Pour protéger l'accès au compte root, j'ai bien configuré *sshd* pour
*interdire le user root*, *la connexion par mot de passe vide et par mot
de passe*, uniquement *autoriser la connexion par clé ssh ed25519*.
sudo passwd root # Créer un mot de passe.
*passwd --lock root* # Le compte root est alors à nouveau verrouillé !
sudo passwd -S root
[sudo] Mot de passe de l'utilisateur sudoers :
root*L* 12/23/2019 0 99999 7 -1 # Le compte root est verrouillé.
sudo passwd root # Créer un mot de passe.
*sudo passwd -d root*
passwd : informations de validité du mot de passe changées.
sudo passwd -S root
root*NP* 02/18/2024 0 99999 7 -1
# Le compte root est accessible sans mot de passe depuis l'utilisateur
sudoers ( Et même d'un simple utilisateur ? Si il a les clés ssh pour se
connecter au serveur.).
$ su root # Aucun mot de passe n'est demandé pour passer à l'utilisateur
root.
#
Il semble donc nécessaire de définir un mot de passe complexe pour root
et de laisser l'utilisateur root activé.
*Je ne comprend pas* la méthode pour désactiver l'utilisateur root, ou
le mot de passe de l'utilisateur root, en restant dans la bonne pratique
de sécurité, tout en lui laissant la possibité d'administrer cron.'
*/Supprimer le mot de passe de l'utilisateur root pour ne pas conserver
le hash du mot de passe en mémoire./*
Désactiver l'utilisateur root à partir du shell :
Le moyen le plus simple de désactiver la connexion de l'utilisateur root
est de changer son shell du répertoire /bin/bash à /sbin/nologin, dans
le fichier
Par défaut :
*root:x:0:0:root:/root:/bin/bash*
Si la valeur est changée pour */sbin/nologin* , root sera t'il encore
capable d'administrer le système ? ( Tâches cron et autres tâches ? )
sudo nano /etc/passwd
*root:x:0:0:root:/root:/sbin/nologin*
*su root
This account is currently not available.*
*sudo bash
root@system
*
sudo crontab -e
Ajouter une tâche.
Erreurs :
Après avoir désactivé root sur le système, *je ne vois pas de solution
qui permet aux taches cron root, ou cron.daily de fonctionner sans
configurations avancées*.
*Aucun répertoire /lib/security sur ma machine :*
févr. 18 20:16:02 system sudo[11786]: PAM unable to
dlopen(pam_ck_connector.so): */lib/security/pam_ck_connector.so*: Ne
peut ouvrir le fichier d'objet partagé: Aucun fichier ou dossier de ce nom
févr. 18 20:16:02 system sudo[11786]: PAM adding faulty module:
pam_ck_connector.so
févr. 18 20:17:01 system CRON[11802]: PAM unable to
dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: Ne peut
ouvrir le fichier d'objet partagé: Aucun fichier ou dossier de ce nom
févr. 18 20:17:01 system CRON[11802]: PAM adding faulty module:
pam_ck_connector.so*
*
