আপনি কিভাবে রুট নামকরণ করবেন?

এটি পরিবর্তন করা খুব ভাল ধারণা নয়, তবে মজাদার জন্য। মতে এই পোস্ট, এখনও আছে এন্ট্রিগুলির পরিবর্তন পরেও কিছু সমস্যা আছে /etc/passwd, /etc/shadowএবং /etc/sudoers। কোন পরামর্শ?

তাত্ত্বিকভাবে, এটা পরিবর্তন /etc/passwdএবং /etc/shadowসব আপনি 'পুনঃনামকরণ' রুট প্রয়োজন হবে। সমস্যাটি দেখা দেয় কারণ অস্তিত্বের ইউনিক্স সফ্টওয়্যারটির প্রতিটি অংশই ধরে নেয় যে 'রুট' ব্যবহারকারীর নামটি উপস্থিত রয়েছে এবং এটি সুপার-ব্যবহারকারী - মেল এলিয়াস, বিভিন্ন ডেমন, ক্রোন ...

আপনি যদি এটি চেষ্টা করার জন্য সত্যই নরক হন, find /etc -type f -exec grep -l root {} +আপনার সম্ভবত পরিবর্তন করতে হবে এমন প্রতিটি কনফিগার ফাইলের একটি তালিকা খুঁজে বের করার একটি ভাল সূচনা হওয়া উচিত - তবে আপনি ইতিমধ্যে বলেছিলেন, প্রায় প্রতিটি অনুমানযোগ্য পরিস্থিতিতে এটি একটি সত্যই খারাপ ধারণা।

আরেকটি চিন্তাভাবনা সম্পাদনা করুন - আপনার যদি ইতিমধ্যে (আপনার থাকা উচিত ) না থাকে তবে নিশ্চিত হয়ে নিন যে /etc/aliasesএতে rootউপস্থিত রয়েছে এবং এমন একটি ব্যবহারকারীর নাম রয়েছে যা উপস্থিত রয়েছে বা সঠিকভাবে মূল্যায়ন করে এমন ইমেল ঠিকানা রয়েছে। প্রচুর স্বয়ংক্রিয় সিস্টেমভিত্তিক কাজ ( cronউদাহরণস্বরূপ) ইমেল দ্বারা তাদের আউটপুট প্রেরণ করে rootযা traditionতিহ্যগতভাবে সিস্টেম প্রশাসকের (i) সিস্টেমের ক্রিয়াকলাপের জন্য দায়ী।

এই সব ভয় ভয়ঙ্কর বলে, "এটি করবেন না!" হাস্যকর। একসময়, হ্যাঁ, এটি সম্ভবত খুব খারাপভাবে লিখিত লিখিত লিপিগুলি ভেঙে ফেলেছিল, তবে আমার সন্দেহ হয় যে এগুলি এখন আর সাধারণ নয়; কমপক্ষে স্ট্যান্ডার্ড বিতরণে না।

আমাদের লিনাক্স সার্ভারের একটি উপসেটে রুট অ্যাকাউন্টটির নতুন নামকরণ করতে বলা হয়েছে। সুতরাং, কীভাবে এটি সঠিকভাবে করা যায় তা নিয়ে গবেষণার চেষ্টা করার পরে, আমি এর পরিবর্তে অনেকগুলি, অনেকগুলি পোস্ট পেয়েছিলাম "এটি করবেন না!" যদি আপনি এটি করা বেছে নেন তবে "খারাপ জিনিস" হরণের প্রচুর ভয়ঙ্কর সতর্কতা সহ। তবে, "খারাপ জিনিস" যা ঘটতে পারে তার সুনির্দিষ্ট উদাহরণ সহ আমি এখনও পাইনি।

সুতরাং, আমাকে ব্যাক আপ করুন এবং আমি কোথায় এবং কীভাবে আমরা এখানে এসেছি তা ব্যাখ্যা করতে দিন। আমরা একটি পিসিআই অনুবর্তী পরিবেশ তৈরি করছি, এবং সেই সরঞ্জামগুলির মধ্যে একটি যা আমাদের "প্রয়োজনীয়তাগুলি" পূরণ করতে সহায়তা করে সেগুলির মধ্যে একটি আমাদের বলছে যে আমাদের মূল এবং প্রশাসক এবং অতিথির অ্যাকাউন্টগুলির অন্য কোনও নামকরণ করতে হবে। পিসিআই সম্পর্কে অশিক্ষিতদের জন্য, আপনার কাছে হয় গাইডলাইন অনুসরণ করার বা ডকুমেন্ট করার বিকল্প রয়েছে কেন আপনি কেন সেই নির্দেশিকাটি অনুসরণ করতে বা বেছে নিতে পারেন না এবং সিস্টেমগুলি সুরক্ষিত রাখতে আপনার কী কী কৌশল প্রশমিত করতে হবে। সুতরাং, আমি বেশিরভাগ জায়গাগুলির ডকুমেন্টটি কল্পনা করেছি যে তারা কেন তাদের মূল অ্যাকাউন্টগুলির নাম পরিবর্তন করতে যাচ্ছেন না, তবে, আমাদের গ্রুপ সিদ্ধান্ত নিয়েছে যে, আমরা যদি সমস্যা ছাড়াই উইন্ডোজ প্রশাসকের অ্যাকাউন্টগুলির নাম পরিবর্তন করতে পারি, তবে লিনাক্সের রুট অ্যাকাউন্টগুলিরও নামকরণ করতে যাচ্ছি।

