安装OPNsense后,默认登录名为root用户。为了保证安全,强烈不建议root以用户身份登录,因为用户对文件和进程具有完全访问权限。例如,Linux用户在安装时会被要求创建一个单独的用户帐户。然后用户可以使用sudo命令提升权限来执行管理任务。如果用户的帐户被盗用,理论上该root帐户仍然受到保护(假设没有特权提升漏洞被利用或密码已被发现)。
OpenSSH有一个选项可以禁用SSH服务器的root用户访问权限。作为一种安全机制,它可以防止以root用户直接登录。基于FreeBSD构建的OPNsense也不例外。
创建新的管理员帐户
转到“系统>访问>用户”,可以看到root为列出的默认用户:
在禁用root用户帐户之前,需要创建一个设置为管理员的新用户帐户。创建新管理员时,最重要的部分是“组成员”部分。需要将“管理员”组从左侧框移动到右侧框:
添加新用户后,您会注意到您有两个管理员帐户:
禁用root用户
现在已经创建新的管理员用户,需要注销该root帐户,然后登录新的管理员帐户。
注意:已登录帐号无法禁用自己。
返回“系统 > 访问 > 用户”页面。现在单击root用户旁边的编辑按钮。单击标签“已禁用”旁边的复选框:
单击“保存”并返回用户帐户页面后,应该看到该root用户现在变为灰色,表示已被禁用。
现在,我们只能使用新创建的管理员用户帐户登录!
启用Sudo进行SSH访问
如果希望在通过SSH或控制台登录时拥有权限,则需要启用sudo,sudo如下面的屏幕截图所示。可以在“系统 > 设置 > 管理”页面底部附近的“身份验证”部分中找到这些设置。
“Sudo”选项选择“询问密码”。也可以选择“wheel, admins”而不是“wheel”,以与SSH的登录组保持一致。
当通过新的管理员帐户登录SSH时,可以输入sudo su,并且将会看到与以root用户身份登录相同的菜单选项。