Повышает ли безопасность отключение входа в систему root?

Короткий ответ: чем меньше ваш профиль атаки, тем лучше. Всегда. Если он вам не нужен или вы можете использовать альтернативу, например sudo или su, не включайте вход в систему с правами root.

Один большой аргумент в пользу отключения root и использования sudo / su заключается в том, что вы можете отслеживать, кто что делает. Один пользователь - один логин. Никогда не делитесь аккаунтами.

Аргумент в этой ссылке, кажется, специфичен для локального входа в систему, а не для ssh.

Второе замечание Денниса плюс:

Разрешение входа в систему root через SSH также означает, что root может быть атакован методом подбора пароля.

Поскольку root всегда есть, а награда настолько высока, это приоритетная цель. Сначала нужно будет угадать имя пользователя, что на несколько порядков усложнит задачу.

Никогда не отключайте учетную запись root, если у вас нет доступа к консоли. Если ваша файловая система заполняется и загрузка не выполняется во время создания / etc / nologin, только учетная запись root будет разрешена для входа в систему.

Тем не менее, если у вас есть консольный доступ для решения этих ситуаций, закрытие учетной записи root может избавить вас от некоторых головных болей, поскольку никто не сможет получить доступ к учетной записи root с помощью атаки по словарю (мой опыт показывает, что в наши дни это постоянно - кто-то всегда пытается). Другие вещи, о которых вы можете подумать:

• Установите такую ​​программу, как fail2ban, которая автоматически закрывает доступ к IP-адресу, если он не проходит аутентификацию более нескольких раз (для активной защиты от атак по словарю).
• Используйте только ключи ssh.
• Если вы управляете большим количеством машин, используйте cfengine или что-то еще для управления открытыми ключами, которые вы разрешаете для входа на машину (иначе вы быстро устареете).

С уважением,
Жуан Мигель Невеш

Всегда лучше отключить вход root через SSH.

Есть системы PKI (например, открытые ключи с SSH), которые были скомпрометированы. Ранее у SSH уже были недостатки удаленной аутентификации, которые позволяли взломать root. Программные PKI, как известно, слабее, чем PKI на аппаратной основе .... если ваш хост-компьютер скомпрометирован, целевой сервер также может легко упасть. Или в SSH могут быть обнаружены новые недостатки. Ограничивая вход в систему с правами root, вы также можете продлить период времени, необходимый злоумышленнику для выполнения эскалации привилегий.

Исторически сложилось так, что многие администраторы использовали хосты-бастионы (в основном шлюзы) для входа в сеть, а затем переходили к ящикам. Использование дистрибутива с высокой степенью защиты (например, OpenBSD) в качестве хоста-бастиона в сочетании с различными операционными системами обеспечивает глубокую защиту и защиту в разнообразии (одна уязвимость с меньшей вероятностью скомпрометирует всю сеть).

Также подумайте о внешнем подключении к вашей сети, например, о последовательном концентраторе, последовательном коммутаторе или другом. При необходимости это обеспечит резервное копирование вашего административного интерфейса.

Поскольку я параноик и в вопросах безопасности, я бы с большей вероятностью использовал IPSEC VPN или Type1 VPN, а затем запустил SSH поверх него, без какого-либо доступа к SSH в Интернете. Размещение VPN на вашем сетевом оборудовании может значительно упростить реализацию.

Мы должны рассмотреть этот вопрос с разных точек зрения.

Ubuntu по умолчанию отключает учетную запись root, что означает, что вы не можете войти через SSH с root. Но он позволяет любому, у кого есть компакт-диск Ubuntu, может загрузиться и получить root-доступ.

Я считаю, что лучший компромисс - включить учетную запись root с отключенным доступом SSH. Если вам нужен root-доступ по SSH, войдите под обычным пользователем и используйте sudo. Таким образом обеспечивается доступ к ящику без ущерба для удаленной безопасности.

Я бы сказал, да, вход в систему как root должен быть отключен для проверки. Если вы являетесь единственным системным администратором на этой машине, легко определить, кто что и кому сделал, но если десять человек уполномочены администрировать ящик и все они знают пароль root, у нас возникнет проблема.

Независимо от того, включен ли root, ни root, ни другие пользователи не должны иметь права удаленно входить в систему с паролем. fail2ban ничего не сделает против медленного ботнета методом перебора и вообще не работает с IPv6. (Протокол ssh версии 1 и более старые реализации версии 2 были уязвимы для атак подбора пароля на интерактивные подсказки пароля в сеансе ssh, но, похоже, это больше не относится к достаточно недавней реализации ssh.)