লিনাক্সে রুট অ্যাকাউন্ট অক্ষম করার 4 টি উপায়
মূল অ্যাকাউন্টটি একটি লিনাক্স এবং অন্যান্য ইউনিক্স-মতো অপারেটিং সিস্টেমের চূড়ান্ত অ্যাকাউন্ট। এই অ্যাকাউন্টটিতে সম্পূর্ণ পড়ার, লেখার এবং কার্যকর করার অনুমতি সহ একটি সিস্টেমে সমস্ত কমান্ড এবং ফাইলগুলিতে অ্যাক্সেস রয়েছে। এটি কোনও সিস্টেমে যে কোনও ধরণের টাস্ক সম্পাদন করতে ব্যবহৃত হয়; সফ্টওয়্যার প্যাকেজ ইনস্টল/অপসারণ/আপগ্রেড করতে এবং আরও অনেক কিছু।
যেহেতু মূল ব্যবহারকারীর নিখুঁত ক্ষমতা রয়েছে, সে যে কাজকর্ম সম্পাদন করে তা সিস্টেমে সমালোচনা করে। এই ক্ষেত্রে, রুট ব্যবহারকারীর দ্বারা কোনও ত্রুটি সিস্টেমের স্বাভাবিক অপারেশনটিতে বিশাল প্রভাব ফেলতে পারে। তদ্ব্যতীত, এই অ্যাকাউন্টটি ভুলভাবে বা অনুপযুক্তভাবে দুর্ঘটনাক্রমে, দূষিতভাবে, বা নীতিমালা অবহেলিত অজ্ঞতার মাধ্যমে ব্যবহার করেও আপত্তিজনক আচরণ করা যেতে পারে।
সুতরাং, আপনার লিনাক্স সার্ভারের রুট অ্যাক্সেসটি অক্ষম করার পরামর্শ দেওয়া হয়েছে, পরিবর্তে, একটি প্রশাসনিক অ্যাকাউন্ট তৈরি করুন যা sudo কমান্ড ব্যবহার করে রুট ব্যবহারকারীর সুবিধার্থে কনফিগার করা উচিত, যাতে সার্ভারে গুরুত্বপূর্ণ কাজগুলি সম্পাদন করা যায়।
এই নিবন্ধে, আমরা লিনাক্সে রুট ব্যবহারকারী অ্যাকাউন্ট লগইন অক্ষম করার চারটি উপায় ব্যাখ্যা করব।
মনোযোগ দিন: আপনি রুট অ্যাকাউন্টে অ্যাক্সেস ব্লক করার আগে নিশ্চিত হয়ে নিন যে আপনি কোনও প্রশাসনিক অ্যাকাউন্ট তৈরি করেছেন, ইউজারডড কমান্ড ব্যবহার করতে সক্ষম এবং এই ব্যবহারকারীর অ্যাকাউন্টটিকে একটি শক্তিশালী পাসওয়ার্ড দেবেন। -m
পতাকাটির অর্থ ব্যবহারকারীর হোম ডিরেক্টরি তৈরি করা এবং -c
একটি মন্তব্য নির্দিষ্ট করার অনুমতি দেয়:
# useradd -m -c "Admin User" admin # passwd admin
এরপরে, ব্যবহারকারীকে ব্যবহারকারী ব্যবহারকারী কম্যান্ড ব্যবহার করে সিস্টেম প্রশাসকদের উপযুক্ত গোষ্ঠীতে যুক্ত করুন, যেখানে স্যুইচ -a
মানে ব্যবহারকারী অ্যাকাউন্ট যুক্ত করা এবং -G
ব্যবহারকারী যুক্ত করার জন্য একটি গোষ্ঠী নির্দিষ্ট করে ইন (আপনার লিনাক্স বিতরণের উপর নির্ভর করে চাকা বা সুডো):
# usermod -aG wheel admin #CentOS/RHEL # usermod -aG sudo admin #Debian/Ubuntu
প্রশাসনিক সুযোগ-সুবিধাগুলি সহ আপনি একবার ব্যবহারকারী তৈরি করার পরে, রুট অ্যাক্সেসটিকে ব্লক করতে সেই অ্যাকাউন্টে স্যুইচ করুন।
# su admin
1. রুট ব্যবহারকারীর শেল পরিবর্তন করুন
রুট ব্যবহারকারী লগইন অক্ষম করার সহজতম পদ্ধতি হ'ল /বিন/ব্যাশ
বা /বিন/ব্যাশ
