保护系统管理员帐户


4

众所周知,建议系统管理员使用普通用户(非root用户)登录系统。当管理员需要执行特权任务时, sudo可以用来成为超级用户。在获得请求的特权之前,将提示管理员输入第一次登录时使用的SAME密码。

我想知道是否可以将系统配置为在执行操作时要求用户输入其他密码sudo。因此,用户将有两个密码。第一个密码将提供对SSH会话的访问。其他密码(不是同一密码)将用于获取管理员(root)特权。

这可能吗?我认为这将增加系统的安全性。你同意吗?

顺便说一句,这将类似于思科设备使用的访问控制。首先,使用密码登录管理员。然后,访问“启用”(特权)模式需要另一个密码(可以是不同的密码或相同的密码)。

Answers:


8

通过密码进行SSH的安全性不如使用DSA / RSA证书的SSH。创建一个带有密码的证书。然后为sys admin帐户指定一个不同的密码。

只有拥有证书并知道与之关联的密码,您才能通过SSH登录。

然后,您可以使用其他密码来运行sudo(用户的密码)。

这为您提供了更多的安全性!

记住要使用密码而不是密码。区别在于密码短语由许多单词组成(例如,大于20个字符)。密码越长,破解字典攻击所需的时间就越长。

要创建证书:

  • 在终端上键入ssh-keygen并按照说明进行操作(提供唯一的文件名并输入密码)
  • 然后使用ssh-copy-id -i path / to / your / sshkey.pub将公用密钥复制到要管理的服务器上
  • 现在登录到您的服务器并在/ etc / ssh / sshd_config中关闭密码身份验证,然后重新启动sshd服务

谢谢(你的)信息!我知道使用证书登录的信息,但是假设我仍然想使用密码登录。
哈立德

实际上,较短的随机密码应优先于较长的密码短语(有关密码生成工具,请查看manpages.ubuntu.com/manpages/maverick/man1/apg.1.html)。否则,很好的答案,没什么可补充的。
hudolejev

使用证书登录是保护SSH服务器安全的好方法。但是,我认为当您有许多服务器并且可能从不同的计算机登录时,登录将更加困难。例如,除了从其他几台服务器登录之外,我还需要从管理PC登录。
哈立德

为什么应该使用较短的密码?顺序的密码文件(例如可以通过w。Crunch生成的文件)将花费较少的时间来破解较短的密码。随机密码只能避免字典攻击。我不严格建议这样做,但是如果您不打算使用证书的原因是拥有许多服务器,那么只需对许多计算机使用相同的证书即可!使用ssh-copy-id复制公钥。如果文件中有服务器列表,那么从bash进行安装就可以了!或者,您可以将证书用于具有相同安全级别的计算机组。

只是因为字典攻击。对于正确的密码(例如,超过8个字符),反正蛮行攻击是不明智的(在这里,我指的是所有字母,数字,特殊字符,字典大小为60..70)。因此,更长的密码仅意味着更大的机会输入错误,并且将破解时间从数千年缩短到数百年并不是我所期望的目标。当然,我同意正确的密码短语也可以使用,但这太
离题

0

您可能希望使用su root而不是sudo,但是我强烈建议您遵循tommed提供的答案。


这真的是你的答案吗?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.