rootユーザーを無効にして新しいユーザーを作成するための多くの記事があります。 1つの理由は、このアカウントがroot
ボットが簡単にターゲティングできる既知のアカウントであるためです。
したがって、管理者権限を持つ新しいユーザーを作成する必要があります。これでこれはまったく同じですかroot
?
MongoDB、NodeJS、PM2、Certbotをインストールする必要があります。前回この操作を実行したときに問題が発生し、最終的に再び問題が発生しましたroot
。問題は、ソフトウェアのインストールと実行方法に関連しているようです。
今、私は新しいバージョンがあったので、もう一度やりたいと思います。現在、SSHルートアクセスとルートパスワードが有効になっており(バックアップ)、必要に応じて新しいアカウントを作成する準備ができています。
ソフトウェアをインストールするにはどのアカウントを使用し、ソフトウェアを実行するにはどのアカウントを使用する必要がありますか?
そして、ユーザーが作成されると、ホームフォルダにフォルダが作成されますが、ここにノードアプリを追加する必要がありますか?
私は唯一の管理者になります。 (つまり、組織で使用されていません)これは変化をもたらすでしょうか?
答え1
root
まず、発生する可能性がある誤解を明確にするためにユーザーを無効にすると、そのユーザーとしてログインする可能性も無効になることをお勧めしますroot
。これは、システムからユーザーを「削除」することを意味しませんroot
(不可能)。代わりに、「信頼できる」一般ユーザー(通常のユーザーアカウントであるか、この目的で作成した専用アカウントである可能性があります)がroot権限でコマンドを実行できるようにすることがアイデアです。
1. 一般ユーザーを root にします。
ステップ2に進む前に必ずこれを行ってください!
これは通常実行によって行われますsudo
。最も簡単な方法は、「信頼できる」一般ユーザーをグループの一部にし、呼び出しの前sudo
に.root権限を追加して、グループメンバーがroot権限でコマンドを実行できるようにすることですsudo
。この目的のために:
- インストール
sudo
(システムにまだインストールされていない場合) - 実行(ルート):
~# usermod -a -G sudo trusted_user
/etc/sudoers
ファイルに次のような行が含まれていることを確認してください。
これはすでに存在する可能性があり、このグループのユーザーが実行できるようにします。みんなroot権限を持つコマンドを介して%sudo ALL=(ALL:ALL) ALL
sudo
。
2. ルートログインを無効にする
持ついくつかの方法これを行う方法は、アカウントを「無効にする」度合いによって異なります。最も有用な2つは次のとおりです。
root
ユーザーのログインシェルを/sbin/false
またはに設定します/sbin/nologin
(試してみると、素晴らしい説明メッセージを表示するかどうかによって異なります)。これを行うには、のroot
最後:
の区切り文字フィールドを上記の/etc/passwd
フィールドのいずれかに変更します(例:)。もはや実際にはルートにはならず、root権限を使用して「コマンド別」に基づいてのみ作業できます(ただし、後で変更する場合は、sudo
パスワードファイルを変更してこの操作をキャンセルできます)。下)sudo
あなたの考え).- パスワードを無効にします
root
。これを行うには、root
ユーザーのパスワードハッシュ(たとえば、:
2番目の区切りフィールド/etc/shadow
)をに設定します!
。その特定のファイルはvipw -s
(as)を介してのみroot
変更することをお勧めします。これにより、rootとしてログインできなくなります。パスワード認証に基づいています。root
SSHキー(設定されている場合)を介してログインするのと同じように、via(ファイルで許可されている場合)に切り替えることができます。sudo su
sudoers
最終メモ
最初の問題は、root以外のユーザーとしてシステム全体にソフトウェアをインストールしようとしましたが、最終的に意図したとおりに使用できないことです。ユーザーアカウントを「無効にする」提案された手順は、root
この問題に対する解決策ではありません。
- ソフトウェアのインストールの中断を防ぐ最善の方法は、ディストリビューションのパッケージマネージャを使用することです。これにはrootアクセスが必要ですが、すべてのファイルが必要な場所にあり、パッケージマネージャを介してソフトウェアを(やや)簡単に削除できることを確認してください。
- ソースまたはベンダーから提供されたインストーラを使用してソフトウェアをインストールする必要がある場合は、ユーザー(または他の専用の「一般」ユーザー)としてホームディレクトリにインストールしてソフトウェアとして実行できます。この機能は、ソフトウェアが1000未満のネットワークポートやハードウェアなどのリソースへのルートアクセスを必要としない場合にのみ機能します。