আমি "অস্পষ্টতার মাধ্যমে সুরক্ষা" যুক্তিগুলিতে পারদর্শী; আমি জানি যে মূল অ্যাকাউন্টের নাম পরিবর্তন করা আসলে খুব বেশি সুরক্ষার উন্নতি করে না, এসএসএইচে রুট অক্ষম করা উচিত, ইত্যাদি I আমি জানি, এটি মূল বিষয় নয়, আমি আরও শুনতে আগ্রহী নই। আমি আরও "আকাশ পড়বে" সতর্কতাগুলিতে আগ্রহী নই। আমি এর মতো বিবৃতি সন্ধান করছি: "> এই খারাপ জিনিসটি <> এই মানক প্যাকেজ <> এর সাথে ঘটবে <(যদি আপনি> এটি না করেন তবে)" "

এখনও অবধি আমার কাছে 3 টি সেন্টস (আরএইচইএল) সিস্টেম রয়েছে যেগুলি রুট অ্যাকাউন্টটির নাম পরিবর্তন করে দেওয়ার ক্ষেত্রে আপাতদৃষ্টিতে কোনও সমস্যা নেই। আমি যা করেছি তা এখানে: আমি অ্যাকাউন্টের নাম / etc / passwd, / etc / ছায়া, / ইত্যাদি / গোষ্ঠী এবং / ইত্যাদি / gshadow পরিবর্তন করেছি। তারপরে / etc / এ নামের মূলের জন্য গ্রেপড করে পোস্টফিক্স এলিয়াস ফাইলটি সংশোধন করা হয়েছে যাতে রুটটি আমাদের নতুন অ্যাকাউন্টের নামের একটি উপনাম ছিল, একে রোজটোরো বলে call (অন্যান্য ইমেল সিস্টেমের জন্যও অনুরূপ কিছু করা উচিত)। আমি এটিও খুঁজে পেয়েছি যে লোগ্রোটেটের জন্য স্বয়ংক্রিয়ভাবে তৈরি হওয়া ফাইলগুলির মালিকানা কাদের উচিত সেগুলি বর্ণনা করার সময় আমার কিছু কনফিগারেশন পরিবর্তন করা দরকার। এবং এটাই আমি এ পর্যন্ত পরিবর্তন করেছি।

আমি অনেকগুলি init.d স্ক্রিপ্ট দেখেছি, কিন্তু কোনও পরিবর্তন হয়নি, এবং বুট করার সময় সবকিছু ঠিকঠাক শুরু হয় বলে মনে হয়। Sudo ব্যবহার করার সময় আমাকে নতুন অ্যাকাউন্টটি নির্দিষ্ট করতে হবে: "sudo -u rojotoro vim / etc / passwd" উদাহরণ হিসাবে, তবে আমার আসলে sudoers ফাইলের মধ্যে কোনও পরিবর্তন করার দরকার পড়েনি। আমি আশা করলাম সেলিনাক্স নিয়ে কিছু সমস্যা রয়েছে যা আমাদের চালু রয়েছে এবং প্রয়োগ করছে তবে এখন পর্যন্ত আমার সেই সিস্টেমটি স্পর্শ করার দরকার নেই।

আমি আরও দেখতে পাচ্ছি যে এমকেদেব বা এমকেএফএস স্ক্রিপ্টগুলিকে সামঞ্জস্য করার দরকার হতে পারে তবে আমি সেগুলি ব্যবহার করার পরিকল্পনা করি না, তাই তাদের প্রাপ্য স্ক্রুটি দিয়ে আমি তাদের দিকে নজর দিইনি।

সেলিনাক্স সক্ষম হওয়া সিস্টেমে কোনও খারাপ প্রভাব ছাড়াই যদি সত্যিই এটি পরিবর্তন করা সহজ হয় তবে সমস্ত ভয় কেন অবিরত থাকবে?

