampu latar atau saat mengetik dari terminal jarak jauh.

Risiko nyata menggunakan root secara sembarangan

Akun root sama kuatnya dengan bahayanya. Linux dirancang dengan lapisan perlindungan untuk mempersulit pengguna biasa merusak sistem secara tidak sengaja, tetapi Ketika Anda meningkatkan hak akses, hambatan-hambatan tersebut hilang dan kelalaian sekecil apa pun dapat berubah menjadi bencana..

Risiko serius pertama adalah Penghapusan file atau direktori penting secara tidak sengajaPerintah seperti rm -rf / o rm -rf /* Perintah-perintah tersebut terkenal justru karena, jika dijalankan sebagai root, perintah tersebut dapat menghapus hampir semua isi sistem file dalam hitungan detik. Tetapi tidak perlu sampai sejauh itu: cukup salah ketik jalur atau biarkan variabel kosong, misalnya:

rm -rf $directorio/*

Jika `$directory` tidak didefinisikan seperti yang Anda harapkan, perintah tersebut mungkin mengarah ke lokasi yang sama sekali berbeda dari yang Anda inginkan. Sebagai root, sistem tidak akan terlalu merepotkan Anda, dan setelah perintah selesai, Pemulihan biasanya sangat sulit atau bahkan tidak mungkin. tanpa cadangan atau alat forensik.

Bahaya penting lainnya adalah Eksekusi perangkat lunak atau skrip berbahaya dengan hak akses penuh.Mengunduh program instalasi dari situs web yang tidak dikenal dan menjalankannya dengan sudo atau dari shell root memberikan kendali penuh pada kode tersebut: program tersebut dapat menginstal rootkit, backdoor, keylogger, memodifikasi kernel, atau bersembunyi jauh di dalam sistem. Seringkali, pada saat masalah ditemukan, penyerang sudah berada di dalam sistem untuk beberapa waktu.

Anda juga harus berhati-hati ketika Ubah izin file penting dengan chmod atau chownPesanan seperti chmod 000 /etc Manipulasi yang tidak tepat terhadap /boot, bootloader GRUB, atau /etc/passwd dapat menyebabkan sistem tidak dapat melakukan booting. Dalam kasus seperti itu, bahkan booting dari LiveCD pun tidak menjamin perbaikan yang mudah; di lingkungan produksi, layanan pemulihan profesional mungkin diperlukan.

Terakhir, dari perspektif audit, masuk langsung sebagai root menghilangkan banyak jejak penelusuran. Saat Anda menggunakan sudo, setiap perintah akan dicatat beserta pengguna yang menjalankannya.Jika semuanya dilakukan sebagai root tanpa menggunakan sudo, log hanya akan menyatakan bahwa "root melakukan sesuatu", tetapi tidak menyebutkan siapa yang berada di balik keyboard, yang mempersulit penyelidikan dan kepatuhan terhadap peraturan keamanan.

Aktifkan, nonaktifkan, dan kunci akun root.

Tergantung pada distribusi Linux Anda, akun root mungkin adalah... Diaktifkan dengan kata sandi, terkunci, atau tanpa kunci yang ditetapkan.Pada sistem seperti Ubuntu, akses root biasanya dinonaktifkan untuk login langsung, sedangkan pada distribusi lain, kata sandi ditentukan selama instalasi.

Jika akun root terkunci di komputer Anda, Anda dapat mengaktifkannya dari pengguna dengan hak akses sudo dengan menjalankan perintah berikut:

sudo passwd root

Sistem akan terlebih dahulu meminta kata sandi pengguna Anda, lalu meminta Anda untuk memasukkan dan mengkonfirmasi kata sandi root yang baru. Mulai saat itu, Akun akan diaktifkan dan Anda dapat masuk sebagai superuser di terminal virtual atau, dalam beberapa kasus, bahkan di antarmuka grafis.Meskipun yang terakhir sangat tidak disarankan.

Jika Anda memutuskan tidak lagi menginginkan akses root, Anda dapat mengunci kembali akun tersebut dengan:

sudo passwd -l root

Parameter -l memblokir akses dengan mengaitkan kata sandi yang tidak valid, sehingga Anda tidak dapat masuk sebagai root, baik dengan `su` maupun di layar masuk.Namun, pengguna yang berwenang masih dapat menggunakan sudo untuk mengelola sistem, sehingga Anda tidak akan kekurangan cara untuk melakukan tugas pemeliharaan.

Beberapa distribusi juga menawarkan opsi untuk menonaktifkan dan mengaktifkan kembali akses root dengan kombinasi seperti sudo passwd -dl root o sudo passwd -u root untuk membukanya. Bagaimanapun juga, Rekomendasi umum adalah untuk tetap mengunci akses root dan selalu bekerja dengan sudo kecuali dalam kasus-kasus yang sangat spesifik., seperti lingkungan penyelamatan atau pemulihan untuk sistem yang rusak parah.

Pulihkan atau ubah kata sandi root.

