禁用 root 用户

在增强型 RBAC 方式中，可配置系统以使 root 用户不具有关联的特殊权利并被系统视为普通用户。

以前，root 的用户标识值 0 被操作系统视为特权标识并允许绕过强制的安全检查。 禁用 root 用户操作有效地从操作系统中免除了允许标识为 0 的用户绕过安全检查的检查，反而要求进程具有通过安全检查的特权。 禁用 root 用户可使攻击者造成的损坏降至最低，因为系统上不再有拥有全部权利的单个用户身份。 在禁用了 root 用户后，系统管理必须由已指定了特权角色的用户来执行。

setsecconf –o root=disable

运行此命令之后，就不能通过远程登录（或本地登录）或通过 su 命令来访问 root 用户帐户了。 但是，因为 root 用户帐户仍然是文件系统上文件的所有者，所以如果需要该帐户，那么用户将具有对特权文件的访问权。

在禁用了 root 的系统上，将不再向 root 所拥有的进程指定任何特殊权利或特权。 如果系统具有 root 用户所拥有的 setuid 应用程序，而这些应用程序尚未添加到特权命令数据库中，应考虑这种情况。 这些 setuid 应用程序在禁用了 root 的环境中很可能会失败，因为进程不能执行特权操作。 在禁用了 root 的系统中，任何需要执行特权操作的命令都应添加到特权命令数据库中并指定适当的特权。 因此，在禁用 root 用户的权利之前，首先应该对系统及系统上使用的应用程序进行仔细的分析。