Недавно я нашел аргумент против отключения входа пользователя root в Linux на http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html
Я предполагаю, что, если все используют аутентификацию с открытым ключом, нет риска потерять пароль root.
Всегда ли лучше отключать вход root через ssh?
Короткий ответ: чем меньше ваш профиль атаки, тем лучше. Всегда. Если он вам не нужен или вы можете использовать альтернативу, например sudo или su, не включайте вход в систему с правами root.
Один большой аргумент в пользу отключения root и использования sudo / su заключается в том, что вы можете отслеживать, кто что делает. Один пользователь - один логин. Никогда не делитесь аккаунтами.
Аргумент в этой ссылке, кажется, специфичен для локального входа в систему, а не для ssh.
Второе замечание Денниса плюс:
Разрешение входа в систему root через SSH также означает, что root может быть атакован методом подбора пароля.
Поскольку root всегда есть, а награда настолько высока, это приоритетная цель. Сначала нужно будет угадать имя пользователя, что на несколько порядков усложнит задачу.
Никогда не отключайте учетную запись root, если у вас нет доступа к консоли. Если ваша файловая система заполняется и загрузка не выполняется во время создания / etc / nologin, только учетная запись root будет разрешена для входа в систему.
Тем не менее, если у вас есть консольный доступ для решения этих ситуаций, закрытие учетной записи root может избавить вас от некоторых головных болей, поскольку никто не сможет получить доступ к учетной записи root с помощью атаки по словарю (мой опыт показывает, что в наши дни это постоянно - кто-то всегда пытается). Другие вещи, о которых вы можете подумать:
С уважением,
Жуан Мигель Невеш
Всегда лучше отключить вход root через SSH.
Есть системы PKI (например, открытые ключи с SSH), которые были скомпрометированы. Ранее у SSH уже были недостатки удаленной аутентификации, которые позволяли взломать root. Программные PKI, как известно, слабее, чем PKI на аппаратной основе .... если ваш хост-компьютер скомпрометирован, целевой сервер также может легко упасть. Или в SSH могут быть обнаружены новые недостатки. Ограничивая вход в систему с правами root, вы также можете продлить период времени, необходимый злоумышленнику для выполнения эскалации привилегий.
Исторически сложилось так, что многие администраторы использовали хосты-бастионы (в основном шлюзы) для входа в сеть, а затем переходили к ящикам. Использование дистрибутива с высокой степенью защиты (например, OpenBSD) в качестве хоста-бастиона в сочетании с различными операционными системами обеспечивает глубокую защиту и защиту в разнообразии (одна уязвимость с меньшей вероятностью скомпрометирует всю сеть).
Также подумайте о внешнем подключении к вашей сети, например, о последовательном концентраторе, последовательном коммутаторе или другом. При необходимости это обеспечит резервное копирование вашего административного интерфейса.
Поскольку я параноик и в вопросах безопасности, я бы с большей вероятностью использовал IPSEC VPN или Type1 VPN, а затем запустил SSH поверх него, без какого-либо доступа к SSH в Интернете. Размещение VPN на вашем сетевом оборудовании может значительно упростить реализацию.
Мы должны рассмотреть этот вопрос с разных точек зрения.
Ubuntu по умолчанию отключает учетную запись root, что означает, что вы не можете войти через SSH с root. Но он позволяет любому, у кого есть компакт-диск Ubuntu, может загрузиться и получить root-доступ.
Я считаю, что лучший компромисс - включить учетную запись root с отключенным доступом SSH. Если вам нужен root-доступ по SSH, войдите под обычным пользователем и используйте sudo. Таким образом обеспечивается доступ к ящику без ущерба для удаленной безопасности.
Я бы сказал, да, вход в систему как root должен быть отключен для проверки. Если вы являетесь единственным системным администратором на этой машине, легко определить, кто что и кому сделал, но если десять человек уполномочены администрировать ящик и все они знают пароль root, у нас возникнет проблема.
Независимо от того, включен ли root, ни root, ни другие пользователи не должны иметь права удаленно входить в систему с паролем. fail2ban ничего не сделает против медленного ботнета методом перебора и вообще не работает с IPv6. (Протокол ssh версии 1 и более старые реализации версии 2 были уязвимы для атак подбора пароля на интерактивные подсказки пароля в сеансе ssh, но, похоже, это больше не относится к достаточно недавней реализации ssh.)