Linux – Comment désactiver le compte root sur Debian 12 ?
Sommaire
I. Présentation
Dans ce tutoriel, nous allons voir comment désactiver le compte root sur Debian 12. Nous verrons quelles sont les précautions à prendre pour effectuer cette action sans risquer de perdre les droits d'administration sur sa machine.
Comme vous le savez certainement déjà, le compte root encore appelé « superutilisateur », est le compte disposant par défaut de tous les privilèges sur un système Linux (équivalent du compte administrateur ou système sous Windows). En d’autres termes, si un attaquant parvenait à l’usurper (vu qu’il s’appelle effectivement « root » sur le système et qu’il peut faire l’objet d’une attaque par dictionnaire ou même brute force si son mot de passe n’est pas assez robuste), ce dernier disposerait désormais de tous les privilèges sur notre système et pourrait même le compromettre s’il le souhaite.
Sur certaines distributions de Linux telles qu’Ubuntu, ce compte est désactivé par défaut. Ce qui n’est pas forcément le cas pour la distribution Debian.
On peut bien évidemment aussi le désactiver sur Debian si on le souhaite. Cependant, il faut savoir qu’une fois désactivé sur un système, il devient impossible d’effectuer toute tâche d’administration sur ledit système. Il faudra donc penser à déléguer les privilèges d’administration à un autre compte sur le système (au moins la capacité de réactiver root au besoin). Sans bien sûr oublier de lui configurer un mot de passe assez robuste avant toute désactivation du compte root, et c’est ce que nous verrons ici.
II. 2 méthodes pour désactiver root sur Linux
A. Avant l’installation de Debian
La méthode la plus simple pour désactiver le compte root sous Debian 12 consiste à omettre ou éviter de lui attribuer un mot de passe lorsqu’on est en train d’installer et de configurer le système pour la première fois. On n’a qu’à cliquer sur le bouton « Continuer » lorsqu’on est invité à fournir ledit mot de passe pour ce compte et le tour est joué.
La création d’un second compte sur le système est ensuite demandée. Ce dernier fera alors office de « superutilisateur » (étant directement intégré au groupe « sudo ») et sera utilisé pour toutes les tâches d’administration sur le système.
On devra par ailleurs procéder à une seconde authentification en utilisant la commande « sudo + paramètres » suivi du mot de passe de ce second compte pour agir en tant que superutilisateur (ce qui n’est pas le cas pour root qui lui n’a besoin que d’un seul tour d’authentification pour devenir « superutilisateur »).
B. Après l’installation de Debian
On peut aussi désactiver le compte root après installation du système Debian 12. Cependant, pour éviter tout désagrément, il y a quelques configurations à effectuer avant de procéder à sa désactivation :
1 - Intégrer un autre compte au groupe « sudo », qui lui remplacera le compte root et sera utilisable comme compte d’administration au besoin : comme dit plus haut, une fois le compte root désactivé, on perd automatiquement les privilèges d’administration du système si on n’a pas pensé à désigner un autre compte en tant que tel. La commande suivante permet d’intégrer le nouvel utilisateur « meister » au groupe sudo.
usermod –aG sudo meister2 - Installer ou activer le paquet « sudo », qui n’est pas installé par défaut lorsque le compte root natif est configuré pendant l’installation de Debian. Ce qui permettra ici d’utiliser les commandes « sudo » pour passer en superutilisateur en utilisant le compte « meister ».
On peut éventuellement aller modifier le champ d’action du nouvel administrateur en allant modifier le fichier « /etc/sudoers » pour le groupe sudo, disposant par défaut de tous les droits pour ses utilisateurs sur le système. Cette règle par défaut est finie grâce à cette ligne :
(%sudo ALL= (ALL:ALL) ALL)
Il est indispensable d'installer et de configurer sudo, et de tester son bon fonctionnement, avant de désactiver le compte root.
On peut donc ainsi procéder à la désactivation du compte root (étant connecté avec ledit compte ou non) avec la commande ci-dessous :
usermod -p '!' root Si on déconnecte ensuite le compte root et qu’on essaye à nouveau de se connecter en utilisant ce dernier, le système devrait en principe rejeter la demande d’authentification en renvoyant le message « login incorrect » !
Si on s’authentifie par contre avec le compte « meister » et qu’on passe ensuite sous « sudo » avec ce dernier en utilisant son propre mot de passe (et non plus celui du compte root), on peut bien voir qu’on est passé en superutilisateur.
On peut aussi aller jeter un coup d’œil au niveau des dix derniers logs d’authentification. Ce sera l'occasion de se rendre compte que l’authentification en tant que superutilisateur en passant directement par le compte root n’est plus possible. Seul le compte meister détient ce droit-là !
tail –n 10 /var/log/auth.log
III. Conclusion
Vous savez désormais comment désactiver le compte root sous Debian 12. Si, par contre, vous souhaitez le réactiver pour une raison ou une autre, cela est possible en rentrant la commande ci-dessous dans une console du terminal et en lui attribuant un nouveau mot de passe au passage.
sudo passwd rootCette manœuvre n’est bien sûr possible que lorsqu’on est connecté avec un compte disposant des privilèges « root », donc via sudo en préfixe.
