La désactivation du compte root sur un système Linux peut sembler contre-intuitive, pourtant, c’est une mesure de sécurité très efficace. De nombreux experts en systèmes d’exploitation Linux s’accordent sur ce point, et il est de plus en plus fréquent de désactiver le compte root pour renforcer la sécurité.
Un système qui ne donne pas d’accès direct au compte root n’est pas pour autant impénétrable, mais il est beaucoup plus difficile pour un attaquant de s’introduire et de causer des dommages majeurs. En effet, même avec un accès via sudo, certaines zones du système restent inaccessibles si le compte root est désactivé.
Prérequis
Avant de désactiver le compte root, il est essentiel de prendre certaines précautions. La première étape consiste à vérifier que tous les utilisateurs ayant la possibilité d’exécuter des commandes sudo possèdent un mot de passe robuste. Un mot de passe faible compromettrait toute la démarche de sécurisation du compte root, et cela serait contre-productif.
La méthode la plus simple pour sécuriser un compte utilisateur est de modifier son mot de passe. Pour cela, ouvrez un terminal et tapez la commande passwd, suivie de votre nom d’utilisateur. Le système vous demandera alors de saisir un nouveau mot de passe.
sudo passwd nom_utilisateur
À l’invite «Entrer un nouveau mot de passe UNIX», choisissez un mot de passe complexe, facile à mémoriser, mais qui ne soit pas un mot du dictionnaire. Évitez également de réutiliser d’anciens mots de passe.
Vous avez du mal à trouver un bon mot de passe pour sécuriser votre compte ? N’hésitez pas à utiliser un générateur de mots de passe sécurisés. C’est un outil gratuit spécialisé dans la création de mots de passe robustes.
Maintenant que les comptes ayant accès à sudo sont protégés par des mots de passe solides, il est temps d’examiner le fichier sudoers. Consultez notre guide dédié pour savoir comment désactiver l’accès sudo pour les comptes que vous jugez peu fiables.
Désactivation du compte root
La désactivation du compte root nécessite un accès superutilisateur. Heureusement, il n’est pas nécessaire de se connecter en tant que root pour désactiver ou brouiller son mot de passe. N’importe quel utilisateur ayant des privilèges sudo peut effectuer cette opération. Pour obtenir un shell de terminal root sans se connecter directement en tant qu’utilisateur root, procédez ainsi dans une fenêtre de terminal :
sudo -s
La commande sudo -s permet à tout utilisateur possédant les autorisations requises d’accéder à l’environnement root et d’exécuter des commandes au niveau du système, exactement comme le ferait l’utilisateur root.
Dans le terminal, utilisez la commande passwd pour désactiver le compte, afin qu’aucun utilisateur du système ne puisse se connecter avec celui-ci.
passwd -l root
Le verrouillage du compte est une méthode efficace pour sécuriser le compte root. Cependant, ce n’est pas la seule. Si vous pensez que le verrouillage n’est pas suffisant, vous pouvez aussi brouiller le mot de passe en lui attribuant une valeur inutilisable. Pour ce faire, entrez la commande suivante dans le terminal :
usermod -p '!' root
Le brouillage du mot de passe est instantané. Dès que la commande usermod s’exécute, le mot de passe root devient invalide.
Une fois le compte root verrouillé, quittez le shell superutilisateur avec la commande exit pour terminer le processus.
Réactivation du compte root
La désactivation du compte root est une bonne pratique de sécurité. Toutefois, il est parfois utile d’y avoir accès, notamment pour pouvoir exploiter pleinement le potentiel de votre système Linux. Si vous décidez de réactiver le compte root, la procédure est simple à inverser.
Dans le terminal, exécutez à nouveau sudo -s, comme précédemment. Cela vous donnera accès au shell superutilisateur. À partir de là, il vous sera possible de déverrouiller le mot de passe.
Utilisez la commande passwd pour déverrouiller le compte root.
passwd root
L’exécution de la commande passwd root va forcer la réinitialisation du mot de passe. Veillez à choisir un mot de passe robuste pour le nouveau mot de passe root. Une fois le mot de passe réinitialisé, quittez le terminal avec la commande exit.
Root : Bonnes pratiques
Désactiver root (ou au minimum sécuriser son mot de passe) est un bon début, mais ce n’est pas suffisant pour garantir une sécurité optimale. Pour protéger au mieux votre système Linux, suivez ces recommandations de base :
Assurez-vous que votre mot de passe root comporte au moins 14 caractères. Plus un mot de passe est long, plus il est difficile à deviner.
Ne réutilisez jamais le même mot de passe pour un compte utilisateur et pour le compte root.
Changez régulièrement vos mots de passe, tous les mois environ, pour tous vos comptes, y compris root.
Utilisez toujours des chiffres, des lettres majuscules et minuscules, ainsi que des symboles dans vos mots de passe.
Créez des comptes d’administrateur spécifiques avec des privilèges sudo pour les utilisateurs qui doivent exécuter des commandes de superutilisateur, au lieu de leur communiquer le mot de passe système.
Protégez vos clés SSH et n’autorisez que les utilisateurs de confiance à se connecter en tant que root via SSH.
Activez l’authentification à deux facteurs lors de la connexion pour éviter toute altération de votre système.
Utilisez pleinement le pare-feu Linux de votre système.