В целях безопасности рекомендуется создать и настроить на узлах виртуального устройства локальные учетные записи администратора для безопасной оболочки (протокол SSH). После создания этих учетных записей следует удалить доступ пользователя root к SSH.

Создайте учетные записи администратора для SSH или участников второстепенной группы wheel, либо и то и другое. Прежде чем отключить прямой доступ пользователя root, протестируйте доступ авторизованных администраторов к SSH с помощью параметра AllowGroups и убедитесь, что они могут использовать команду su to root с помощью группы wheel.

Процедура

  1. Выполните вход на виртуальном устройстве в качестве пользователя root и запустите указанные ниже команды с соответствующими именами пользователя.
    # useradd -g users <username> -G wheel -m -d /home/имя пользователя 
    			 # passwd username

    «Wheel» — группа, указанная в параметре AllowGroups для доступа к SSH. Для добавления нескольких второстепенных групп используйте команду -G wheel,sshd.

  2. Переключитесь на профиль пользователя и укажите новый пароль, чтобы повысить сложность пароля и надежность его проверки.
    # su –username 
    	# username@hostname:~>passwd 
    				
    Если требования к сложности пароля выполнены, пароль будет обновлен. В противном случае восстановится исходный пароль и вам необходимо будет запустить команду пароля заново.

  3. Чтобы отменить прямой вход в SSH, замените запись (#)PermitRootLogin yes на PermitRootLogin no в файле /etc/ssh/sshd_config.
    Вы также можете включить или выключить SSH в интерфейсе управления виртуального устройства, установив или сняв флажок Вход администратора в SSH включен на вкладке Администрирование.

Дальнейшие действия

Отключите прямой вход от имени пользователя root. По умолчанию на устройствах с повышенной надежностью разрешен прямой доступ к профилю пользователя root через консоль. После того как вы создадите учетные записи администратора для невозможности отказа и проверите их доступ su-root с помощью группы wheel, отключите прямой вход пользователя root, заменив от имени пользователя root запись tty1 на console в файле /etc/security.