Как правильно запретить root? (Пользоваться только sudo)

[genazb]

Как правильно запретить root? Как сделать так что бы первый пользователь был администратором и его пароль по умолчанию использовался для администрирования системы и использования команды sudo. Короче сделать так же как в Ubuntu.

[danger08]

Как правильно запретить root? Как сделать так что бы первый пользователь был администратором и его пароль по умолчанию использовался для администрирования системы и использования команды sudo.

Спрятать рутовский пароль подальше А пользователю назначить привилегии (через sudoers и прочее).
В той же убунте, пользователь root не запрещен глобально (просто его наличие не бросается в глаза обычному пользователю).

[Bleak]

Как правильно запретить root? Как сделать так что бы первый пользователь был администратором и его пароль по умолчанию использовался для администрирования системы и использования команды sudo. Короче сделать так же как в Ubuntu.

гугли на тему sudoers...
вот тут можешь немного посмотреть что бы понять это вам надо или нет:
http://gohdan.ru/gnu_linux/sudo_config.html

[BSDevil]

Код: Выделить всё

bsdevil@bsdevil-laptop:~$ sudo grep -Ev '^#|^ *$' /etc/sudoers
Defaults    env_reset
root    ALL=(ALL) ALL
bsdevil    ALL=(ALL) ALL
bsdevil@bsdevil-laptop:~$ sudo passwd -l root
Пароль изменён.
bsdevil@bsdevil-laptop:~$

Представьте себе ситуацию, по какой-то причине не может подмонтироваться, или не может быть прочитан /home, тогда в систему может зайти только root. Ну и конечно разобраться в сетуации...

Вообще обычно добавляют пользователя в группу wheel и прописывают её в sudoers

Код: Выделить всё

%wheel    ALL=(ALL) ALL

но я хочу чтобы "su" работала от любого юзера добавленного в wheel, а вот "sudo -s", только от меня.

[genazb]

Как правильно запретить root? Как сделать так что бы первый пользователь был администратором и его пароль по умолчанию использовался для администрирования системы и использования команды sudo.

Спрятать рутовский пароль подальше А пользователю назначить привилегии (через sudoers и прочее).
В той же убунте, пользователь root не запрещен глобально (просто его наличие не бросается в глаза обычному пользователю).

Я sudo настроил root запретил sudo passwd -l root, Как дать пользователю права без ущерба для безопасности?

Код: Выделить всё

bsdevil@bsdevil-laptop:~$ sudo grep -Ev '^#|^ *$' /etc/sudoers
Defaults    env_reset
root    ALL=(ALL) ALL
bsdevil    ALL=(ALL) ALL
bsdevil@bsdevil-laptop:~$ sudo passwd -l root
Пароль изменён.
bsdevil@bsdevil-laptop:~$

Представьте себе ситуацию, по какой-то причине не может подмонтироваться, или не может быть прочитан /home, тогда в систему может зайти только root. Ну и конечно разобраться в сетуации...

А как же быть Убунтцам? У них по умолчанию заблокирован root

Вообще обычно добавляют пользователя в группу wheel и прописывают её в sudoers

Код: Выделить всё

%wheel    ALL=(ALL) ALL

но я хочу чтобы "su" работала от любого юзера добавленного в wheel, а вот "sudo -s", только от меня.

Я просто себя прописал в /etc/sudoers

[Rootlexx]

Представьте себе ситуацию, по какой-то причине не может подмонтироваться, или не может быть прочитан /home, тогда в систему может зайти только root. Ну и конечно разобраться в ситуации...

Тогда можно загрузиться в однопользовательском режиме.

[BSDevil]

Представьте себе ситуацию, по какой-то причине не может подмонтироваться, или не может быть прочитан /home, тогда в систему может зайти только root. Ну и конечно разобраться в ситуации...

Тогда можно загрузиться в однопользовательском режиме.

Можно загрузиться с LiveCD и за-chroot'ится на установленную систему. Но все же когда есть root - гораздо удобнее.