Mungkin saja terjadi itu baik Anda lupa kata sandi root, menonaktifkannya, atau hanya perlu mendefinisikannya ulang pada server yang konfigurasi aslinya kini telah dilupakan. Linux menawarkan beberapa cara untuk melakukan ini, tergantung pada apakah sistem melakukan booting atau jika Anda perlu menggunakan perangkat eksternal.

Jika mesin Anda masih mencapai pengelola boot GRUB, opsi yang sangat umum adalah memanfaatkan mode pemulihanDengan memilih varian ini di menu lanjutan, sistem akan memulai lingkungan yang disederhanakan dan menawarkan Anda opsi untuk mendapatkan konsol dengan hak akses superuser.

Setelah berada di dalam cangkang itu, hal pertama yang harus dilakukan adalah... Pasang ulang sistem file dengan izin tulis.karena seringkali dalam mode baca saja:

mount -o rw,remount /

Kemudian, Anda dapat menjalankan perintah standar untuk mengatur kata sandi baru:

passwd root

Masukkan kunci baru dua kali, dan untuk memastikan perubahan tersimpan ke disk, gunakan:

sync
reboot

Saat me-reboot, Akun root akan memiliki kata sandi yang baru saja Anda atur.sehingga Anda dapat menggunakannya bila diperlukan (idealnya, secukupnya dan dengan hati-hati).

Jika sistem bahkan tidak mau menyala, Anda dapat menggunakan cara berikut: LiveCD atau LiveUSB dari distribusi LinuxSebagai contoh, Ubuntu. Boot dari media tersebut, pilih opsi "Coba" tanpa menginstal, dan buka terminal. Biasanya, Anda pertama kali menjadi root di lingkungan live dengan perintah:

sudo su

Selanjutnya, Anda perlu menemukan partisi tempat sistem yang akan diperbaiki diinstal, menggunakan perintah seperti:

fdisk -l

Setelah Anda mengidentifikasi perangkat yang benar (misalnya, /dev/sda1), pasang perangkat tersebut di folder kerja:

mkdir /mnt/recover
mount /dev/sda1 /mnt/recover

Langkah selanjutnya adalah “ubah root” lingkungan ke partisi yang terpasangagar passwd bertindak pada sistem yang terpasang dan bukan pada lingkungan yang sedang berjalan:

chroot /mnt/recover

Dari situ Anda bisa berlari:

passwd root

untuk mengatur kata sandi baru. Setelah keluar dari chroot dan memulai ulang, Sistem asli akan dimulai dengan kredensial superuser yang telah diperbarui.Ini adalah manuver yang sangat ampuh untuk menyelamatkan mesin yang terkunci, tetapi juga menyoroti mengapa sangat penting untuk melindungi akses fisik dan booting dari media eksternal pada server-server penting.

Akses root di Ubuntu dan kebijakan keamanan

Ubuntu dan banyak turunannya (Xubuntu, Kubuntu, Linux Mint, dll.) telah membangun model keamanannya berdasarkan gagasan yang sangat jelas: Hak akses root memang ada, tetapi hampir selalu digunakan secara tidak langsung melalui sudo.Hal ini memiliki beberapa keunggulan praktis dan keamanan.

Dalam instalasi standar, Tidak ada kata sandi yang ditentukan untuk root.Hal ini mencegah pengguna untuk masuk langsung dengan akun ini baik di terminal TTY maupun lingkungan grafis. Sebagai gantinya, pengguna pertama yang dibuat selama instalasi ditambahkan ke grup sudo, dan semua pekerjaan administratif dilakukan dengan meningkatkan hak akses dari akun tersebut.

Pendekatan ini mengurangi permukaan serangan Ini melindungi dari serangan brute-force pada akun root (misalnya, melalui SSH) dan meminimalkan kemungkinan kesalahan manusia yang dapat berakibat fatal, karena memaksa administrator untuk berpikir setiap kali mereka menggunakan sudo.

Dalam konteks yang sangat spesifik (laboratorium, lingkungan penyelamatan, mesin yang sangat terisolasi), hal itu mungkin dapat dibenarkan. Tetapkan kata sandi untuk root dengan sudo passwd root dan memungkinkan login langsung, tetapi sebaiknya anggap ini sebagai tindakan sementara. Setelah masalah teratasi, lebih baik untuk mengunci kembali akun dan melanjutkan pekerjaan dengan sudo.

Selain itu, untuk tugas-tugas yang memerlukan shell root yang tetap aktif, Ubuntu menyediakan perintah-perintah seperti:

sudo -i o sudo su -

bahwa Mereka mensimulasikan login root penuh, dengan lingkungan dan PATH mereka sendiri.Ini berguna untuk skrip dan alat yang mengharapkan berada di lingkungan root "murni" agar berfungsi dengan benar tanpa perlu mengaktifkan login langsung permanen.

