Назад | Перейти на главную страницу

Почему нам не рекомендуется входить в SSH с правами root

Возможный дубликат:
Почему нельзя разрешить пользователю root входить в систему через ssh?

Привет! Почему безопаснее не входить в систему как root через SSH? Поскольку логин защищен SSH, пароль root не передается в виде обычного текста через Интернет. Кроме того, как только вы вошли, вам нужно выполнить SU в root для выполнения определенных задач, чтобы пароль root все еще был открыт. Я подозреваю, что упускаю суть, но когда я ищу это, я просто нахожу совет, но без убедительных причин.

Любой совет с благодарностью получен.

Спасибо C

Два момента: 1.) Поскольку Root всегда присутствует, и выигрыш будет таким высоким, вполне вероятно, что в конечном итоге будет произведена атака грубой силы против root. Для других пользователей сначала нужно будет угадать имя пользователя. И тогда у пользователей должны быть разрешения. Сделать грубую силу просто не стоит усилий.

2.) Никто не должен входить в систему как root, и вы должны использовать sudo только для выполнения привилегированных команд. Следовательно, нет смысла входить в систему root.

==> Вероятный выигрыш, без потерь при отключении root по ssh.

Также есть аспект ведения журнала. Когда вы выполняете su или sudo, он регистрирует ваше имя пользователя, тогда как если вы входите в ssh как root, в журнал будет записан только ваш IP-адрес. Хотя обычно вы можете сопоставить IP-адрес с определенным пользователем, все же гораздо важнее просто зарегистрировать имя пользователя.

То, что сказано в posipiet, плюс: это означает, что для получения root-доступа необходимы два набора доверенной информации, а не только один; пароль root сам по себе становится бесполезным и может использоваться только вместе с учетной записью обычного пользователя (а если доступ к su ограничен, только вместе с учетной записью доверенного пользователя).

Хорошо, что все знают, что root (имя пользователя) является администратором вашего ящика, поэтому, запрещая удаленный доступ root к ssh в вашем ящике, вы немного усложняете хакерам доступ к вашему ящику, так как теперь им нужно будет угадать имя пользователя на вашем ящике.

  1. Как root, vi / etc / ssh / sshd_config

  2. Найдите (или создайте) строку, которая гласит

Цитата

#Authentication: #LoginGraceTime 120

PermitRootLogin нет

#StrictModes yes

Строка PermitRootLogin no является важной. Обратите внимание, что перед ним нет #.

  1. После внесения изменений сохраните файл (затем esc: wq).

  2. Перезапустите sshd (перезапуск службы sshd).

С этой строкой корень не может использовать ssh в коробке. Чтобы стать пользователем root, войдите по ssh как обычный пользователь, затем используйте su - чтобы стать root после входа в систему.

Цель двоякая:

  1. Отключив root SSH, злоумышленники теперь должны угадывать пароли и учетные записи. (вы также можете полностью отключить пароли и полагаться на PKI ...)
  2. Отключив корневой SSH, мы получим более надежный метод идентификации и ведения журнала. Таким образом, если мы проведем аудит сервера после атаки, мы сможем увидеть не только, какой IP-адрес вошел в систему, но и какие учетные данные. Некоторые места даже отключают SU и требуют от администраторов использовать sudo, что снижает вероятность того, что люди оставят окно терминала открытым для атак прохожих, и генерирует больше данных журнала о том, кто что сделал.

"root" имеет почти религиозный статус в мире администрирования серверов unix / linux почти полностью из-за истории использования этих ОС в качестве многопользовательский системы. назад, когда в вашей компании, отделе или колледже а server концепция быть всемогущим среди десятков или сотен что-то значила.

Теперь, особенно в современных средах виртуализации и / или облачного типа, это почти полностью рудиментарный страх. Все больше и больше наших серверов являются не только однопользовательскими, но и отдельными приложениями, связанными друг с другом через сетевые службы. Это особенно верно для веб-кластеров, ваши серверы apache - это ваши серверы apache, ваши серверы mysql - это ваши серверы mysql, почти не имеет значения, если вы запускаете их в однопользовательском режиме и все как root.

Очевидно, есть исключения, и мы еще не дошли до этого, но аура силы, которая имеет тенденцию сопровождать слово "root", действительно применима к вашему паролю vcenter или закрытому ключу aws в наши дни больше, чем учетная запись posix в нескольких приложениях серверы.