А как же быть Убунтцам? У них по умолчанию заблокирован root

Код: Выделить всё

sudo passwd root

И будет root

кстати, после того как выключили root'а, чтобы не было проблем с GUI'шними административными тулзами запускаемыми через gksu (типа synaptic), надо ещё проделать следующее:
запускаем gconf-editor (от пользователя), дальше apps -> gksu -> ставим галку "sudo-mode". Актуально для Gnome.

[drBatty]

Как дать пользователю права без ущерба для безопасности?

никак. по моему ПРОДУМАННОМУ мнению, юзеру НЕЛЬЗЯ давать права суперпользователя. НИКОГДА.
А админ может получать эти права тогда, и только тогда, когда без этого никак - при установке ПО, или при изменении прав юзеров.
ВСЕ остальные случаи(mount, ifup, nmap, gparted, shutdown, обновление, и т.д.) можно прописать отдельно для каждого действия, только локально, и только для одного юзера в sudoers. и с паролем конечно! Конечно это не обезопасит вашу ОС, но это НЕОБХОДИМЫЙ шаг.

ЗЫЖ безопасность убунты ИМХО почти как в вендовс.

ЗЗЫЖ под безопасностью я в первую очередь понимаю устойчивость системы к действиям самого юзера(основная угроза).

[genazb]

Как дать пользователю права без ущерба для безопасности?

никак. по моему ПРОДУМАННОМУ мнению, юзеру НЕЛЬЗЯ давать права суперпользователя. НИКОГДА.
А админ может получать эти права тогда, и только тогда, когда без этого никак - при установке ПО, или при изменении прав юзеров.
ВСЕ остальные случаи(mount, ifup, nmap, gparted, shutdown, обновление, и т.д.) можно прописать отдельно для каждого действия, только локально, и только для одного юзера в sudoers. и с паролем конечно! Конечно это не обезопасит вашу ОС, но это НЕОБХОДИМЫЙ шаг.

ЗЫЖ безопасность убунты ИМХО почти как в вендовс.

ЗЗЫЖ под безопасностью я в первую очередь понимаю устойчивость системы к действиям самого юзера(основная угроза).

Я под безопасностью понимаю работу в сети и все связанные с сетью проблемы.

[mixrin]

Самое уязвимое место в плане безопасности в любой системе - прокладка между креслом и монитором

[Frank]

ЗЫЖ безопасность убунты ИМХО почти как в вендовс.

ЗЗЫЖ под безопасностью я в первую очередь понимаю устойчивость системы к действиям самого юзера(основная угроза).

Прошу назвать дистрибутив, более защищённый от юзера Более того, запрет логина рута в бубунте отсутствием пароля - плюс. Хотя бы не будет повальных root/123 шеллов после установки sshd.

[komcumir]

Как правильно запретить root? Как сделать так что бы первый пользователь был администратором и его пароль по умолчанию использовался для администрирования системы и использования команды sudo. Короче сделать так же как в Ubuntu.

Правильнее будет не делать этого.

[drBatty]

Я под безопасностью понимаю работу в сети и все связанные с сетью проблемы.

это лишь частный случай. большинство опасностей из сети приходят через пользователя... это пользователь что-то не то нажал/не туда пошел.. по ошибке, или по запарке... с вами такого не было? тогда вы сами - компьютер. ну или у вас очень мало опыта(просто часов работы мало, у вас ещё всё впереди).

1)Прошу назвать дистрибутив, более защищённый от юзера
2)Более того, запрет логина рута в бубунте отсутствием пароля - плюс. Хотя бы не будет повальных root/123 шеллов после установки sshd.

