লিনাক্সে রুট অ্যাকাউন্ট অক্ষম করার 4 টি উপায়


মূল অ্যাকাউন্টটি একটি লিনাক্স এবং অন্যান্য ইউনিক্স-মতো অপারেটিং সিস্টেমের চূড়ান্ত অ্যাকাউন্ট। এই অ্যাকাউন্টটিতে সম্পূর্ণ পড়ার, লেখার এবং কার্যকর করার অনুমতি সহ একটি সিস্টেমে সমস্ত কমান্ড এবং ফাইলগুলিতে অ্যাক্সেস রয়েছে। এটি কোনও সিস্টেমে যে কোনও ধরণের টাস্ক সম্পাদন করতে ব্যবহৃত হয়; সফ্টওয়্যার প্যাকেজ ইনস্টল/অপসারণ/আপগ্রেড করতে এবং আরও অনেক কিছু।

যেহেতু মূল ব্যবহারকারীর নিখুঁত ক্ষমতা রয়েছে, সে যে কাজকর্ম সম্পাদন করে তা সিস্টেমে সমালোচনা করে। এই ক্ষেত্রে, রুট ব্যবহারকারীর দ্বারা কোনও ত্রুটি সিস্টেমের স্বাভাবিক অপারেশনটিতে বিশাল প্রভাব ফেলতে পারে। তদ্ব্যতীত, এই অ্যাকাউন্টটি ভুলভাবে বা অনুপযুক্তভাবে দুর্ঘটনাক্রমে, দূষিতভাবে, বা নীতিমালা অবহেলিত অজ্ঞতার মাধ্যমে ব্যবহার করেও আপত্তিজনক আচরণ করা যেতে পারে।

সুতরাং, আপনার লিনাক্স সার্ভারের রুট অ্যাক্সেসটি অক্ষম করার পরামর্শ দেওয়া হয়েছে, পরিবর্তে, একটি প্রশাসনিক অ্যাকাউন্ট তৈরি করুন যা sudo কমান্ড ব্যবহার করে রুট ব্যবহারকারীর সুবিধার্থে কনফিগার করা উচিত, যাতে সার্ভারে গুরুত্বপূর্ণ কাজগুলি সম্পাদন করা যায়।

এই নিবন্ধে, আমরা লিনাক্সে রুট ব্যবহারকারী অ্যাকাউন্ট লগইন অক্ষম করার চারটি উপায় ব্যাখ্যা করব।

মনোযোগ দিন: আপনি রুট অ্যাকাউন্টে অ্যাক্সেস ব্লক করার আগে নিশ্চিত হয়ে নিন যে আপনি কোনও প্রশাসনিক অ্যাকাউন্ট তৈরি করেছেন, ইউজারডড কমান্ড ব্যবহার করতে সক্ষম এবং এই ব্যবহারকারীর অ্যাকাউন্টটিকে একটি শক্তিশালী পাসওয়ার্ড দেবেন। -m পতাকাটির অর্থ ব্যবহারকারীর হোম ডিরেক্টরি তৈরি করা এবং -c একটি মন্তব্য নির্দিষ্ট করার অনুমতি দেয়:

# useradd -m -c "Admin User" admin
# passwd admin

এরপরে, ব্যবহারকারীকে ব্যবহারকারী ব্যবহারকারী কম্যান্ড ব্যবহার করে সিস্টেম প্রশাসকদের উপযুক্ত গোষ্ঠীতে যুক্ত করুন, যেখানে স্যুইচ -a মানে ব্যবহারকারী অ্যাকাউন্ট যুক্ত করা এবং -G ব্যবহারকারী যুক্ত করার জন্য একটি গোষ্ঠী নির্দিষ্ট করে ইন (আপনার লিনাক্স বিতরণের উপর নির্ভর করে চাকা বা সুডো):

# usermod -aG wheel admin    #CentOS/RHEL
# usermod -aG sudo admin     #Debian/Ubuntu 

প্রশাসনিক সুযোগ-সুবিধাগুলি সহ আপনি একবার ব্যবহারকারী তৈরি করার পরে, রুট অ্যাক্সেসটিকে ব্লক করতে সেই অ্যাকাউন্টে স্যুইচ করুন।

