这个问题分为两部分。首先,我只是想验证一下我是否做得正确,因为我不确定如何测试。目标是禁止 root 帐户登录并让每个人都使用sudo。为了实现这一点,我锁定了 root 帐户,以防止任何人以 root 身份登录。如果有需要,我可以随时创建一个具有完全权限的帐户,并通过 sudo 运行 root 所需的命令。这引出了我的第二个问题,但我会在最后问这个问题。
我之所以寻求验证,是因为当我研究该主题以及如何实现这一点时,讨论已经过时了,并建议人们首先通过rootpw他们的 kickstart 文件中设置密码,然后编写一个脚本来编辑%post该/etc/shadow文件以将密码设置为其他内容,或者使用!!。我查看了我的 Amazon EC2 实例,看看 Amazon 对 root 帐户做了什么,它看起来像这样:
root:*LOCK*:14600::::::
我假设其被锁定的原因是*而不是*LOCK*。如果我的假设正确,那么将:
root:*LOCK*:14600::::::
是否相同?:
root:*:14600::::::
话虽如此,在我的 kickstart 文件中,我编辑了有关rootpw以下内容的行:
rootpw --iscrypted *
安装后,我的/etc/shadow文件如下所示:
root:*::0:99999:7:::
因此我的第一个问题是,这是一种锁定 root 帐户的正确方法吗?
其次,关于我之前提到的话题,不要使用 root。是否有任何特殊情况不建议这样做?如果是这样,为什么具有 sudo 的完全访问帐户(以便您进行审计)不够用?
答案1
定义的方式在 kickstart 中锁定 root 帐户的方法是:
rootpw --lock
--lock- 如果存在此选项,则默认锁定 root 帐户。这意味着 root 用户将无法从控制台登录。此选项还将禁用根密码图形和基于文本的手动安装中的屏幕。