Có phải vô hiệu hóa đăng nhập root tăng cường bảo mật?

Gần đây tôi đã tìm thấy một đối số chống lại việc vô hiệu hóa đăng nhập người dùng root trong Linux tại http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html

Tôi cho rằng, nếu mọi người sử dụng xác thực khóa chung, sẽ không có nguy cơ mất mật khẩu gốc.

Có phải luôn luôn tốt hơn để vô hiệu hóa đăng nhập root thông qua ssh?

Câu trả lời ngắn gọn là hồ sơ tấn công của bạn càng nhỏ càng tốt. Luôn luôn. Nếu bạn không cần nó hoặc có thể sử dụng một giải pháp thay thế như sudo hoặc su, thì đừng kích hoạt đăng nhập root.

Một lập luận lớn ủng hộ việc vô hiệu hóa root và sử dụng sudo / su là bạn có thể theo dõi xem ai đang làm gì. Một người dùng - một lần đăng nhập. Không bao giờ chia sẻ tài khoản.

Đối số tại liên kết đó dường như là cụ thể cho đăng nhập cục bộ, thay vì ssh.

Tôi thứ hai điểm Dennis xông, cộng thêm:

Cho phép đăng nhập root thông qua SSH cũng có nghĩa là root có thể bị tấn công bằng cách đoán mật khẩu vũ phu.

Bởi vì root luôn ở đó, và phần thưởng rất cao, nó là mục tiêu ưu tiên. Tên người dùng sẽ phải được đoán trước, điều này làm tăng thêm một số bậc độ lớn cho độ khó của vấn đề.

Không bao giờ vô hiệu hóa tài khoản root nếu bạn không có quyền truy cập bảng điều khiển. Nếu hệ thống tập tin của bạn đầy và khởi động không thành công trong khi / etc / nologin được tạo, chỉ tài khoản root mới được phép đăng nhập vào máy.

Điều đó nói rằng, nếu bạn có quyền truy cập bảng điều khiển để xử lý các tình huống này, việc đóng tài khoản root có thể giúp bạn đỡ đau đầu, vì không ai có thể truy cập vào tài khoản root bằng cách sử dụng một cuộc tấn công từ điển (kinh nghiệm của tôi là những ngày này không đổi - ai đó luôn cố gắng). Những điều khác bạn có thể nghĩ làm:

• Cài đặt chương trình như fail2ban tự động đóng quyền truy cập vào địa chỉ IP nếu không xác thực được nhiều lần (để chủ động bảo vệ chống lại các cuộc tấn công từ điển).
• Chỉ sử dụng các phím ssh.
• Nếu bạn quản lý nhiều máy móc, hãy sử dụng cengine hoặc loại khác để quản lý các khóa công khai mà bạn ủy quyền để nhập vào máy (nếu không bạn sẽ nhận được những lỗi thời đó khá nhanh).

Trân trọng,
João Miguel Neves

Luôn luôn tốt hơn để vô hiệu hóa đăng nhập root thông qua SSH.

Có các hệ thống PKI (ví dụ: khóa công khai với SSH) đã bị xâm phạm. SSH đã có lỗi xác thực từ xa trước đây cho phép xảy ra thỏa hiệp gốc. PKI phần mềm nổi tiếng là yếu hơn PKI dựa trên phần cứng .... nếu máy tính chủ của bạn bị xâm nhập, máy chủ mục tiêu cũng có thể dễ dàng rơi. Hoặc có thể có những lỗi mới lạ được tìm thấy trong SSH. Bằng cách hạn chế đăng nhập root, bạn cũng có thể kéo dài khoảng thời gian kẻ tấn công cần để thực hiện leo thang đặc quyền.

Trong lịch sử, nhiều quản trị viên đã sử dụng máy chủ pháo đài (về cơ bản là các cổng) để vào mạng và sau đó chuyển sang các hộp sau đó. Sử dụng một bản phân phối bảo mật cao (ví dụ OpenBSD) làm máy chủ pháo đài, kết hợp với các hệ điều hành khác nhau mang lại khả năng phòng thủ chuyên sâu và phòng thủ đa dạng (một lỗ hổng ít có khả năng thỏa hiệp toàn bộ mạng).

Vui lòng xem xét việc có kết nối ngoài băng với mạng của bạn, chẳng hạn như bộ tập trung nối tiếp, bộ chuyển đổi nối tiếp hoặc loại khác. Điều này sẽ cung cấp sao lưu sẵn có của giao diện quản trị của bạn nếu cần.

Vì tôi bị hoang tưởng và bảo mật, nên nhiều khả năng tôi sẽ sử dụng VPN IPSEC hoặc Type1 VPN, sau đó chạy SSH trên đầu trang, không có sự tiếp xúc với SSH của Internet. Đặt VPN trên phần cứng mạng của bạn có thể đơn giản hóa đáng kể việc này khi triển khai.

Chúng ta nên xem xét câu hỏi này từ các điểm khác nhau.

Ubuntu vô hiệu hóa tài khoản root theo mặc định, điều đó có nghĩa là bạn không thể đăng nhập qua SSH bằng root. Nhưng, nó cho phép bất cứ ai có Ubuntu CD đều có thể khởi động và có quyền truy cập root.

Tôi tin rằng sự thỏa hiệp tốt nhất là cho phép tài khoản root có quyền truy cập SSH bị vô hiệu hóa. Nếu bạn cần quyền truy cập root bằng SSH, hãy đăng nhập với người dùng bình thường và sử dụng sudo. Bằng cách này, nó đảm bảo quyền truy cập vào hộp, mà không ảnh hưởng đến bảo mật từ xa.

Tôi muốn nói có, đăng nhập với quyền root nên bị vô hiệu hóa để kiểm toán. Nếu bạn là quản trị viên hệ thống duy nhất trên máy này, việc xác định ai đã làm gì với ai, nhưng nếu mười người được ủy quyền quản lý hộp và tất cả họ đều biết mật khẩu gốc thì chúng tôi gặp vấn đề.

Cho dù root có được bật hay không, cả root và bất kỳ người dùng nào khác đều không được phép đăng nhập từ xa bằng mật khẩu. fail2ban sẽ không làm bất cứ điều gì chống lại botnet vũ phu chậm và hoàn toàn không hoạt động với IPv6. .