# su admin

1. রুট ব্যবহারকারীর শেল পরিবর্তন করুন

রুট ব্যবহারকারী লগইন অক্ষম করার সহজতম পদ্ধতি হ'ল /বিন/ব্যাশ বা /বিন/ব্যাশ (বা অন্য কোনও শেল যা ব্যবহারকারী লগইনকে অনুমতি দেয়) থেকে <কোডে পরিবর্তন করে >/sbin/nologin ,/ইত্যাদি/পাসডাব্লুডি ফাইলে, যা আপনি আপনার পছন্দসই কমান্ড লাইনের সম্পাদকদের যেমন কোনও হিসাবে ব্যবহার করে সম্পাদনার জন্য খুলতে পারেন।

  
$ sudo vim /etc/passwd

লাইনটি পরিবর্তন করুন:

root:x:0:0:root:/root:/bin/bash
to
root:x:0:0:root:/root:/sbin/nologin

ফাইলটি সংরক্ষণ করুন এবং এটি বন্ধ করুন।

এখন থেকে, যখন রুট ব্যবহারকারী লগ ইন করবেন, সে/সে বার্তাটি পাবে "এই অ্যাকাউন্টটি বর্তমানে উপলভ্য নয়।" এটি ডিফল্ট বার্তা, তবে, আপনি এটি পরিবর্তন করতে পারেন এবং ফাইল /etc/nologin.txt ফাইলটিতে একটি কাস্টম বার্তা সেট করতে পারেন।

এই পদ্ধতিটি কেবলমাত্র সেই প্রোগ্রামগুলির সাথে কার্যকর যেগুলি ব্যবহারকারীর লগইনের জন্য শেল প্রয়োজন, অন্যথায়, sudo, ftp এবং ইমেল ক্লায়েন্টরা রুট অ্যাকাউন্টটি অ্যাক্সেস করতে পারে।

2. কনসোল ডিভাইস (টিটিওয়াই) এর মাধ্যমে রুট লগইন অক্ষম করুন

দ্বিতীয় পদ্ধতিতে পাম_সিকিউরটি নামক একটি পিএএম মডিউল ব্যবহার করা হয়েছে, যা ব্যবহারকারীরা "ইত্যাদি" সুরক্ষিত টিটিওয়াই-তে লগ ইন করতে পারলেই কেবল রুট অ্যাক্সেসের অনুমতি দেয় /

উপরের ফাইলটি আপনাকে কোন টিটিওয়াই ডিভাইসগুলি লগইন করার অনুমতি দেয় তা নির্দিষ্ট করার অনুমতি দেয়, এই ফাইলটি খালি করা কম্পিউটার সিস্টেমে সংযুক্ত যে কোনও ডিভাইসে রুট লগইনকে বাধা দেয়।

একটি খালি ফাইল তৈরি করতে, চালান।

$ sudo mv /etc/securetty /etc/securetty.orig
$ sudo touch /etc/securetty
$ sudo chmod 600 /etc/securetty

এই পদ্ধতির কিছু সীমাবদ্ধতা রয়েছে, এটি কেবলমাত্র লগইন, ডিসপ্লে ম্যানেজার (যেমন জিডিএম, কেডিএম এবং এক্সডিএম) এবং অন্যান্য নেটওয়ার্ক পরিষেবাগুলিকে প্রভাবিত করে যা একটি টিটিওয়াই চালু করে। প্রোগ্রাম, যেমন su, sudo, ssh, এবং অন্যান্য সম্পর্কিত ওপেনশ্যাশন সরঞ্জামগুলিতে রুট অ্যাকাউন্টে অ্যাক্সেস থাকবে।

3. এসএসএইচ রুট লগইন অক্ষম করুন

রিমোট সার্ভার বা ভিপিএস অ্যাক্সেসের সর্বাধিক সাধারণ উপায় হ'ল এসএসএইচ এর মাধ্যমে এবং এর অধীনে রুট ব্যবহারকারীদের লগইন ব্লক করার জন্য আপনাকে/etc/ssh/sshd_config ফাইলটি সম্পাদনা করতে হবে।

$ sudo vim /etc/ssh/sshd_config

তারপরে কোনও পরিস্থিতি (যদি এটি মন্তব্য করা হয়) নির্দেশিকা PermitRootLogin এবং স্ক্রিনশট হিসাবে প্রদর্শিত হিসাবে তার মান না এ সেট করুন।

