Отключение учётной записи root и переход на sudo в Linux

Если вы хотите повысить безопасность Linux — отключите прямой логин под root и используйте sudo. Перед блокировкой root убедитесь, что sudo установлено и ваш пользователь входит в нужную группу. После этого заблокируйте root командой внизу.

Если система была установлена с возможностью входа под root через su, лучше отключить эту практику и перейти на sudo. Sudo позволяет выполнять административные команды под учётной записью пользователя, оставляя аудит и контроль прав более гибким.

Почему стоит отключить root

Использование sudo вместо прямой авторизации root повышает безопасность:

• Каждый администратор работает под собственной учётной записью и использует личный пароль. Это упрощает аудит и уменьшает риск утечки общего пароля.
• При необходимости можно легко отозвать права конкретного пользователя, не меняя глобальный root-пароль.
• Sudo поддерживает гибкое разграничение прав — можно разрешать только отдельные команды.

Важно: sudo не повышает безопасность сам по себе — правильно настройте /etc/sudoers через visudo и применяйте принцип наименьших привилегий.

Убедитесь, что sudo работает, прежде чем блокировать root

Перед блокировкой root выполните несколько проверок:

1. Проверьте, установлен ли sudo. В популярных дистрибутивах команды установки могут быть такими:

   • Debian/Ubuntu: sudo apt update && sudo apt install sudo
   • RHEL/CentOS/Fedora: sudo dnf install sudo или sudo yum install sudo
   • Arch: sudo pacman -S sudo

2. Убедитесь, что ваш пользователь добавлен в соответствующую группу (часто wheel или sudo или admin):

   • Добавление в группу example для Debian/Ubuntu: sudo usermod -aG sudo <ваш_пользователь>
   • Для RHEL/CentOS: sudo usermod -aG wheel <ваш_пользователь>

3. Проверьте права sudo для вашей учётной записи:

sudo -l

Команда покажет список разрешённых действий или сообщит, что у вас нет прав.

4. Редактируйте конфигурацию sudo только через visudo — он проверяет синтаксис и не сохранит ошибочную конфигурацию:

sudo visudo

В файле /etc/sudoers или в include-файлах можно задать более точные правила.

Как заблокировать учётную запись root

Когда вы гарантировали, что sudo настроено и работает, можно заблокировать root, чтобы никто не мог войти напрямую или переключиться через su. Команда для блокировки:

sudo passwd -l root

Эта команда установит состояние «Locked» для root, что предотвращает прямой вход по паролю. На системах с PAM/SSH может потребоваться дополнительно запретить root-подключение по SSH (см. ниже).

Примечание: на некоторых системах root уже заблокирован при установке (особенно при установке с включённым sudo по умолчанию).

Дополнительные меры безопасности

• Отключите вход root по SSH: в /etc/ssh/sshd_config поставьте

PermitRootLogin no

затем перезапустите sshd.

• Используйте двухфакторную аутентификацию для критических учётных записей.
• Ограничьте доступ по IP и внедрите брандмауэр.
• Ведите логирование и мониторинг sudo-активности (включая запись команд).

Когда NOT отключать root (исключения)

• На некоторых встроенных системах или в recovery-режимах может потребоваться прямой доступ к root для восстановления. В этих случаях блокировку стоит планировать осторожно.
• Если у вас нет другого администратора с sudo-доступом, сначала создайте и проверьте рабочую sudo-учётную запись.

Практическая методология (короткий план действий)

1. Проверить, установлен ли sudo и доступен ли он для вашего пользователя (sudo -l).
2. При необходимости установить sudo и добавить пользователя в группу с правами.
3. Настроить /etc/sudoers через visudo (минимально — предоставить вашему пользователю права).
4. Провести тест: выполнить sudo команду, перезапустить новую сессию и ещё раз проверить.
5. Заблокировать root: sudo passwd -l root.
6. Отключить PermitRootLogin в SSH и перезапустить sshd.
7. Документировать изменения и создать план отката.

Критерии приёмки

• Команда sudo -l для администратора возвращает список разрешённых команд без ошибок.
• Попытка входа под root с паролем не проходит.
• Вход под обычным администратором через sudo работает и команды выполняются с правами.
• SSH-доступ под root запрещён (если это требование).

Роль‑ориентированные чек‑листы

• Системный администратор:

  • Проверил sudo -l и visudo.
  • Добавил резервную учётную запись с sudo.
  • Заблокировал root и отключил SSH root.

• Разработчик / DevOps:

  • Убедился, что CI/CD агенты не зависят от прямого root-доступа.
  • Перенастроил скрипты, использующие su, на sudo.

Короткий глоссарий

• root — системная учётная запись с полными привилегиями.
• sudo — механизм выполнения команд от имени root с учётом прав пользователя.
• su — переключение на другую учётную запись (часто root) по паролю.
• wheel — традиционная группа, пользователям которой разрешён доступ к sudo на некоторых дистрибутивах.

Краткое резюме

Отключение прямого входа под root и переход на sudo повышают безопасность и управляемость системы. Перед блокировкой root обязательно настройте и проверьте sudo, добавьте резервные администраторские учётные записи и документируйте изменения.

Важно: всегда имейте план отката и резервный доступ на случай ошибки в конфигурации.