1)любой. вот что сделаете вы с моей машинкой локально? учитывая что CD/Floppy у меня нету, а с USB грузится мамка не умеет. А что сделаю я, sudo sed -i ...
даже подумать страшно... Потому испортить(а лучше открыть для себя через сеть) вашу машину - легко и просто(и быстро). Любую другую - практически невозможно(без загрузки с лайва). И вы даже ничего не заметите, хотя в логах и будет 1 строчка от меня, вы её вряд ли отыщите(там ваших полно). даи не факт, что будете искать. Т.ч. вам даже червяков и троянов не надо - вы уже имеете удобное средство проникновения в ВАШУ машину.
2)плюс конечно. но в других дистрах 123 не подходит

#passwd

Новый пароль UNIX :123 НЕВЕРНЫЙ ПАРОЛЬ: it is WAY too short Новый пароль UNIX :crfprf НЕВЕРНЫЙ ПАРОЛЬ: it does not contain enough DIFFERENT characters Новый пароль UNIX :testing123 НЕВЕРНЫЙ ПАРОЛЬ: it is based on a dictionary word Новый пароль UNIX :дебил100 НЕВЕРНЫЙ ПАРОЛЬ: it is based on a dictionary word

не, можно конечно и наплевать на визги системы, вот только, это уже не проблема дистра.
PS: crfprf == сказка
только нерусскими буквами.

[Frank]

drBatty, не в тему
1) При чём тут твоя машина, если я являюсь юзером моей машины? Я спрашиваю, какой дистрибутив будет более защищён от меня (пользователя) чем Убунта, когда я его поставлю на свою машину? Конкретнее, пожалуйста. С аргументами, вида "Дистрибутив ххх, потому что... искаропки"
2)

Код: Выделить всё

frank@frank-desktop:~$ lsb_release -a
No LSB modules are available.
Distributor ID:    Ubuntu
Description:    Ubuntu 9.04
Release:    9.04
Codename:    jaunty
frank@frank-desktop:~$ uname -a
Linux frank-desktop 2.6.28-11-generic #42-Ubuntu SMP Fri Apr 17 01:57:59 UTC 2009 i686 GNU/Linux
frank@frank-desktop:~$ passwd
Смена пароля для frank.
(текущий) пароль UNIX:
Введите новый пароль UNIX:
Повторите новый пароль UNIX:
Требуется выбрать более длинный пароль
Введите новый пароль UNIX:

ы? Оказывается, в убунте минимум длины 6 символов, а ты не знал?
а что можно относительно простые пароли таки задавать, так это баланс между безопасностью и удобством.

[BSDevil]

по поводу безопасности ubuntu: http://mag.com.ua/news285.htm

ИМХО Ubuntu на самом деле очень продуманый дистрибутив, но он жуткий тормоз, хотя бы в сравнении с Debian

[komcumir]

по поводу безопасности ubuntu: http://mag.com.ua/news285.htm

а где там пишется про умолчательные установки? не наблюдаю...

[BlackHawk]

по поводу безопасности ubuntu: http://mag.com.ua/news285.htm

это в сравнении с свистой и macos, что здесь не очень интересно

[drBatty]

При чём тут твоя машина, если я являюсь юзером моей машины? Я спрашиваю, какой дистрибутив

при том, что разница - в дистрибутиве.

в убунте минимум длины 6 символов, а ты не знал?

и только? а словари? а одинаковые буквы? тупо только длинна? 123456 - хороший пароль?

Я спрашиваю, какой дистрибутив будет более защищён от меня (пользователя) чем Убунта, когда я его поставлю на свою машину? Конкретнее, пожалуйста. С аргументами, вида "Дистрибутив ххх, потому что... искаропки"

ну... sudo однострок
этого думаю достаточно?

[drBatty]

А вот взломать операционную систему Ubuntu Linux 7.10 хакерам так и не удалось.

sudo passwd ENTER

[Goodvin]

ИМХО Ubuntu на самом деле очень продуманый дистрибутив, но он жуткий тормоз, хотя бы в сравнении с Debian

С таким же успехом можно было написать "ИМХО на самом деле Солнце - это такой раскаленный галогеновый светильник, который летает вокрут земного шара. Я сам видел."

i	Уведомление от модератора Goodvin
	Потрудитесь, пожалуйста, впредь или обосновывать такие заявления, или оставлять их при себе. Ибо провокация флейма.