আপনার কাজ শেষ হয়ে গেলে ফাইলটি সংরক্ষণ এবং বন্ধ করুন। তারপরে কনফিগারেশনের সাম্প্রতিক পরিবর্তনটি প্রয়োগ করতে sshd পরিষেবাটি পুনরায় চালু করুন।

$ sudo systemctl restart sshd 
OR
$ sudo service sshd restart 

আপনি ইতিমধ্যে জেনে থাকতে পারেন যে এই পদ্ধতিটি কেবল ওপেনশ্যাশন সরঞ্জাম সেটকে প্রভাবিত করে, এসএসএস, স্কিপ, এসএফপি ইত্যাদি প্রোগ্রামগুলি রুট অ্যাকাউন্ট অ্যাক্সেস করা থেকে অবরুদ্ধ করা হবে।

৪. পিএএম এর মাধ্যমে পরিষেবাদিতে রুট অ্যাকসেসকে সীমাবদ্ধ করুন

প্লাগেবল অথেনটিকেশন মডিউলগুলি (সংক্ষেপে পিএএম) লিনাক্স সিস্টেমে অনুমোদনের একটি কেন্দ্রিয়ায়িত, প্লাগযোগ্য, মডিউলার এবং নমনীয় পদ্ধতি। প্যাম, /lib/security/pam_listfile.so মডিউলটির মাধ্যমে নির্দিষ্ট অ্যাকাউন্টগুলির সুবিধাগুলি সীমাবদ্ধ রাখতে দুর্দান্ত নমনীয়তা দেয়।

উপরোক্ত মডিউলটি ব্যবহারকারীর একটি তালিকা উল্লেখ করতে ব্যবহার করা যেতে পারে যাদের লগইন, এসএসএস এবং কোনও পিএএম সচেতন প্রোগ্রামের মতো কিছু লক্ষ্য পরিষেবাগুলির মাধ্যমে লগ ইন করার অনুমতি নেই।

এই ক্ষেত্রে, আমরা লগইন এবং এসএসডি পরিষেবাদিগুলিতে অ্যাক্সেস সীমাবদ্ধ করে কোনও সিস্টেমে রুট ব্যবহারকারী অ্যাক্সেস অক্ষম করতে চাই। /Etc/pam.d/ ডিরেক্টরিতে লক্ষ্য হিসাবে পরিষেবার জন্য ফাইলটি প্রথমে খুলুন এবং সম্পাদনা করুন।

$ sudo vim /etc/pam.d/login
OR
sudo vim /etc/pam.d/sshd

এরপরে, উভয় ফাইলে নীচে কনফিগারেশন যুক্ত করুন।

auth    required       pam_listfile.so \
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

আপনার হয়ে গেলে, প্রতিটি ফাইল সংরক্ষণ এবং বন্ধ করুন। তারপরে প্লেইন ফাইল/etc/ssh/অস্বীকারকারী তৈরি করুন যা প্রতি লাইনে একটি আইটেম থাকা উচিত এবং বিশ্ব পাঠযোগ্য নয়।

এতে নামের মূলটি যুক্ত করুন, তারপরে এটি সংরক্ষণ করুন এবং এটি বন্ধ করুন।

$ sudo vim /etc/ssh/deniedusers

এটিতে প্রয়োজনীয় অনুমতিগুলি সেট করুন।

$ sudo chmod 600 /etc/ssh/deniedusers

এই পদ্ধতিটি কেবল পাম সচেতন এমন প্রোগ্রাম এবং পরিষেবাগুলিকে প্রভাবিত করে। আপনি এফটিপি এবং ইমেল ক্লায়েন্টস এবং আরও অনেক কিছু দিয়ে সিস্টেমে রুট অ্যাক্সেস ব্লক করতে পারেন।

আরও তথ্যের জন্য, সম্পর্কিত ম্যান পেজগুলি দেখুন।

$ man pam_securetty
$ man sshd_config
$ man pam

এখানেই শেষ! এই নিবন্ধে, আমরা লিনাক্সে মূল ব্যবহারকারী লগইন (বা অ্যাকাউন্ট) অক্ষম করার চারটি উপায় ব্যাখ্যা করেছি। আপনার কোনও মন্তব্য, পরামর্শ বা প্রশ্ন থাকলে নিচের মতামত ফর্মের মাধ্যমে আমাদের কাছে নির্দ্বিধায় যোগাযোগ করুন