النقاط الرئيسية
- إن تسجيل الدخول كمستخدم جذر في Linux أمر محفوف بالمخاطر لأنه يمنح امتيازات قوية للغاية. وتسجيل الدخول كمستخدم جذر عبر SSH أسوأ من ذلك، لأنه يسمح للمهاجمين عن بعد بالوصول إلى نظامك.
- توصي العديد من توزيعات Linux بعدم تسجيل الدخول كجذر وتقترح بدلاً من ذلك استخدام أمر sudo لرفع الامتيازات مؤقتًا عند الحاجة، مما يقلل من خطر الأخطاء أو الإجراءات الضارة.
- إذا كنت بحاجة إلى السماح بالوصول إلى الجذر عبر SSH، فمن الأفضل استخدام مفاتيح SSH بدلاً من كلمات المرور. وهذا يقضي على خطر التعرض لهجمات القوة الغاشمة والوصول غير المصرح به.
إن تسجيل الدخول كمستخدم جذر في Linux يعد ممارسة سيئة. وتسجيل الدخول كمستخدم جذر عبر اتصال SSH أسوأ من ذلك. سنخبرك بالسبب ونوضح لك كيفية منع حدوث ذلك.
تم تقديم هذه المقالة الخاصة بأسبوع التوعية بالأمن السيبراني إليك بالتعاون مع Incogni .
ما هو الجذر في لينكس؟
أنت بحاجة إلى شخص لديه السلطة لامتلاك وإدارة تلك الأجزاء من نظام التشغيل الخاص بك والتي تعتبر مهمة للغاية أو حساسة للغاية بحيث لا يستطيع المستخدمون العاديون التعامل معها. وهنا يأتي دور الجذر. الجذر هو المستخدم الفائق القوة لأنظمة التشغيل يونكس ولينكس.
إن حساب المستخدم الجذر، مثل جميع الحسابات، محمي بكلمة مرور. وبدون كلمة مرور المستخدم الجذر، لا يمكن لأي شخص آخر الوصول إلى هذا الحساب. وهذا يعني أنه لا يمكن لأي شخص آخر استخدام امتيازات وصلاحيات المستخدم الجذر. والجانب الآخر هو أن الدفاع الوحيد بين المستخدم الخبيث وصلاحيات المستخدم الجذر هو كلمة المرور. وبالطبع، يمكن تخمين كلمات المرور أو استنتاجها أو تحديدها مكتوبة في مكان ما أو إجبارها على الاختراق.
إذا اكتشف أحد المهاجمين كلمة مرور الجذر، فيمكنه تسجيل الدخول والقيام بأي شيء يريده بالنظام بأكمله. ومع الامتيازات المرتفعة للجذر، لا توجد قيود على ما يمكنه القيام به. سيكون الأمر كما لو أن مستخدم الجذر ابتعد عن المحطة الطرفية دون تسجيل الخروج، مما يسمح بالوصول الانتهازي إلى حسابه.
وبسبب هذه المخاطر، لا تسمح العديد من توزيعات لينكس الحديثة للمستخدم الجذر بتسجيل الدخول إلى الكمبيوتر محليًا، ناهيك عن تسجيل الدخول عبر SSH. المستخدم الجذر موجود، ولكن لا يتم تعيين كلمة مرور له. ومع ذلك، يجب أن يكون هناك شخص قادر على إدارة النظام. والحل لهذه المعضلة هو sudo يأمر.
sudo يسمح للمستخدمين المعينين باستخدام امتيازات مستوى الجذر مؤقتًا من داخل حساب المستخدم الخاص بهم. تحتاج إلى المصادقة لاستخدام sudo، والذي يمكنك القيام به عن طريق إدخال كلمة المرور الخاصة بك. وهذا يتيح لك الوصول المؤقت إلى إمكانيات الجذر.
تنتهي صلاحيات الجذر الخاصة بك عندما تغلق نافذة المحطة الطرفية التي كانت تستخدمها. إذا تركت نافذة المحطة الطرفية مفتوحة، فسوف تنتهي صلاحيات الجذر الخاصة بك، مما يعيدك تلقائيًا إلى حالة المستخدم العادي. وهذا يوفر نوعًا آخر من الحماية. فهو يحميك من نفسك.
إذا كنت تقوم بتسجيل الدخول بشكل معتاد كجذر بدلاً من حساب عادي، فإن أي أخطاء ترتكبها في سطر الأوامر قد تكون كارثية. sudo إن أداء الإدارة يعني أنك من المرجح أن تكون أكثر تركيزًا وحرصًا بشأن ما تكتبه.
يؤدي السماح بتسجيل الدخول الجذر عبر SSH إلى زيادة المخاطر لأن المهاجمين لا يحتاجون إلى أن يكونوا محليين؛ يمكنهم محاولة اختراق نظامك عن بعد.
المستخدم الجذر ووصول SSH
من المرجح أن تواجه هذه المشكلة عندما تدير أنظمة لأشخاص آخرين. ربما قرر شخص ما تعيين كلمة مرور الجذر حتى يتمكن من تسجيل الدخول. يجب تغيير الإعدادات الأخرى للسماح للجذر بتسجيل الدخول عبر SSH.
