Le groupe 'Wheel' est créé pour restreindre la connexion ssh directe du compte root. Il s'agit d'une mesure de sécurité pour durcir la sécurité du serveur.
La procédure consiste à créer un utilisateur Linux normal, à ajouter l'utilisateur au groupe, puis à éditer sshd_conf pour désactiver la connexion root.
Nous devrons donc ensuite nous connecter via l'utilisateur que nous appellerons 'admin', puis su pour nous connecter en tant que root.
Créer et définir le mot de passe admin
En root, commande à exécuter pour créer votre utilisateur
# useradd admin
Commande pour définir le mot de passe de cet utilisateur
# passwd admin
Vous pouvez vérifier la bonne configuration du compte via la commande id
[root@root ~]# id admin uid=10018(admin) gid=10018(admin) groups=10018(admin) [root@root ~]# ls -lad /home/admin/ drwx------ 2 admin admin 4096 Jun 25 16:01 /home/admin/
Ajouter des droits à l'utilisateur ou l'ajouter au groupe 'Wheel'
Vous pouvez soit configurer les droits de l'utilisateur dans le fichier de configuration "Sudoers" ou l'ajouter au groupe prédéfini.
Pour les autorisations sudo pour votre nouvel utilisateur administrateur, utilisez la commande suivante :
#echo 'admin ALL=(ALL) ALL' >> /etc/sudoers
Pour ajouter cet utilisateur à ce groupe, voici les commandes
# usermod -aG wheel admin
A savoir que sous Ubuntu, le groupe s'appelle sudo et non wheel
Petit aparté si vous utilisez WHM, voici la procédure :.
Dans Main >> Security Center >> Manage Wheel Group Users
Sélectionnez l'utilisateur admin sous Ajouter un utilisateur au groupe wheel et Ajouter au groupe
Désactiver la connexion root
Avant d'effectuer cette action, assurez-vous que depuis votre utilisateur admin vous êtes bien apte à vous connecter et à basculer en root (via 'su -' ou 'sudo su -'). Sans quoi vous perdrez accès à votre serveur.
Editer le fichier sshd_config
# vi /etc/ssh/sshd_config
Trouver la ligne et le paramètre "PermitRootLogin yes" (Astuce vi, effectuez un slash suivi du texte à rechercher. Ex : /Permit)
Changer le paramètre par "PermitRootLogin no" (appuyer sur 'i' pour éditer)
Sauvegarder et quitter (echap puis wq! et entrer)
Redémarrer votre service sshd, dont voici un exemple de commande
[root@root ~]# /etc/init.d/sshd restart Stopping sshd: [ OK ] Starting sshd: [ OK ]
PS : Pour sécuriser davantage le serveur, changez le port ssh (default 22) en celui que vous souhaitez. Cela évitera du brute force inutile.
Autre information, pour exploiter les droits root vous aurez le choix entre su et sudo. Su vous bascule sur le compte d'utilisateur root et requiert le mot de passe du compte root. Sudo exécute une seule commande avec les privilèges root – il ne passe pas à l'utilisateur root et ne nécessite pas de mot de passe d'utilisateur root distinct.