Niedawno znalazłem argument przeciwko wyłączeniu logowania użytkownika root w systemie Linux pod adresem http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html
Zakładam, że jeśli wszyscy korzystają z uwierzytelniania za pomocą klucza publicznego, nie ma ryzyka utraty hasła roota.
Czy zawsze lepiej jest wyłączyć logowanie roota przez ssh?
Odpowiedzi:
Krótka odpowiedź brzmi: im mniejszy profil ataku, tym lepiej. Zawsze. Jeśli nie potrzebujesz go lub możesz użyć alternatywy, takiej jak sudo lub su, nie włączaj logowania roota.
Jednym z głównych argumentów na rzecz wyłączenia roota i używania sudo / su jest to, że możesz śledzić, kto co robi. Jeden użytkownik - jeden login. Nigdy nie udostępniaj kont.
Argument pod tym linkiem wydaje się być specyficzny dla lokalnego logowania, a nie ssh.
źródło
sudo -i
a twoje działania pojawiają się jako root, a nie twojeDrugi punkt Dennisa plus:
Zezwolenie na logowanie do roota przez SSH oznacza również, że root może zostać przypisany przez domniemane hasła brute force.
Ponieważ root jest zawsze obecny, a nagroda jest tak wysoka, jest priorytetowym celem. Najpierw należy odgadnąć nazwę użytkownika, co zwiększa trudność problemu o kilka rzędów wielkości.
źródło
PermitRootLogin without-password
zestawem opcji.Nigdy nie wyłączaj konta root, jeśli nie masz dostępu do konsoli. Jeśli twój system plików zapełni się i rozruch nie powiedzie się podczas tworzenia / etc / nologin, tylko konto roota będzie mogło zalogować się do komputera.
To powiedziawszy, jeśli masz dostęp do konsoli, aby poradzić sobie z tymi sytuacjami, zamknięcie konta roota może zaoszczędzić ci bólu głowy, ponieważ nikt nie będzie w stanie uzyskać dostępu do konta roota za pomocą ataku słownikowego (moje doświadczenie jest takie, że są one stałe w dzisiejszych czasach - ktoś zawsze próbuje). Inne rzeczy, o których możesz pomyśleć:
Z pozdrowieniami,
João Miguel Neves
źródło
Zawsze lepiej jest wyłączyć logowanie roota przez SSH.
Istnieją systemy PKI (np. Klucze publiczne z SSH), które zostały przejęte. W SSH występowały już wady w zakresie zdalnego uwierzytelniania, które umożliwiały kompromis roota. Oprogramowanie PKI są znacznie słabsze niż PKI oparte na sprzęcie .... jeśli komputer hosta zostanie naruszony, serwer docelowy może również łatwo spaść. Lub mogą istnieć nowe wady w SSH. Ograniczając logowanie do konta root, możesz także przedłużyć czas, jaki osoba atakująca potrzebuje, aby wykonać eskalację uprawnień.
Historycznie wielu administratorów korzystało z hostów bastionowych (w zasadzie bram), aby wejść do sieci, a następnie przeskoczyć do skrzynek. Korzystanie z wysoce bezpiecznej dystrybucji (np. OpenBSD) jako hosta bastionu w połączeniu z różnymi systemami operacyjnymi zapewnia kompleksową ochronę i różnorodność obrony (jedna luka rzadziej zagraża całej sieci).
Należy również rozważyć połączenie poza pasmem z siecią, takie jak koncentrator szeregowy, przełącznik szeregowy lub inny. W razie potrzeby zapewni to dostępność kopii zapasowej interfejsu administracyjnego.
Ponieważ jestem paranoikiem i jestem bezpieczny, chętniej skorzystam z IPSEC VPN lub Type1 VPN, a następnie uruchomię SSH na nim, bez żadnej ekspozycji SSH w Internecie. Wprowadzenie VPN na sprzęcie sieciowym może znacznie uprościć to we wdrażaniu.
źródło
Powinniśmy zbadać to pytanie z różnych punktów.
Ubuntu domyślnie wyłącza konto root, co oznacza, że nie można zalogować się przez SSH z rootem. Pozwala jednak każdemu z płytą CD Ubuntu na rozruch i uzyskanie dostępu do konta root.
Uważam, że najlepszym kompromisem jest włączenie konta root z wyłączonym dostępem SSH. Jeśli potrzebujesz dostępu do roota za pomocą SSH, zaloguj się u zwykłego użytkownika i użyj sudo. W ten sposób zabezpiecza dostęp do skrzynki, bez narażania bezpieczeństwa zdalnego.
źródło
Powiedziałbym tak, logowanie jako root powinno być wyłączone dla kontroli. Jeśli jesteś jedynym administratorem systemu na tym komputerze, ustalenie, kto zrobił komu, jest trywialne, ale jeśli dziesięć osób jest upoważnionych do administrowania skrzynką i wszyscy znają hasło roota, mamy problem.
Bez względu na to, czy root jest włączony, root ani żaden inny użytkownik nie powinni mieć możliwości zdalnego logowania przy użyciu hasła. fail2ban nie zrobi nic przeciwko powolnemu botnetowi typu brute-force i nie działa w ogóle z IPv6. (Protokół ssh w wersji 1 i starsze implementacje wersji 2 były podatne na ataki polegające na odgadywaniu haseł na interaktywne monity o hasła w sesji ssh, ale wydaje się, że nie jest tak już w przypadku wystarczająco niedawnej implementacji ssh).
źródło