CentOS 7 Root Account deaktivieren?

Hallo zusammen,

was ist eigentlich der sauberste Weg unter CentOS7 den Root Account zu deaktivieren? Bei Ubuntu ist das ja standardmäßig schon so, bei CentOS allerdings nicht. Leider finde ich im Netz widersprüchliche Aussagen und von Version 6 und 7 soll sich da was geändert haben (?).

Ist da jemand Up2Date und hat einen Tipp für mich wie dies sauber zu bewerkstelligen ist?

Viele Grüße

Ark :)
 
Kommt darauf an wofür der Root-Account deaktiviert sein soll.

Einfachster Weg: In /etc/passwd eine No-Shell für root eintragen (z.B. /sbin/nologin).
Willst du auch root-Logins auf seriellen Konsolen etc. unterbinden, dann mache die /etc/securetty leer.
Soll root sich nur via SSH nicht einloggen können, füge 'PermitRootLogin no' in die /etc/ssh/sshd_config ein.
Soll lediglich ein Login via PAM nicht möglich sein, bearbeite die entsprechenden Service-Files in /etc/pam.d/.

Und zu guter Letzt: Aktiviere SELinux und passe die RBAC-Regeln entsprechend an, z.B. den Zugriff auf die Shells unterbinden.
 
Ich hatte tatsächlich jetzt nur an den regulären Login und SSH gedacht. Den Rest kannte ich gar nicht.

Vielen Dank für eure stets kompetente Hilfe ! :)
 
Ich möchte hier auch noch auf
su mit der Option "-s" hinweisen.
Hier hat man die Sicherheit eines weiteren Passwortes.

Gruß

Fluffy
 
Ich möchte hier auch noch auf
su mit der Option "-s" hinweisen.
Hier hat man die Sicherheit eines weiteren Passwortes.

Gruß

Fluffy

Man kann auch sudo so konfigurieren, dass ein Passwort verlangt wird. 'su' hingegen verlangt das root-Passwort und das will man ggf. nicht unbedingt einem User geben. Es kommt daher sicherlich auf den Anwendungsfall an, ob man su oder sudo zum Einsatz bringen sollte. Für Desktop-Systeme, wo dann auch gern mal grafische sudo-Oberflächen verwendet werden, ist 'su' zumeist eher ungeeignet. Nur wenige GUIs unterstützen auch 'su'.
 
Ich hatte tatsächlich jetzt nur an den regulären Login und SSH gedacht. Den Rest kannte ich gar nicht.

Vielen Dank für eure stets kompetente Hilfe ! :)

Wenn es dir um den generellen Login vom Root geht, würde ich es auch über die /etc/passwd und den nologin machen.
Wenn es allerdings nur darum geht, dem SSH Client zu verweigern, als root eine Session zu öffnen würde ich es folgendermaßen machen:
vi /etc/ssh/sshd_config
Da dann folgenden Eintrag ergänzen: PermitRootLogin no
 
Zurück
Oben