Akun sistem root digunakan untuk lebih dari sekadar tugas administratif. Banyak bagian dari sistem operasi Linux yang sebenarnya berjalan di bawah kredensial root. Banyak distribusi menonaktifkan akun root sebenarnya untuk pengguna dan sebagai gantinya mengizinkan fungsi administratif berdasarkan keanggotaan dalam grup roda.
Anggota grup roda menggunakan hak administratif root dengan potensi yang lebih kecil untuk merusak sistem. Misalnya, anggota grup roda dapat menggunakan perintah sudo untuk menghindari keharusan masuk sebagai pengguna root. Anda dapat menggunakan perintah visudo untuk mengedit hak istimewa grup roda, jika perlu. Anda dapat menambahkan pengguna ke grup roda untuk memberi mereka hak istimewa. Berhati-hatilah dengan keanggotaan grup roda.
RPM mana yang menyediakan grup roda?
Grup roda adalah bagian dari file /etc/group yang dikirimkan dalam rpm pengaturan. Tidak ada pada sistem yang tampaknya menggunakan grup, setidaknya secara default, jadi seharusnya aman untuk menghapus entri grup roda jika diinginkan.
Cara menolak anggota wheel-group untuk mengubah kata sandi root
Kita dapat mengedit file /etc/sudoers dan menambahkan '!/usr/bin/passwd root' ke bagian roda dari baris.
1. Edit /etc/sudoers di visudo.
Catatan :visudo mengedit file sudoers dengan cara yang aman, analog dengan vipw(8). visudo mengunci file sudoers terhadap beberapa pengeditan simultan, menyediakan pemeriksaan kewarasan dasar, dan memeriksa kesalahan penguraian. Jika file sudoers sedang diedit, Anda akan menerima pesan untuk mencoba lagi nanti.# visudo -f /etc/sudoers
Ubah dari:
%wheel ALL=(ALL) ALL
Ubah ke:
%wheel ALL=(ALL) ALL, !/usr/bin/passwd root
2.. Mulai ulang layanan sshd
# systemctl restart sshd
3. SSH dengan pengguna (yang ditambahkan ke grup roda) dan coba setel ulang kata sandi root, Anda akan mendapatkan kesalahan seperti di bawah ini:
$ sudo passwd root Sorry, user geek is not allowed to execute '/bin/passwd root' as root on lab.system01