Akses root melalui SSH: mengaktifkan, menonaktifkan, dan mengamankan

Pada server jarak jauh, masalah akses root menjadi semakin penting. Secara default, sebagian besar instalasi Ubuntu Mereka menonaktifkan login root langsung melalui SSH.Ini memaksa Anda untuk masuk dengan akun pengguna biasa dan kemudian menggunakan sudo. Ini adalah langkah keamanan penting untuk mencegah serangan otomatis.

Jika, karena alasan yang sangat beralasan, Anda perlu mengaktifkan akses tersebut, proses dasarnya melibatkan langkah-langkah berikut: pertama tetapkan kata sandi untuk root Jika Anda tidak memilikinya:

sudo passwd root

Kemudian, edit konfigurasi server SSH:

sudo nano /etc/ssh/sshd_config

Di dalam file ini, carilah arahan tersebut. IzinRootLoginJika baris tersebut dikomentari atau berada di dalam "prohibit-password", Anda dapat mengubahnya menjadi:

PermitRootLogin yes

Simpan perubahan dan mulai ulang layanan:

sudo systemctl restart ssh

Dari situ, Anda dapat masuk langsung sebagai root melalui SSH, sesuatu yang Hal ini menimbulkan kerentanan yang cukup besar jika hanya digunakan dengan kata sandi.Minimal yang dapat diterima dalam kasus ini adalah menggabungkannya dengan otentikasi kunci publik dan, jika memungkinkan, membatasi akses berdasarkan IP atau melalui bastion atau VPN.

Untuk membalikkan situasi dan memperkuat keamanan, sunting ulang / etc / ssh / sshd_config dan konfigurasikan:

PermitRootLogin no

Atau, jika Anda ingin secara subyektif hanya mengizinkan akses kunci:

PermitRootLogin prohibit-password

Sekali lagi, mulai ulang SSH dan, jika Anda ingin melangkah lebih jauh, kunci juga akun root lokal dengan:

sudo passwd -l root

Dengan demikian, Semua tugas administrasi jarak jauh harus melalui pengguna biasa dan hak akses sudo., terdaftar dan tunduk pada aturan berkas sudoers.

Praktik terbaik saat menggunakan hak akses superuser

Menguasai hak akses root, sudo, dan su bukan hanya tentang menghafal perintah, tetapi tentang... Terapkan kebiasaan yang meminimalkan risiko saat bekerja dengan hak akses tinggi.Ada beberapa praktik masuk akal yang layak diintegrasikan ke dalam rutinitas harian Anda.

Hal terpenting adalah selalu menerapkan prinsip hak istimewa paling sedikit: hanya memiliki izin yang diperlukan, dan hanya selama benar-benar diperlukan. Diterjemahkan ke Linux, ini berarti menggunakan `sudo` untuk perintah terisolasi kapan pun memungkinkan dan menghindari berada di shell root untuk jangka waktu yang lama tanpa perlu.

Ini juga merupakan kunci Jangan pernah menjalankan skrip atau file biner dari sumber yang mencurigakan sebagai root.Sebelum menjalankan cuplikan kode yang Anda salin dari internet, buka dengan editor teks dan periksa persis apa yang dilakukannya. Jika Anda tidak memahami bagian mana pun, waspadai hal tersebut. Untuk perangkat lunak yang diunduh, selalu usahakan untuk mendapatkannya dari repositori resmi, situs web proyek, atau sumber terpercaya lainnya, dan verifikasi checksum jika pengembang mempublikasikannya.

Jika Anda memiliki kemungkinan, Pertama, uji skrip atau manual di lingkungan yang terisolasi. (mesin virtual, kontainer Docker, lingkungan pengujian) sebelum menerapkannya ke server produksi atau mesin utama Anda, dan konsultasikan dengan ahli. Trik perangkat lunak LinuxIni bisa menyelamatkan Anda dari banyak masalah.

Pada server dengan banyak administrator, disarankan untuk melakukan langkah lebih lanjut dan mengkonfigurasi sweater secara terperinciHal ini memungkinkan setiap orang untuk hanya menjalankan perintah yang benar-benar mereka butuhkan. Ini membatasi potensi kerusakan akibat kesalahan atau akun yang diretas, dan juga menjaga keterlacakan siapa yang melakukan apa pada waktu tertentu.

Dengan memantau aspek-aspek ini dan menghargai gagasan bahwa Root adalah alat untuk situasi spesifik, bukan pengguna yang siap diuji untuk tugas sehari-hari.Anda dapat memanfaatkan sepenuhnya fleksibilitas Linux tanpa membahayakan stabilitas dan keamanan sistem Anda secara tidak perlu.

Ekosistem Linux sangat bergantung pada pemisahan antara pengguna biasa dan superuser, serta pada mekanisme seperti sudo dan su untuk beralih di antara keduanya hanya bila diperlukan; memahami cara kerja root, kapan harus menggunakannya, bagaimana membatasi eksposurnya, dan bagaimana memulihkannya jika terjadi keadaan darurat adalah kunci penting untuk mengelola distribusi apa pun dengan bijak, baik di laptop pribadi Anda maupun di server produksi yang kritis.