Как ограничить доступ root?

Question

[MOЛOD]

Купил сервер, а там учетка не из под рута а под пользователем с sudo
вопрос, как ограничить рута? и получиться ли полностью его ограничить чтоб он не смог зайти в консоль по ssh

Comments

[rionnagel]

sudo su
Удалить ключи, поменять пароль, удалить профиль (папку домашнюю)?

Answer 1

[CityCat4]

Рута (юзера с uid = 0) ни в чем ограничить нельзя. От слова совсем.
А вот запретить логин руту удаленно можно и даже нужно. В sshd_config:
PermitRootLogin no

Кроме того, можно запретить логин вообще всем, кроме допустим логина vasya:
AllowUsers vasya
и все. Совершенно неважно, знают они пароль, не знают они пароль - их будет посылать в любом случае.

Comments

[Дмитрий]

Я бы еще запретил доступ к ssh по паролю, оставив только по ключу

[CityCat4]

Дмитрий, Тоже неплохо, особенно когда у тебя рабочий юзер не id27861299, а какой-нибудь bublik

[ValdikSS]

Рута (юзера с uid = 0) ни в чем ограничить нельзя. От слова совсем.

Ответ некорректный. Смотрите мой ответ ниже.

[CityCat4]

ValdikSS, Спасибо, ознакомился со статьей про linux capabilities. Познавательно. Правда, не скажу что я от этого в восторге - два (три, четыре, N) пути предоставить или отобрать привилегию, не связанные друг с другом приведут к удвоению (утроению, учетверению, увеличению в N раз) ошибок, связанных с этим. getfacl/setfacl это прекрасно иллюстрируют - поставишь ACL на файл, потом двадцать раз успееешь забыть и голову ломаешь что же перестало работать?

Answer 2

[Saboteur]

Нет. Неважно как назван рут, это пользователь с UID=0, и у него в любом случае будут ВСЕ права.
Но запретить ему заходить по ssh несложно. Просто пропишите ему пустой пароль и все.
На всякий случай можно даблчекнуть в настройках sshd, что пользователей с пустым паролем не пускают, но по дефолту это и так должно быть отключено

Comments

[MOЛOD]

я прописал nologin и прописал в etc/ssh/sshd_config PermitRootLogin no
но не уверен что это работает

[MOЛOD]

MOЛOD, и обходиться ли это

[Sanes]

MOЛOD, ваш sudo пользователь такой же root. Какой смысл телодвижений? Поменяйте порт и настройте авторизацию по только ключу. Если паранойя не отпускает.

[MOЛOD]

Sanes, я знаю что такое sudo. Вопрос был касаемо root.

[Saboteur]

MOЛOD, ну так попробуйте залогиниться под рутом. Если не выйдет, то все. Не обходится.
"PermitRootLogin no" обходится только если найдут дырку в pam, но вроде как ее нету.

[Sanes]

MOЛOD, так а какая разница? Если под sudo авторизуются, это тоже самое. Авторизоваться смогут, если утечет пароль.

[MOЛOD]

Saboteur, странно но через shell из панели управления я хожу под рутом

[Saboteur]

Sanes, не тоже самое.

[Saboteur]

MOЛOD, панель управления может логиниться своим пользователем (или собственно вашим) и выполнять sudo для шелла.
Тут я не подскажу, надо смотреть как панель управления сделана.
Можно попробовать auth логи проанализировать

[Sanes]

Saboteur, с хрена ли не тоже самое, если я знаю пароль sudo пользователя?

[MOЛOD]

Saboteur, панель управления установил через sudo но она встает от root

[Saboteur]

Sanes, у пользователя нет sudo пароля. У него есть свой пароль.

Но скрипткидди, которые развешивают свои скрипты с перебороми пароля, перебирают пароли к root/toor/admin а не к vasya, misha или sanes

[Saboteur]

MOЛOD, ну так если процесс уже запущен от рута, ему не нужно логиниться на сервер, процесс же уже запущен.

Вы уточните, вы хотите чтобы никто не мог ничего выполнить от имени рута? так не получится. Линукс спроектирован так, что без рута он ничего не сможет.

