这是一个两部分的问题。首先,我只是在寻找验证,如果我做对了,因为我不确定如何测试它。目标是禁止 root 帐户登录并让每个人都使用sudo
. 为此,我锁定了 root 帐户,以防止任何人以 root 身份登录。如果需要,我总是可以创建一个具有完全权限的帐户并通过 sudo 运行用于 root 的命令。这引出了我的第二个问题,但我会在接近尾声时问这个问题。
我也在寻找验证的原因是因为当我对这个主题以及如何实现这一点进行研究时,讨论已经过时了,并建议人们最初rootpw
在他们的 kickstart 文件中设置密码,然后在%post
编辑/etc/shadow
文件中编写一个脚本将密码设置为其他密码,或使用!!
. 我查看了我的 Amazon EC2 实例以了解 Amazon 为 root 账户做了什么,它看起来像这样:
root:*LOCK*:14600::::::
我假设它被锁定的原因是因为*
而不是*LOCK*
. 如果我的假设是正确的,那么将:
root:*LOCK*:14600::::::
是否相同?:
root:*:14600::::::
话虽如此,在我的 kickstart 文件中,我编辑了关于 的行rootpw
,如下所示:
rootpw --iscrypted *
安装后,我的/etc/shadow
文件如下所示:
root:*::0:99999:7:::
因此我的第一个问题是,这是锁定 root 帐户的正确方法吗?
其次,关于我之前提到的主题,不使用root。是否有不建议这样做的特殊情况?如果是这样,为什么使用 sudo 的完全访问帐户(所以你有审计)还不够?