我最近在http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html上找到了反对在Linux中禁用root用户登录的论点。
我假设,如果每个人都使用公共密钥身份验证,则不会丢失根密码。
通过ssh禁用root登录是否总是更好?
Answers:
简短的答案是,攻击档案越小越好。总是。如果您不需要它或可以使用sudo或su之类的替代方法,则不要启用root登录。
支持禁用root并使用sudo / su的一大争论是,您可以跟踪谁在做什么。一位用户-一位登录名。永不共享帐户。
该链接上的参数似乎特定于本地登录,而不是ssh。
sudo -i,您的操作将显示为根目录,而不是您的目录
我赞同丹尼斯的观点,再加上:
允许通过SSH进行root登录还意味着root容易受到暴力密码猜测的攻击。
因为根源始终存在,并且奖励如此之高,所以它是优先目标。必须首先猜测用户名,这给问题的难度增加了几个数量级。
PermitRootLogin without-password选项集的系统。
如果您没有控制台访问权限,请不要禁用根帐户。如果您的文件系统已满,并且在创建/ etc / nologin时引导失败,则仅允许root帐户登录计算机。
就是说,如果您具有控制台权限来处理这些情况,那么关闭根帐户可能会为您省去一些麻烦,因为没有人能够使用字典攻击来访问根帐户(我的经验是,这些天来一直存在-有人一直在尝试)。您可能会想到的其他事项:
最好的问候,
JoãoMiguel Neves
始终最好通过SSH禁用root登录。
有一些PKI系统(例如带有SSH的公共密钥)已被破坏。SSH之前已经具有远程身份验证漏洞,该漏洞导致了根本的损害。众所周知,软件PKI比基于硬件的PKI弱。如果您的主机受到威胁,目标服务器也很容易崩溃。否则可能会在SSH中发现新的漏洞。通过限制root登录,您还可以延长攻击者执行特权升级所需的时间。
从历史上看,许多管理员使用堡垒主机(基本上是网关)来进入网络,然后再跳转到框。将高安全性发行版(例如OpenBSD)用作堡垒主机,再结合使用不同的操作系统,可以提供纵深防御和多样性防御(一个漏洞不太可能损害整个网络)。
也请考虑与您的网络进行带外连接,例如串行集中器,串行交换机或其他。如果需要,这将提供管理界面的备份可用性。
因为我偏执狂且出于安全考虑,所以我更可能使用IPSEC VPN或Type1 VPN,然后在其之上运行SSH,而不会在互联网上暴露SSH。将VPN放在您的网络硬件上可以大大简化实施过程。
我们应该从不同角度审视这个问题。
Ubuntu默认情况下会禁用root帐户,这意味着您无法使用root用户通过SSH登录。但是,它允许拥有Ubuntu CD的任何人都可以引导并获得root用户访问权限。
我认为最好的折衷办法是启用具有禁用的SSH访问权限的根帐户。如果您需要使用SSH进行root访问,请以普通用户身份登录并使用sudo。这样,它可以保护对盒子的访问,而不会影响远程安全性。