Или чтобы по ssh нельзя было зайти рутом

[Sanes]

Saboteur, если какое-то дерьмо попало на сервер, ты хоть убейся, ничего уже не поможет.

[Saboteur]

Sanes, да ладно. 99% дерьма лечится легко.

[Sanes]

Saboteur, автор явно не лекарь.

[dubrovski82]

Saboteur, sudo passwd -l root
вот так помогло. а в конфиге не работает. пропускало все равно. сейчас нет

[Saboteur]

dubrovski82, так это просто пароль от рута сменился, а доступ не ограничился.
Если новый пароль узнать или если там ssh ключи настроены, или su работает, то доступ останется

Answer 3

[ValdikSS]

Привилегии в Linux задаются с помощью capabilities. Отобрав все capabilities, можно сделать из root пользователя даже менее привилегированного, чем обычные.

Для управления capabilities есть несколько программ. Можно воспользоваться стандартной capsh.
Следующая команда запустит root-шелл без каких-либо capabilities:

sudo capsh --drop=cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,cap_block_suspend,cap_audit_read -- -c bash

Можно поместить её в скрипт и назначить shell'ом пользователя, если вы понимаете, что делаете, и к чему это приведёт.

Answer 4

[Sanes]

в /etc/ssh/sshd_config все настройки.

Comments

[MOЛOD]

PermitRootLogin no - поменял

[Drill]

MOЛOD,
не забыл сделать? :
systemctl restart sshd

[MOЛOD]

Drill, не забыл

Answer 5

[Дмитрий]

В общем вот Вам мой мини мануал:

Настройка порта SSH

sudo nano /etc/ssh/sshd_config
// Заменить дефолтный (22) порт на кастомный:
Port 112
// Сохранить изменения в файле конфигурации и закрыть его. Не закрывая текущий терминал, нужно перезапустить службу ssh:
sudo service ssh restart
// С помощью нового терминала нужно убедиться в возможности подключения с использованием нового порта и в отсутствии возможности подключения по дефолтному (22) порту. Только после проверки возможности подключения можно закрывать начальный терминал.

Отключение возможности авторизации под root пользователем

sudo nano /etc/ssh/sshd_config
// Для отключения возможности авторизации под root пользователем, внести следующие изменения:
PermitRootLogin no
// Не закрывая текущий терминал, нужно перезапустить службу ssh:
sudo service ssh restart
// С помощью нового терминала нужно убедиться в возможности авторизации под обычным пользователем и в отсутствии возможности авторизации под root пользователем. Только после проверки возможности авторизации можно закрывать начальный терминал.

Добавление SSH ключа пользователя

// Ключи должны быть сгенерированы заранее (например, с помощью «puttygen»)
// Далее необходимо создать в домашнем каталоге пользователя каталог «.ssh»
mkdir ~/.ssh
// И ограничить доступ к нему для остальных пользователей, установив соответствующие права на каталог:
chmod 700 ~/.ssh
// Созать файл «authorized_keys», скопировать в него ПУБЛИЧНЫЙ ключ пользователя, после чего файл сохранить и закрыть:
nano ~/.ssh/authorized_keys
// Далее нужно установить на файл с публичным ключом права только на чтение:
chmod 600 ~/.ssh/authorized_keys
// С этого момента для подключения к серверу можно пользоваться ключами ssh, ввод пароля при этом не потребуется.

Отключение возможности авторизации по логину и паролю

sudo nano /etc/ssh/sshd_config
// Для отключения возможности авторизации по логину и паролю нужно внести следующие изменения:
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no
// Не закрывая текущий терминал, нужно перезапустить службу ssh:
sudo systemctl reload sshd
// С помощью нового терминала следует убедиться в возможности авторизации с помощью ключа и в отсутствии возможности авторизации по логину и паролю. Только после проверки авторизации можно закрывать начальный терминал.

В дальнейшем, ssh авторизация возможна только от имени обычного пользователя (не root) и только с помощью ключа. При попытке авторизации под root соединение будет сброшено, при попытке авторизации с помощью логина и пароля соединение будет сброшено.