لن يحدث هذا الأمر بالصدفة. ولكن يمكن أن يحدث بواسطة أشخاص لا يدركون المخاطر المرتبطة به. إذا توليت إدارة جهاز كمبيوتر في هذه الحالة، فسوف تحتاج إلى إخطار المالكين لماذا يعد هذا الأمر فكرة سيئة، ثم إعادة النظام إلى العمل الآمن. إذا كان الأمر يتعلق بشيء تم تكوينه بواسطة مسؤول النظام السابق، فقد لا يعرف المالكون عنه.
هذا مستخدم على جهاز كمبيوتر يعمل بنظام Fedora، يقوم بإجراء اتصال SSH بجهاز كمبيوتر يعمل بنظام Ubuntu باعتباره المستخدم الجذر لجهاز كمبيوتر Ubuntu.
ssh root@ubuntu-22-04.local
يسمح كمبيوتر Ubuntu للمستخدم الجذر بتسجيل الدخول عبر SSH. على كمبيوتر Ubuntu، يمكننا أن نرى أن هناك اتصالاً مباشرًا جاريًا من المستخدم الجذر.
who
ما لا نستطيع رؤيته هو من يستخدم هذه الجلسة. لا نعرف ما إذا كان الشخص الموجود على الطرف الآخر من اتصال SSH هو المستخدم الجذر أم شخص تمكن من الحصول على كلمة مرور الجذر.
تعطيل وصول SSH للجذر
لتعطيل وصول SSH للمستخدم الجذر، نحتاج إلى إجراء تغييرات على ملف تكوين SSH. يوجد هذا الملف في “/etc/ssh/sshd_config.” سنحتاج إلى استخدام sudo لكتابة التغييرات عليه.
sudo gedit /etc/ssh/sshd_config
قم بالتمرير خلال الملف أو ابحث عن السلسلة “PermitRootLogin”.
إما تعيين هذا على “لا” أو التعليق على السطر عن طريق وضع علامة “#“كأول حرف في السطر. احفظ التغييرات.
نحن بحاجة إلى إعادة تشغيل برنامج SSH حتى تدخل التغييرات التي أجريناها حيز التنفيذ.
sudo systemctl restart ssh
إذا كنت تريد أيضًا منع عمليات تسجيل الدخول المحلية، فقم بتعطيل كلمة مرور الجذر. نحن نتبع نهج الحزام والأقواس ونستخدم كلاً من -l (قفل) و -d (خيارات حذف كلمة المرور).
sudo passwd root -ld
يؤدي هذا إلى قفل الحساب وإزالة كلمة مرور الحساب أيضًا. حتى إذا كان المستخدم الجذر يجلس فعليًا أمام جهاز الكمبيوتر الخاص بك، فلن يتمكن من تسجيل الدخول.
طريقة أكثر أمانًا للسماح بالوصول إلى الجذر عبر SSH
في بعض الأحيان قد تواجه مقاومة إدارية لإزالة حق الوصول إلى الجذر عبر SSH. وإذا لم يستمعوا إليك حقًا، فقد تجد نفسك في موقف يفرض عليك إعادة تفعيله. وإذا كانت هذه هي الحالة، فيجب أن تكون قادرًا على التوصل إلى حل وسط بطريقة تقلل من المخاطر وتسمح في الوقت نفسه بتسجيل الدخول عن بُعد من مستخدم الجذر.
إن استخدام مفاتيح SSH لإنشاء اتصال عبر SSH أكثر أمانًا من استخدام كلمات المرور. نظرًا لعدم وجود كلمات مرور، فلا يمكن اختراقها أو تخمينها أو اكتشافها بأي طريقة أخرى.
قبل قفل حساب الجذر المحلي، قم بإعداد مفاتيح SSH على الكمبيوتر البعيد حتى يتمكن مستخدم الجذر من الاتصال بالكمبيوتر المحلي الخاص بك. ثم قم بحذف كلمة المرور الخاصة به وقفل حسابه المحلي.
سوف نحتاج أيضًا إلى تعديل ملف “sshd_config” مرة أخرى.
sudo gedit /etc/ssh/sshd_config
قم بتغيير السطر “PermitRootLogin” بحيث يستخدم خيار “prohibit-password”.
احفظ التغييرات وأعد تشغيل برنامج SSH.
sudo systemctl restart ssh
الآن، حتى لو قام شخص ما بإعادة كلمة مرور المستخدم الجذر، فلن يتمكن من تسجيل الدخول عبر SSH باستخدام كلمة مرور.
عندما يقوم مستخدم الجذر البعيد بإجراء اتصال SSH بجهاز الكمبيوتر المحلي الخاص بك، يتم تبادل المفاتيح وفحصها. إذا اجتازوا عملية المصادقة، يتم توصيل مستخدم الجذر بجهاز الكمبيوتر المحلي الخاص بك دون الحاجة إلى كلمة مرور.
ssh root@ubuntu-22-04.local
ممنوع الدخول
إن رفض الاتصالات عن بعد من المستخدم الجذر هو الخيار الأفضل. أما السماح للمستخدم الجذر بالاتصال باستخدام مفاتيح SSH فهو الخيار الثاني الأفضل، ولكنه لا يزال أفضل كثيرًا من استخدام كلمات المرور.