Я знаю, что могу запретить пользователю root вход в систему через ssh с помощью / etc / ssh / sshd_config, но аудиторы также хотят, чтобы это было сделано в /etc/security/access.conf.
Это кажется выполнимым, но я не могу определить правильный синтаксис или порядок?
Чтобы проверить, я разрешаю вход в систему с правами root в / etc / ssh / sshd_config, а затем пытаюсь войти через ssh.
не является ли securetty очевидным способом сделать это вместо этого? (access.conf зависит от того, используется ли PAM через SSH, что может и не быть.)
Когда кто-то входит в систему, файл access.conf сканируется на предмет первой совпадающей записи ... Необходимо запретить пользователю root доступ из всех других источников.
- : root : ALL
Цитируется из справочной страницы
На мой взгляд, это неправильно. root обязательно должен быть разрешен вход в систему, когда пользователь имеет физический доступ к ящику.
Я считаю IPMI физическим доступом, если вы не хотите, чтобы он отсоединял кабель, это единственный способ быть уверенным, что вам нужно стоять перед коробкой, чтобы иметь эквивалент физического доступа. В некоторых средах у меня даже есть тенденция к тому, чтобы корневой терминал работал без необходимости входа в систему - при условии, что имеется надлежащий контроль доступа к объекту.
Почему: sudo может выйти из строя, и предоставление пароля root группе людей, чтобы они могли войти в систему, просто создает проблемы, вам придется менять пароль довольно часто в больших командах, поскольку всегда будут колебания. С "открытым" корневым терминалом не нужно беспокоиться о пароле - все при условии, что существует надлежащий контроль доступа и что доступ IPMI также защищен с помощью персонализированных учетных записей
(Не опускайте меня за это, я могу представить, что против этого есть масса причин, но я считаю, что это лучшее - более практичное - решение, чем иметь политику паролей для root, которая рано или поздно будет забыта . И если вам нужен root-доступ, вы должны прыгать по квадратам, чтобы получить "Пароль дня")