การ Lock user root ไม่ให้ login หน้า Console ใน Linux
เป็นการป้องกันระบบ Server ในอีกรูปหนึ่ง ที่เพิ่มความปลอดภัยให้มีความแข็งแกร่งมากขึ้น เมื่อคนที่ไม่เกี่ยวข้องกับระบบ เข้าถึงหน้าจอ Console แล้วใช้ user root login system ได้ อะไรจะเกิดขึ้น
การ lock user root เป็นเพียงการไม่ให้ root login ได้เท่านั้น แต่ไม่ได้ปิดสิทธิ์ต่าง ๆ ของ root หมายความว่า เราต้องกำหนดให้ user สักคน login console และ remote shell ได้ เพื่อทำหน้าที่แทน root เช่น กำหนดให้ user: A มีสิทธิ์ login console และ remote shell ได้ แล้วก็เพิ่มสิทธิ์ให้ user A ใช้ sudo, ssh, scp,sftp, เพื่อเปลี่ยนสิทธิเป็น root ได้
เท่านี้ ระบบก็มีความปลอดภัยขึ้น เพราะสามารถระบุตัวผู้ Access system ได้
1. การ lock user root ใช้คำสั่งดังนี้ (Redhad, CentOs, Debain, Ubuntu)
passwd -l root
ตรวจสอบว่า status user root ด้วยคำสั่ง passwd -S root จะแสดง status LK (Password locked) คือ user root โดน lock อยู่ดังภาพด้านล่าง
ลอง login หน้าจอ console user root ไม่สามารถ login ได้ ดูรูปด้านล่าง
Debian
ตรวจสอบว่า status user root ด้วยคำสั่ง passwd -S root จะแสดง status L คือ user root โดน lock อยู่
ดังภาพด้านล่าง ดังภาพด้านล่าง
1. การ unlock user root ใช้คำสั่งดังนี้ (Redhad, CentOs, Debain, Ubuntu)
CentOs
passwd -u root
ตรวจสอบว่า status user root อีกครั้งด้วยคำสั่ง passwd -S root จะแสดง status PS (Password set) คือ user root ไม่ได้โดน lock อยู่ ดังภาพด้านล่างดังภาพด้านล่าง
Debian
ตรวจสอบว่า status user root ด้วยคำสั่ง passwd -S root จะแสดง status P คือ user root ไม่ได้โดน lock อยู่ ดังภาพด้านล่างดังภาพด้านล่าง
ตัวอย่าง user ที่เรากำหนดไว้ให้ login console และ remote shell สามารถใช้ sudo, ssh, scp,sftp, เพื่อเปลี่ยนสิทธิเป็น root ได้
* กรณี ต้องการให้ใช้ su ได้ ต้องลบค่า configure ที่อยู่ในไฟล์ /etc/securetty ออกให้หมด ดังนี้
cp /etc/securetty /etc/securetty.bak
vim /etc/securetty ลบข้อมูลออกให้หมด เป็นค่าว่าง
Ref.