পরামর্শ: এটি করবেন না।

কিছু সরঞ্জাম uid মাধ্যমে মূলের সাথে কথা বলার চেষ্টা করে, সেখানে আপনার সমস্যা হওয়া উচিত নয়। কিছু সরঞ্জাম ধরে নিলে আপনার মূল অ্যাকাউন্টটিকে রুট বলা হয়, এবং এটি ভেঙে যায়। আপনি "মজাদার জন্য" আপনার অর্ধেক সিস্টেমটি পুনরায় কম্পাইল করার জন্য প্রস্তুত না হলে কেবল চেষ্টা করবেন না।

আমার মতে, সবচেয়ে সহজ কাজটি হ'ল ইউআইডি 0 এবং দিয়ে একটি নতুন ব্যবহারকারী (ওরফে) তৈরি করা /root হোম হিসাবে ।

আপনি কেন আপনার রুটের ডিফল্ট শেলটি স্যুইচ করবেন না /bin/falseবা /sbin/nologin(যাতে কেউ এতে লগইন করতে পারে না, তবে সিস্টেমটি এখনও এটি ব্যবহার করে) এবং তৈরি হওয়া নতুন ওরফে লগইন করে?

razvan@naboo ~ $ head -2 /etc/passwd
root:x:0:0:root:/root:/bin/nologin
root2:x:0:0:root:/root:/bin/bash
razvan@naboo ~ $ su -
Password:
su: Authentication failure
razvan@naboo ~ $ su root2
Password:
naboo razvan # whoami
root

আপনি যদি রুটের শেলটি নোলোগিনে পরিবর্তন করেন তবে সুডো, মেল বা ftw ক্ষতিগ্রস্থ হবে না।

লিনাক্স উইন্ডোজ নয় এবং ভবিষ্যতে অজানা সমস্যা তৈরি না করে রুট সহজেই নামকরণ করা যাবে না।

দূরবর্তী এবং এমনকি স্থানীয় লগইনকে রুট হিসাবে অক্ষম করা একটি নিরাপদ পদ্ধতির কারণ এটি সক্রিয়ভাবে অ্যাকাউন্ট রুটটিকে অক্ষম করে! ইউবুন্টু মূলত এটি করে এবং রুট অ্যাক্সেসের পরিবর্তে সুদকে জোর করে।

মূলত কেউ আপনার সিস্টেমে আক্রমণ করতে রুট অ্যাকাউন্ট ব্যবহার করতে পারে না কারণ এটি আর সিস্টেমে লগইন করতে ব্যবহার করা যায় না!

এটি দুর্দান্ত হবে যদি ইনস্টলেশনের পরে মূল অ্যাকাউন্টের নাম সহজেই সংশোধন করার পাশাপাশি এলোমেলোভাবে তার ইউআইডি উত্পন্ন করার জন্য কোনও স্ট্যান্ডার্ড উপায় তৈরি করা হয়েছিল এবং যদি সম্ভব হয় তবে প্রতিটি শীতকালীন ইউআইডি টার্গেটিং প্রতিরোধ করতে পারে তবে বর্তমানে বিদ্যমান নেই।

অ্যাডজাস্টিং / ইত্যাদি / পাসডউইড সংশোধন করুন মূল: x: 0: 0: মূল: / মূল: / বিন / নোলোগিন

কেবলমাত্র ইমার্জেন্সির ব্যবহারের জন্য একটি একক ফ্যালব্যাক অ্যাডমিন অ্যাকাউন্ট তৈরি করুন! fallbackadmin: X: 0: 0: রুট: / রুট দিনঃ / bin / ব্যাশ

সমস্ত অ্যাডমিনদের জন্য sudo প্রয়োগ করুন যাতে পরিবর্তন লগ অডিটিং কার্যকরভাবে জবাবদিহিতা জন্য পরিবর্তনগুলি ট্র্যাক করতে প্রয়োগ করা যেতে পারে!

এটি ডিফল্ট অ্যাডমিন / অতিথি অ্যাকাউন্টগুলি অক্ষম করতে এবং একক জরুরী ব্যবহারের প্রশাসক অ্যাকাউন্ট তৈরি করার জন্য পিসিআই ইউএস গভর্নমেন্টের প্রয়োজনীয়তা প্রয়োগ করে।

নিরীক্ষণের জন্য লগগুলি সংরক্ষণাগারভুক্ত করার এক উপায় হ'ল সেন্ট্রালাইজড এএএ প্রয়োগ না করা হলে সুডো অ্যাকাউন্ট অ্যাক্সেস সহ সমস্ত ব্যবহারকারীদের কাছ থেকে টার্মিনালের ইতিহাস সংগ্রহ করা।

কেবলমাত্র প্রশাসক অ্যাকাউন্টগুলি বাস্তবায়নের সমাধান হ'ল একটি ব্যবহারকারীর কেবলমাত্র অ্যাকাউন্ট তৈরি করা এবং একটি সুডো সক্রিয় অ্যাকাউন্ট তারপরে প্রশাসনিক অ্যাক্সেসের জন্য ব্যবহারকারীকে তার সুডো সক্ষম অ্যাকাউন্টে মামলা করতে বাধ্য করে।

আপনি যদি আরও ভাল সুরক্ষা চান তবে আপনি স্মার্ট কার্ডের প্রমাণীকরণও প্রয়োগ করতে পারেন জিএনইউ / লিনাক্সের জন্য এমন দুটি সলিউশন উপলব্ধ রয়েছে যা দুটি ফ্যাক্টর প্রমাণীকরণের জন্য মার্কিন কমন এক্সেস কার্ড সিএসি সলিউশনগুলির সাথে তুলনা করে।