(বা অন্য কোনও শেল যা ব্যবহারকারী লগইনকে অনুমতি দেয়) থেকে <কোডে পরিবর্তন করে >/sbin/nologin ,/ইত্যাদি/পাসডাব্লুডি ফাইলে, যা আপনি আপনার পছন্দসই কমান্ড লাইনের সম্পাদকদের যেমন কোনও হিসাবে ব্যবহার করে সম্পাদনার জন্য খুলতে পারেন।
$ sudo vim /etc/passwd
লাইনটি পরিবর্তন করুন:
root:x:0:0:root:/root:/bin/bash to root:x:0:0:root:/root:/sbin/nologin
ফাইলটি সংরক্ষণ করুন এবং এটি বন্ধ করুন।
এখন থেকে, যখন রুট ব্যবহারকারী লগ ইন করবেন, সে/সে বার্তাটি পাবে "এই অ্যাকাউন্টটি বর্তমানে উপলভ্য নয়।" এটি ডিফল্ট বার্তা, তবে, আপনি এটি পরিবর্তন করতে পারেন এবং ফাইল /etc/nologin.txt ফাইলটিতে একটি কাস্টম বার্তা সেট করতে পারেন।
এই পদ্ধতিটি কেবলমাত্র সেই প্রোগ্রামগুলির সাথে কার্যকর যেগুলি ব্যবহারকারীর লগইনের জন্য শেল প্রয়োজন, অন্যথায়, sudo, ftp এবং ইমেল ক্লায়েন্টরা রুট অ্যাকাউন্টটি অ্যাক্সেস করতে পারে।
2. কনসোল ডিভাইস (টিটিওয়াই) এর মাধ্যমে রুট লগইন অক্ষম করুন
দ্বিতীয় পদ্ধতিতে পাম_সিকিউরটি নামক একটি পিএএম মডিউল ব্যবহার করা হয়েছে, যা ব্যবহারকারীরা "ইত্যাদি" সুরক্ষিত টিটিওয়াই-তে লগ ইন করতে পারলেই কেবল রুট অ্যাক্সেসের অনুমতি দেয় /
উপরের ফাইলটি আপনাকে কোন টিটিওয়াই ডিভাইসগুলি লগইন করার অনুমতি দেয় তা নির্দিষ্ট করার অনুমতি দেয়, এই ফাইলটি খালি করা কম্পিউটার সিস্টেমে সংযুক্ত যে কোনও ডিভাইসে রুট লগইনকে বাধা দেয়।
একটি খালি ফাইল তৈরি করতে, চালান।
$ sudo mv /etc/securetty /etc/securetty.orig $ sudo touch /etc/securetty $ sudo chmod 600 /etc/securetty
এই পদ্ধতির কিছু সীমাবদ্ধতা রয়েছে, এটি কেবলমাত্র লগইন, ডিসপ্লে ম্যানেজার (যেমন জিডিএম, কেডিএম এবং এক্সডিএম) এবং অন্যান্য নেটওয়ার্ক পরিষেবাগুলিকে প্রভাবিত করে যা একটি টিটিওয়াই চালু করে। প্রোগ্রাম, যেমন su, sudo, ssh, এবং অন্যান্য সম্পর্কিত ওপেনশ্যাশন সরঞ্জামগুলিতে রুট অ্যাকাউন্টে অ্যাক্সেস থাকবে।
3. এসএসএইচ রুট লগইন অক্ষম করুন
রিমোট সার্ভার বা ভিপিএস অ্যাক্সেসের সর্বাধিক সাধারণ উপায় হ'ল এসএসএইচ এর মাধ্যমে এবং এর অধীনে রুট ব্যবহারকারীদের লগইন ব্লক করার জন্য আপনাকে/etc/ssh/sshd_config ফাইলটি সম্পাদনা করতে হবে।
$ sudo vim /etc/ssh/sshd_config
তারপরে কোনও পরিস্থিতি (যদি এটি মন্তব্য করা হয়) নির্দেশিকা PermitRootLogin এবং স্ক্রিনশট হিসাবে প্রদর্শিত হিসাবে তার মান না
এ সেট করুন।
