Pode soar controverso, mas desabilitar a conta root em um sistema Linux é uma medida de segurança robusta. A inativação do usuário root é, na verdade, uma prática cada vez mais comum e amplamente recomendada por desenvolvedores de sistemas operacionais Linux.
Embora um sistema sem acesso direto à conta root não seja invulnerável a ataques, a probabilidade de um invasor comprometer o sistema e causar danos significativos é consideravelmente reduzida. Isso ocorre porque, mesmo com acesso via `sudo`, certas áreas do sistema permanecem protegidas e não podem ser modificadas quando a conta root está desativada.
Requisitos Prévios
Antes de proceder com a desativação da conta root, é fundamental tomar algumas precauções. O primeiro passo é garantir que todos os usuários com permissão para executar comandos via `sudo` possuam senhas fortes e seguras. Uma senha de usuário fraca comprometeria a proteção oferecida pela desativação da conta root.
A maneira mais rápida de fortalecer a segurança de uma conta de usuário é alterar a senha. Para isso, abra um terminal e execute o comando `passwd` seguido do nome de usuário. O sistema solicitará a criação de uma nova senha.
sudo passwd nome_de_usuario
No prompt “Digite a nova senha do UNIX”, escolha uma senha que seja memorável, mas não seja uma palavra comum do dicionário. Evite reutilizar senhas antigas.
Se precisar de ajuda para criar uma senha segura, experimente um gerador de senhas seguras. Estas ferramentas são projetadas para criar senhas fortes e complexas gratuitamente!
Com as senhas de todos os usuários com acesso a `sudo` devidamente protegidas, é hora de revisar o arquivo `sudoers`. Consulte nosso guia para saber como desabilitar o acesso via `sudo` para contas que você considere não seguras para executar comandos de nível de root.
Desabilitando a Conta Root
A desativação da conta root exige acesso de superusuário. Felizmente, o processo de desativação e embaralhamento da senha não exige o login direto como usuário root. Qualquer usuário com acesso ao `sudo` pode realizar essa tarefa. Para obter um shell de terminal com acesso root sem fazer login diretamente como usuário root, siga os passos abaixo em uma janela de terminal:
sudo -s
O comando `sudo -s` permite que qualquer usuário com privilégios execute comandos no nível do sistema, como se fosse o próprio usuário root.
Agora, no terminal, utilize o comando `passwd` para desativar a conta root, impedindo qualquer login direto nela.
passwd -l root
Bloquear a conta é uma medida eficaz para proteger a conta root. No entanto, se você considerar que o bloqueio não é suficiente, embaralhar a senha e torná-la inutilizável é uma alternativa. Para embaralhar a senha da conta root, use o seguinte comando no terminal:
usermod -p '!' root
O processo de embaralhamento é instantâneo. Assim que o comando `usermod` for executado, a senha da conta root se torna inacessível.
Após concluir o bloqueio da conta root, saia do shell de superusuário com o comando `exit` para finalizar o processo.
Reativando a Conta Root
Desabilitar a conta root é uma prática de segurança recomendada. Contudo, ter acesso a ela tem suas vantagens, principalmente a capacidade de modificar seu sistema Linux em todo o seu potencial. Se você precisar reativar a conta root, o processo é fácil de reverter.
No terminal, execute `sudo -s`, como feito anteriormente. Isso dará acesso ao superusuário no terminal, permitindo que você redefina a senha.
Use o comando `passwd` para desbloquear a conta root.
passwd root
Ao executar `passwd root`, o sistema solicitará a criação de uma nova senha para a conta root. Certifique-se de escolher uma senha forte e segura. Após a redefinição da senha, saia do terminal com o comando `exit`.
Práticas Recomendadas para a Conta Root
Desabilitar a conta root (ou, no mínimo, proteger sua senha) é um ótimo começo, mas não é suficiente para garantir a segurança total do sistema. Para proteger seu sistema Linux de forma eficaz, considere seguir estas práticas recomendadas:
- Certifique-se de que sua senha de root tenha pelo menos 14 caracteres. Senhas longas dificultam a adivinhação.
- Nunca use a mesma senha para a conta de usuário e a conta root.
- Altere as senhas mensalmente, ou com mais frequência, em todas as contas, incluindo a root.
- Use sempre números, letras maiúsculas e minúsculas, além de símbolos nas senhas.
- Crie contas de administrador com privilégios `sudoer` para usuários que precisam executar comandos de superusuário, em vez de fornecer a senha de root.
- Mantenha suas chaves SSH em segredo e permita que apenas usuários confiáveis façam login como root via SSH.
- Habilite a autenticação de dois fatores durante o login para aumentar a segurança do sistema.
- Utilize o firewall do Linux para proteger o sistema.