La désactivation du compte root sur un système Linux peut sembler fou, mais c’est là que vous vous trompez. Il s’avère que la désactivation de l’utilisateur root est une mesure de sécurité solide. En fait, de nombreux développeurs de systèmes d’exploitation Linux sont d’accord sur le sujet de l’utilisateur root, et il est de plus en plus courant de désactiver le compte root sur ces systèmes.
Un système sans ligne directe vers l’utilisateur root n’est pas à l’abri des attaques, bien que les chances soient considérablement réduites qu’un attaquant puisse entrer dans le système et le gâcher totalement. Ceci est principalement dû au fait que même avec l’accès à sudo, certaines zones du système ne sont pas modifiables si vous désactivez le compte root sous Linux.
Table des matières
Conditions préalables
Avant de désactiver le compte root sur le système, certaines choses doivent être prises en compte. La première étape de ce processus consiste à s’assurer que tous les utilisateurs ayant la possibilité d’exécuter des commandes sudo avoir un mot de passe sécurisé. Avoir un mot de passe utilisateur faible annulera la sécurisation du compte root, et c’est une mauvaise nouvelle.
Le moyen le plus rapide de sécuriser un compte utilisateur est de simplement changer le mot de passe. Pour ce faire, ouvrez un nouveau terminal et exécutez le passwd commande, ainsi que votre nom d’utilisateur. Cela forcera le système à se réinitialiser avec un nouveau mot de passe saisi par l’utilisateur.
sudo passwd username
À l’invite «entrer un nouveau mot de passe UNIX», entrez un mot de passe système mémorable et non un mot du dictionnaire. De plus, essayez de ne pas réutiliser d’anciens mots de passe.
Vous avez du mal à trouver un bon mot de passe pour sécuriser votre compte utilisateur? Expérimenter Générateur de mot de passe sécurisé. Il se spécialise dans la création de mots de passe intelligents et sécurisés gratuitement!
Maintenant que les noms d’utilisateur avec accès à sudo avoir des mots de passe sécurisés, il est temps de revoir le fichier sudoers. Consultez notre guide ici et découvrez comment désactiver sudo l’accès pour tous les comptes que vous estimez indignes d’exécuter des commandes de niveau racine.
Désactiver le compte racine
La désactivation du compte root nécessite une forme d’accès superutilisateur. Heureusement, la désactivation et le brouillage du mot de passe ne nécessitent pas spécifiquement de se connecter en tant qu’utilisateur root. Au lieu de cela, tout utilisateur du système ayant accès à sudo fonctionnera. Pour obtenir un shell de terminal racine sans vous connecter en tant qu’utilisateur système racine, procédez comme suit dans une fenêtre de terminal:
sudo -s
L’exécution de sudo -s permet à tout utilisateur disposant des privilèges appropriés d’accéder à root et d’exécuter des commandes au niveau du système, tout comme un utilisateur root peut le faire.
Dans le terminal, utilisez la commande passwd et désactivez le compte afin qu’aucun utilisateur du système n’ait la possibilité de s’y connecter.
passwd -l root
Le verrouillage du compte est un moyen solide de sécuriser le compte root. Cependant, ce n’est pas le seul moyen de le sécuriser. Si vous pensez que le verrouillage ne sera pas assez efficace, brouiller et donner au compte un mot de passe inutilisable est la voie à suivre. Pour brouiller le compte root, entrez la commande suivante dans un terminal:
usermod -p '!' root
Le brouillage du mot de passe est instantané. Dès que la commande usermod se termine, le mot de passe root est inaccessible.
Vous avez terminé de verrouiller le compte root? Quittez le shell du superutilisateur avec la commande exit pour terminer le processus.
Réactiver la racine
La désactivation du compte root est une bonne pratique de sécurité. Pourtant, y avoir accès a ses avantages. Principalement, la possibilité de modifier votre système Linux à son plein potentiel. Si vous avez décidé de réactiver le compte root sur votre PC Linux, le processus est facile à inverser.
Dans le terminal, exécutez sudo -s, comme la dernière fois. Cela permet au superutilisateur du terminal d’accéder. À partir de là, il sera possible de désembrouiller le mot de passe.
À l’aide de la commande passwd, déverrouillez le compte racine.
passwd root
L’exécution de la commande passwd root force une réinitialisation du mot de passe. Assurez-vous de définir le nouveau mot de passe root sur quelque chose de sécurisé. Lorsque le mot de passe est réinitialisé, déconnectez-vous du terminal avec la commande exit.
Root – Bonnes pratiques
La désactivation de root (ou du moins la sécurisation du mot de passe) est un bon début, mais pas suffisant en termes de sécurité. Si vous voulez vraiment protéger votre système Linux, essayez de suivre ces étapes de base:
Assurez-vous que votre mot de passe root ne comporte pas moins de 14 caractères. Avoir un mot de passe long rend plus difficile à deviner.
N’utilisez jamais le même mot de passe pour un compte utilisateur et le compte root.
Changez les mots de passe tous les mois environ, sur chaque compte, y compris root.
Utilisez toujours des chiffres, ainsi que des lettres majuscules / minuscules et des symboles dans les mots de passe.
Créez des comptes d’administrateur spéciaux avec des privilèges sudoer pour les utilisateurs qui doivent exécuter des commandes de superutilisateur, plutôt que de donner le mot de passe système.
Gardez vos clés SSH secrètes et autorisez uniquement les utilisateurs dignes de confiance à se connecter en tant que root via SSH.
Activez l’authentification à deux facteurs lors de la connexion pour éviter que votre système ne soit altéré.
Utilisez pleinement le pare-feu Linux sur votre système.