Tại sao sshd cho phép đăng nhập root theo mặc định?

7

Tôi hiện đang làm việc để tăng cường máy chủ của mình chống lại hack - trong số những thứ khác, tôi đang nhận được vô số nỗ lực để đăng nhập với quyền root trên ssh. Trong khi tôi đã triển khai fail2ban, tôi tự hỏi, tại sao đăng nhập gốc sẽ được cho phép theo mặc định để bắt đầu? Ngay cả với các bản phân phối không dựa trên sudo, tôi luôn có thể đăng nhập như một người dùng và chuyển đổi bình thường - vì vậy tôi tự hỏi liệu có bất kỳ lợi thế rõ ràng nào để cho phép đăng nhập root trên ssh không, hay nó chỉ là thứ không ai thay đổi?

security  ssh  root 
Hành trình Geek
nguồn

Câu trả lời:

8

Có bất kỳ lợi thế rõ ràng nào để cho phép đăng nhập root trên ssh

Có một số hệ thống sao lưu cần root trên hệ thống từ xa để thực sự sao lưu. Không có gì lạ khi thấy mọi thứ được thiết lập với xác thực dựa trên khóa để thực hiện các tác vụ bảo trì trên các hệ thống từ xa.

Tôi thực sự mong muốn mặc định sẽ được thay đổi từ PermitRootLogin yesít nhất thành PermitRootLogin without-password, điều này sẽ chỉ cho phép xác thực dựa trên khóa. Xác thực mật khẩu từ xa đến tài khoản root gần như không bao giờ cần thiết.

Nó đang trở nên phổ biến hơn trên các hệ thống (như Ubuntu) để hệ thống được thiết lập với tài khoản root có mật khẩu bị vô hiệu hóa. Không có nhiều rủi ro trong thiết lập mặc định vì không có cách nào để xác thực trực tiếp vào tài khoản có mật khẩu bị vô hiệu hóa.

Cũng xem xét rằng một nỗ lực vũ phu để đăng nhập từ xa vào root thông qua ssh có khả năng thành công rất thấp nếu bạn có tài khoản root với mật khẩu đủ phức tạp. Vô hiệu hóa tài khoản root sẽ cung cấp thêm một lớp bảo mật, nhưng có thể không cần thiết nếu bạn có mật khẩu mạnh. Nếu bạn kết hợp một mật khẩu mạnh với các công cụ phản ứng như denyhosts và fail2ban, thì hầu như không có rủi ro nào khi cố gắng ép buộc mật khẩu gốc sẽ hoạt động.

Luôn luôn là một thực hành tốt để làm cứng hệ thống sau khi cài đặt được thực hiện dựa trên rủi ro và yêu cầu cho mạng của bạn. Một hệ thống không quan trọng và không có dữ liệu người dùng thực sự không cần mức độ cứng giống như hệ thống lưu trữ hồ sơ y tế hoặc ngân hàng.

Zoredache
nguồn
2

Tôi không chắc chắn, nhưng tôi sẽ cho rằng họ muốn đảm bảo rằng những người thực hiện cài đặt nước ngoài có thể đăng nhập. Đăng nhập đầu tiên có thể cần phải được root vì chưa có người dùng khác.

Tuy nhiên, bạn phải đảm bảo tắt tùy chọn đăng nhập dưới dạng root trong cấu hình sshd sau khi bạn đã tạo người dùng của mình và cấp cho anh ta quyền sudo.

Tôi cũng khuyên bạn nên thay đổi cổng SSH thành một cái gì đó ngoài 22. Trong khi nó không làm cho máy của bạn an toàn hơn - nó sẽ dừng tất cả các yêu cầu lãng phí / gây phiền nhiễu đó.

Xeoncross
nguồn
Tôi thực sự không đồng ý với việc thay đổi từ các cổng tiêu chuẩn. Sử dụng lọc gói.
Warner
Có thật không? Điều gì là xấu về nó? Tôi mới bắt đầu làm điều đó bởi vì tôi thấy các quản trị viên đáng kính đang làm điều đó ...
Xeoncross
Đó là thứ mà mọi người chấp nhận từ việc chạy các máy chủ cùng vị trí không có bộ lọc hoặc phân tách mạng.
Warner
@Warner nhưng, tôi không hiểu, thay đổi từ các cổng tiêu chuẩn sẽ không phải là một cách khá đơn giản để hầu hết mọi người chỉ chống lại hầu hết các nỗ lực?
Camilo Martin
2

Xem xét ngăn chặn đăng nhập gốc như một bảo vệ thêm. Vài năm trước, thời kỳ tàn bạo đã lên đến đỉnh điểm, ngày nay, họ có xu hướng tìm kiếm các lỗ hổng thông qua những gì họ có thể nhìn thấy bởi các deamon (apache, purftpd, ...). Ngăn chặn đăng nhập gốc trở thành một ý tưởng tuyệt vời nếu ngày mai khai thác được tìm thấy với SSHD. Trong khi SSHD là trưởng thành và an toàn, bạn không bao giờ biết. Gần đây, việc khai thác đã hướng nhiều hơn đến việc leo thang riêng với nhân hoặc sử dụng ứng dụng của bên thứ ba với kernel để ngăn đăng nhập gốc sẽ không thay đổi điều gì.

Bản phân phối dựa trên Debian đã thực hiện chuyển đổi trong khi bản phân phối dựa trên RedHat đề xuất nó (nếu bạn đọc tài liệu thực hành tốt nhất của họ)

Embreau
nguồn
1

Vâng, bởi vì root là một người dùng hợp lệ và sshd thực hiện công việc cho phép nó. Ví dụ, trên OpenBSD (cùng một người từ OpenSSH), bạn không được yêu cầu tạo người dùng trong khi cài đặt, vì vậy bạn cần sử dụng root để truy cập vào hộp của mình.

Một số bản phân phối dựa trên máy tính để bàn buộc bạn phải tạo thêm người dùng, nhưng đối với máy chủ bạn thực sự không cần.

Ngoài ra, những đối số mà sudo hoặc su an toàn hơn đăng nhập bằng root là một huyền thoại lớn. Ví dụ, trên Ubuntu, người dùng có thể chạy lệnh ANY bằng sudo theo mặc định, vì vậy bất kỳ kẻ tấn công nào xâm nhập cũng có thể chạy lệnh BẤT K as với quyền root. Khá vô dụng từ góc độ an ninh.

sucuri
nguồn
mặt khác, kẻ tấn công sẽ cần phải đoán cả tên người dùng và mật khẩu - trái ngược với việc chỉ vũ phu buộc mật khẩu. Tôi cũng lưu ý rằng sudo bị giới hạn ở những người trong tệp sudoers - vì vậy đây chỉ là người dùng đầu tiên trong hầu hết các trường hợp
Journeyman Geek
0

Đó là khá nhiều distro cụ thể. Một số cho phép nó, một số thì không.

Nếu tôi đang quản lý một bản phân phối, tôi sẽ cấu hình hệ thống càng cứng càng tốt khi cài đặt. Tốt hơn là quên bật một số tính năng hơn là quên vô hiệu hóa một số tính năng.

Joe Internet
nguồn
Việc bảo vệ hệ thống càng nhiều càng tốt trở thành thách thức nếu bạn cũng đang cố gắng để hệ thống của mình được sử dụng trên máy tính để bàn bởi nhiều người dùng cuối. Bạn cần thỏa hiệp và làm cứng hệ thống vừa đủ để bảo vệ người dùng trong trường hợp mặc định nhưng cho phép người dùng nâng cao sửa đổi hệ thống để phù hợp với nhu cầu của họ.
Zoredache
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.