Отключает ли вход в систему root безопасность?

Недавно я нашел аргумент против отключения входа пользователя root в Linux по адресу http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html.

Я предполагаю, что если все используют аутентификацию с открытым ключом, нет риска потерять пароль root.

Всегда ли лучше отключить root-вход через ssh?

Короткий ответ: чем меньше ваш профиль атаки, тем лучше. Всегда. Если вам это не нужно или вы можете использовать альтернативу, такую ​​как sudo или su, не включайте root-логин.

Один большой аргумент в пользу отключения root и использования sudo / su заключается в том, что вы можете отслеживать, кто что делает. Один пользователь - один логин. Никогда не делитесь аккаунтами.

Аргумент в этой ссылке, кажется, специфичен для локального входа, а не для ssh.

Я второй Деннис, плюс:

Разрешение входа в систему root через SSH также означает, что root может быть атакован перебором паролей.

Поскольку root всегда есть, а награда так высока, это приоритетная цель. Сначала нужно угадать имя пользователя, что добавляет несколько порядков к сложности проблемы.

Никогда не отключайте учетную запись root, если у вас нет доступа к консоли. Если ваша файловая система заполняется и происходит сбой загрузки при создании / etc / nologin, только учетная запись root может войти в систему.

Тем не менее, если у вас есть консольный доступ для решения этих ситуаций, закрытие учетной записи root может избавить вас от головной боли, поскольку никто не сможет получить доступ к учетной записи root с помощью атаки по словарю (мой опыт показывает, что в наши дни они постоянны - кто-то всегда старается). Другие вещи, которые вы могли бы подумать сделать:

• Установите программу, например fail2ban, которая автоматически закрывает доступ к IP-адресу, если она не проходит проверку подлинности более чем несколько раз (для активной защиты от атак по словарю).
• Используйте только ключи SSH.
• Если вы управляете большим количеством машин, используйте cfengine или другие для управления открытыми ключами, которые вы авторизуете для входа в машину (или же вы быстро устареете).

С наилучшими пожеланиями,
Жоао Мигель Невес

Всегда лучше отключить root-вход через SSH.

Существуют системы PKI (например, открытые ключи с SSH), которые были скомпрометированы. У SSH уже были недостатки в удаленной аутентификации, которые позволяли получить root-компромисс. Программные PKI, как известно, слабее аппаратных PKI… если ваш хост-компьютер будет скомпрометирован, целевой сервер также может легко упасть. Или могут быть новые недостатки, найденные в SSH. Ограничив вход в систему root, вы также можете продлить период времени, необходимый злоумышленнику для повышения привилегий.

Исторически многие администраторы использовали хост-бастион (в основном шлюзы) для входа в сеть, а затем переходили к полям. Использование дистрибутива с высокой степенью защиты (например, OpenBSD) в качестве хоста-бастиона в сочетании с различными операционными системами обеспечивает углубленную защиту и защиту в разнообразии (одна уязвимость с меньшей вероятностью может поставить под угрозу всю сеть).

Пожалуйста, рассмотрите возможность внешнего подключения к вашей сети, такой как последовательный концентратор, последовательный коммутатор или другое. Это обеспечит резервную доступность вашего административного интерфейса, если потребуется.

Поскольку я параноик и в безопасности, я бы с большей вероятностью использовал IPSEC VPN или Type1 VPN, а затем запустил SSH поверх него, без всякого воздействия на SSH в Интернете. Установка VPN на сетевое оборудование может значительно упростить это при реализации.

Мы должны рассмотреть этот вопрос с разных точек зрения.

Ubuntu по умолчанию отключает учетную запись root, что означает, что вы не можете войти через SSH с root. Но он позволяет любому, у кого есть Ubuntu CD, загружаться и получать root-доступ.

Я считаю, что лучший компромисс - включить учетную запись root с отключенным доступом по SSH. Если вам нужен root-доступ по SSH, войдите под обычным пользователем и используйте sudo. Таким образом, он обеспечивает доступ к коробке без ущерба для удаленной безопасности.

Я бы сказал, да, вход в систему как root должен быть отключен для контроля. Если вы являетесь единственным системным администратором на этом компьютере, определить, кто что и кому сделал, тривиально, но если десять человек авторизованы для администрирования ящика и все они знают пароль root, у нас проблема.

Независимо от того, включен ли root, ни root, ни любой другой пользователь не должны иметь права удаленного входа с паролем. fail2ban ничего не сделает против медленного ботнета грубой силы, и вообще не работает с IPv6. (Протокол ssh версии 1 и более ранние реализации версии 2 были уязвимы для атак с использованием паролей против интерактивных запросов пароля в сеансе ssh, но, похоже, это уже не относится к достаточно недавней реализации ssh.)