আপনার কাজ শেষ হয়ে গেলে ফাইলটি সংরক্ষণ এবং বন্ধ করুন। তারপরে কনফিগারেশনের সাম্প্রতিক পরিবর্তনটি প্রয়োগ করতে sshd পরিষেবাটি পুনরায় চালু করুন।
$ sudo systemctl restart sshd OR $ sudo service sshd restart
আপনি ইতিমধ্যে জেনে থাকতে পারেন যে এই পদ্ধতিটি কেবল ওপেনশ্যাশন সরঞ্জাম সেটকে প্রভাবিত করে, এসএসএস, স্কিপ, এসএফপি ইত্যাদি প্রোগ্রামগুলি রুট অ্যাকাউন্ট অ্যাক্সেস করা থেকে অবরুদ্ধ করা হবে।
৪. পিএএম এর মাধ্যমে পরিষেবাদিতে রুট অ্যাকসেসকে সীমাবদ্ধ করুন
প্লাগেবল অথেনটিকেশন মডিউলগুলি (সংক্ষেপে পিএএম) লিনাক্স সিস্টেমে অনুমোদনের একটি কেন্দ্রিয়ায়িত, প্লাগযোগ্য, মডিউলার এবং নমনীয় পদ্ধতি। প্যাম, /lib/security/pam_listfile.so মডিউলটির মাধ্যমে নির্দিষ্ট অ্যাকাউন্টগুলির সুবিধাগুলি সীমাবদ্ধ রাখতে দুর্দান্ত নমনীয়তা দেয়।
উপরোক্ত মডিউলটি ব্যবহারকারীর একটি তালিকা উল্লেখ করতে ব্যবহার করা যেতে পারে যাদের লগইন, এসএসএস এবং কোনও পিএএম সচেতন প্রোগ্রামের মতো কিছু লক্ষ্য পরিষেবাগুলির মাধ্যমে লগ ইন করার অনুমতি নেই।
এই ক্ষেত্রে, আমরা লগইন এবং এসএসডি পরিষেবাদিগুলিতে অ্যাক্সেস সীমাবদ্ধ করে কোনও সিস্টেমে রুট ব্যবহারকারী অ্যাক্সেস অক্ষম করতে চাই। /Etc/pam.d/ ডিরেক্টরিতে লক্ষ্য হিসাবে পরিষেবার জন্য ফাইলটি প্রথমে খুলুন এবং সম্পাদনা করুন।
$ sudo vim /etc/pam.d/login OR sudo vim /etc/pam.d/sshd
এরপরে, উভয় ফাইলে নীচে কনফিগারেশন যুক্ত করুন।
auth required pam_listfile.so \ onerr=succeed item=user sense=deny file=/etc/ssh/deniedusers
আপনার হয়ে গেলে, প্রতিটি ফাইল সংরক্ষণ এবং বন্ধ করুন। তারপরে প্লেইন ফাইল/etc/ssh/অস্বীকারকারী তৈরি করুন যা প্রতি লাইনে একটি আইটেম থাকা উচিত এবং বিশ্ব পাঠযোগ্য নয়।
এতে নামের মূলটি যুক্ত করুন, তারপরে এটি সংরক্ষণ করুন এবং এটি বন্ধ করুন।
$ sudo vim /etc/ssh/deniedusers
এটিতে প্রয়োজনীয় অনুমতিগুলি সেট করুন।
$ sudo chmod 600 /etc/ssh/deniedusers
এই পদ্ধতিটি কেবল পাম সচেতন এমন প্রোগ্রাম এবং পরিষেবাগুলিকে প্রভাবিত করে। আপনি এফটিপি এবং ইমেল ক্লায়েন্টস এবং আরও অনেক কিছু দিয়ে সিস্টেমে রুট অ্যাক্সেস ব্লক করতে পারেন।
আরও তথ্যের জন্য, সম্পর্কিত ম্যান পেজগুলি দেখুন।
$ man pam_securetty $ man sshd_config $ man pam
এখানেই শেষ! এই নিবন্ধে, আমরা লিনাক্সে মূল ব্যবহারকারী লগইন (বা অ্যাকাউন্ট) অক্ষম করার চারটি উপায় ব্যাখ্যা করেছি। আপনার কোনও মন্তব্য, পরামর্শ বা প্রশ্ন থাকলে নিচের মতামত ফর্মের মাধ্যমে আমাদের কাছে নির্দ্বিধায় যোগাযোগ করুন