Ubuntu root user anlegen
Um die Sicherheit auf meinem Ubuntu Server zu erhöhen möchte ich den root user nutzen. Standardmäßig werden root Rechte dynamisch allen Benutzern der admin Gruppe mit dem Befehl sudo zugänglich, das möchte ich nun ändern. Nach der Installation hat der erste Benutzer root Rechte mit dem selben Passwort wie das Benutzerkonto.
Ubuntu root user anlegen
Mit folgendem Befehl wird der root user unter Ubuntu aktiviert:
1 | sudo passwd root |
man wird nun darum gebeten ein neues Passwort für root einzugeben. Falls der Schritt funktioniert bekommt man eine Erfolgsnachricht.
Root Rechte entziehen
Unter Ubuntu hat standardmäßig der bei der Installation eingerichtete Benutzer alle Rechte um sich mittels sudo root Rechte zu beschaffen. Das Passwort ist dabei das selbe des Benutzers. In unserer Einstellung wollen wir nur noch dem root Benutzer administrative Aufgaben erlauben, deshalb müssen wir sudo für alle anderen Benutzer deaktivieren.
Dazu öffnen wir als root die Datei /etc/group. Tipp: falls ihr den Server über SSH administriert könnt ihr euch jederzeit mit einem normalen Benutzer anmelden (sollte der root SSH Login deaktiviert sein). Mit dem Befehl su root wechselt ihr zum root Benutzer.
1 | nano /etc/group |
In dieser Datei findet ihr irgendwo einen Eintrag sudo und nach dem letzten Doppelpunkt stehen alle Benutzer die sudo Rechte haben, in meinem Fall nur einer:
1 | sudo:x:27:benutzer |
Wir löschen den Benutzername am Ende der Zeile heraus und speichern die Konfigurationsdatei ab. Sobald der Benutzer wieder sudo benutzt bekommt er folgende Meldung:
1 | benutzer ist nicht in der sudoers-Datei. Dieser Vorfall wird gemeldet. |
Die einzige Möglichkeit um nun administrative Rechte zu bekommen ist der Wechsel in den root user mit su root.
Fazit
Von nun an ist der Ubuntu Server besser gesichert. Es gibt einen eigenen root Benutzer mit einem eigenen Passwort (ihr habt dem hoffentlich ein neues gegeben). Bei deaktiviertem root SSH Login muss ich ein Angreifer zuerst als normaler Benutzer Zugriff beschaffen und kann erst dann zum root Benutzer wechseln. Fehlgeschlagene Logins werden umgehend dem Administrator gemeldet, ein Einbruch ist von dieser Seite kaum mehr möglich.
hallo, ich kann aber die group datei auch als root nicht öffnen . Keine Schreibrechte. In der Benutzer App kann ich nix neues anlegen und auch meine Eigenschaften nicht verändern, dewegen wollte ich das über die Shell machen.
Hallo, besten Dank für den Bericht. Dieser hat mir, obwohl nicht ganz neu (2019) echt geholfen. Ich hatte mich versehentlich als root user ausgesperrt. Mit den Ubuntu 18 Recovery-Mode konnte ich mich dann noch Admin-Rechte erlangen. Durch deine Anleitung wusste ich nun, wo und zu welchen Gruppen ich mein „root“ eintragen musste.
Danke für das Feedback, freut mich hilfreich gewesen zu sein.