Cum să adăugați un utilizator la grupul Root și să acordați privilegii în Linux (în siguranță)

Acordarea de privilegii la nivel de rădăcină unui utilizator într-un sistem Linux este o sarcină puternică și periculoasă. Este esențială atunci când gestionați servere, automatizare sau când acordați administratorilor de sistem control deplin – dar trebuie făcută corect și sigur pentru a evita expunerea sistemului dvs. la vulnerabilități sau greșeli ireversibile.

În acest articol, vom explora modul de adăugare a unui utilizator la grupul root, de acordare a privilegiilor root și vom acoperi cele mai bune practici și implicațiile de securitate.

🧠 Înțelegerea privilegiilor Linux și a grupului Root

În Linux, root este superutilizatorul cu acces nerestricționat. Cu toate acestea, utilizatorii obișnuiți nu ar trebui să opereze niciodată direct ca root. În schimb, privilegiile pot fi delegate folosind:

  • Mecanismul sudo (prin /etc/sudoers sau /etc/sudoers.d/)
  • Accesul bazat pe grup (atribuirea utilizatorilor la grupul root sau sudo, în funcție de distribuție)

⚠️ Înainte de a începe

  • Trebuie să aveți acces sudo sau root.
  • Utilizați acești pași numai pentru utilizatorii de încredere.
  • Creați întotdeauna o copie de rezervă sau testați într-un mediu sandboxed.

🛠️ Pas cu pas: Adăugarea unui utilizator la grupul Root și acordarea de privilegii

🔹 Pasul 1: Crearea utilizatorului (dacă nu există)

sudo adduser alice
username: alice (vă puteți alege numele de utilizator)

Vi se va solicita să setați o parolă și metadate opționale pentru utilizatorul alice.

🔹 Pasul 2: Adăugați utilizatorul la rădăcină sau la grupul Sudo

Pe sistemele bazate pe Debian/Ubuntu, se utilizează grupul sudo:

sudo usermod -aG sudo alice

Pe RHEL/CentOS/Fedora, se utilizează grupul wheel:

sudo usermod -aG wheel alice

🔎 wheel este un grup Unix tradițional utilizat pentru accesul administrativ.

Dacă într-adevăr doriți să adăugați utilizatorul direct în grupul root (nu este recomandat):

sudo usermod -aG root alice

❗ Acest lucru poate încălca limitele de securitate, mai ales dacă configurația dvs. PAM sau SSH tratează root diferit.

🔹 Pasul 3: Verificarea apartenenței la grup

groups alice

Rezultat așteptat:

🔹 Pasul 4: Acordarea sau modificarea privilegiilor Sudo (opțional, dar mai sigur)

Pentru a acorda în mod explicit privilegii prin sudo:

  1. Editați fișierul sudoers în siguranță cu visudo:
    sudo visudo
  2. Adăugați:
    alice ALL=(ALL) NOPASSWD:ALL

🔐 Puteți restricționa comenzile sau adăuga o cerință de parolă, dacă este necesar:

alice ALL=(ALL) ALL

✅ Bonus: Testarea privilegiilor

Conectați-vă sau treceți la utilizator:

su - alice

Testați accesul root:

sudo whoami

Rezultat așteptat:

🚫 Avertisment de securitate: Nu faceți acest lucru cu ușurință

  • Evitați adăugarea de utilizatori la grupul rădăcină real, cu excepția cazului în care este necesar pentru compatibilitatea cu moștenirea.
  • Preferați grupul sudo sau wheel cu comenzi limitate utilizând regulile sudoers.
  • Monitorizați jurnalele prin:
    sudo journalctl -xe | grep alice

🔐 Sfat avansat: Acordați privilegii Root numai pentru anumite comenzi

În /etc/sudoers sau /etc/sudoers.d/alice:

alice ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart nginx

Aceasta permite utilizatorului să repornească doar Nginx – o abordare mai sigură.

🧩 Rezolvarea problemelor

ProblemăSoluție
Utilizatorul încă nu poate executa sudoDeconectați-vă și conectați-vă din nou (sau reporniți sesiunea)
“Utilizatorul nu se află în fișierul sudoers”Verificați sintaxa /etc/sudoers prin visudo
SSH nu permite autentificareaVerificați /etc/ssh/sshd_config pentru AllowGroups

Pasul 5: Înlăturarea unui utilizator din grupul sudo sau root

Dacă trebuie să revocați privilegiile sudo sau root unui utilizator, îl puteți elimina din grupul respectiv cu următoarea comandă:

Înlăturarea unui utilizator din grupul sudo

sudo deluser username sudo

Înlocuiți username cu numele utilizatorului. Această comandă elimină utilizatorul din grupul sudo, revocându-i capacitatea de a executa comenzi ca superutilizator.

Înlăturarea unui utilizator din grupul root

sudo deluser username root

🧭 Concluzie

Adăugarea unui utilizator la grupul root sau acordarea privilegiilor de root în Linux este simplă în execuție, dar complexă în impact. Pentru securitate și stabilitate pe termen lung:

  • Utilizați sudo, nu accesul direct la root.
  • Aplicați principiul celui mai mic privilegiu.
  • Monitorizați periodic utilizarea și jurnalele de audit.

🛡️ Rețineți: O mare putere implică o mare responsabilitate – în special pe un server de producție.