Назад | Перейти на главную страницу

Отключить вход в систему как root через кикстарт? Рекомендации совета?

Это вопрос из двух частей. Во-первых, я просто хочу проверить, правильно ли я это делаю, так как не знаю, как это проверить. Цель состоит в том, чтобы запретить вход в систему с учетной записью root и позволить всем использовать sudo. Для этого я блокирую учетную запись root, чтобы никто не мог войти в систему как root. Если возникнет необходимость, я всегда могу создать учетную запись с полными правами и запускать команды, предназначенные для root, через sudo. Это подводит меня ко второму вопросу, но я задам его ближе к концу.

Причина, по которой я также ищу валидацию, заключается в том, что, когда я исследовал эту тему и то, как ее достичь, обсуждения были старыми и предполагали, что люди сначала устанавливают пароль через rootpw в своем файле кикстарта, затем напишите сценарий на %post который редактировал /etc/shadow файл, чтобы установить пароль для другого, или используйте !!. Я посмотрел на свой экземпляр Amazon EC2, чтобы узнать, что Amazon сделал для учетной записи root, и он выглядит так:

root:*LOCK*:14600::::::

Я предполагаю, что причина его блокировки в том, что * а не *LOCK*. Если мое предположение верно, то:

root:*LOCK*:14600::::::

Быть таким же, как ?:

root:*:14600::::::

При этом в моем файле кикстарта я отредактировал строку о rootpw выглядеть так:

rootpw --iscrypted *

После установки мой /etc/shadow файл выглядит следующим образом:

root:*::0:99999:7:::

Поэтому мой первый вопрос: будет ли это правильным способом заблокировать учетную запись root?

Во-вторых, по теме, о которой я упоминал ранее, без использования root. Есть ли особые обстоятельства, при которых это не рекомендуется? Если да, то почему учетной записи с полным доступом с sudo (так что у вас есть аудит) недостаточно?

Определенный путь блокировки учетной записи root в кикстарте:

rootpw --lock
  • --lock - Если этот параметр присутствует, учетная запись root по умолчанию заблокирована. Это означает, что пользователь root не сможет войти в систему с консоли. Эта опция также отключит Пароль root экраны как в графической, так и в текстовой ручной установке.