Kök oturum açmayı devre dışı bırakmak güvenliği artırır mı?

Kısa bir süre önce http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html adresinde Linux'ta kök kullanıcı girişini devre dışı bırakmaya karşı bir argüman buldum.

Herkes açık anahtar kimlik doğrulaması kullanıyorsa, kök parolayı kaybetme riski olmadığını varsayıyorum.

Kök girişini ssh ile devre dışı bırakmak her zaman daha mı iyidir?

Kısa cevap, saldırı profiliniz ne kadar küçükse o kadar iyidir. Her zaman. İhtiyacınız yoksa veya sudo veya su gibi bir alternatif kullanabiliyorsanız, root girişini etkinleştirmeyin.

Kökü devre dışı bırakma ve sudo / su kullanma lehine büyük bir argüman kimin ne yaptığını takip edebilmenizdir. Bir kullanıcı - bir giriş. Asla hesapları paylaşmayın.

Bu bağlantıdaki argüman ssh yerine yerel girişe özgü görünüyor.

İkinci Dennis´ noktasını, artı:

SSH üzerinden root girişine izin vermek, root'un kaba kuvvet şifre tahminleri tarafından saldırıya uğraması anlamına gelir.

Kök her zaman orada olduğundan ve ödül çok yüksek olduğundan, öncelikli bir hedeftir. Öncelikle kullanıcı adının tahmin edilmesi gerekir, bu da sorunun zorluğuna birkaç büyüklük derecesi ekler.

Konsol erişiminiz yoksa asla kök hesabı devre dışı bırakmayın. / Etc / nologin oluşturulurken dosya sisteminiz dolarsa ve önyükleme başarısız olursa, yalnızca kök hesabın makinede oturum açmasına izin verilir.

Bununla birlikte, bu durumlarla başa çıkmak için konsol erişiminiz varsa, kök hesabını kapatmak size bazı baş ağrılarını kurtarabilir, çünkü kimse bir sözlük saldırısı kullanarak kök hesaba erişemeyecektir (deneyimlerim bu günlerin sabit olması - birisi her zaman dener). Yapmayı düşünebileceğiniz diğer şeyler:

• Kimlik doğrulamasının birkaç defadan fazla başarısız olması durumunda otomatik olarak bir IP adresine erişimi kapatan fail2ban gibi bir program yükleyin (sözlük saldırılarına karşı aktif olarak koruma sağlamak için).
• Sadece ssh tuşlarını kullanın.
• Çok sayıda makineyi yönetiyorsanız, bir makineye girme yetkisi verdiğiniz genel anahtarları yönetmek için cfengine veya başkalarını kullanın (ya da eski modaları hızlı bir şekilde alırsınız).

Saygılarımla,
João Miguel Neves

SSH aracılığıyla kök girişini devre dışı bırakmak her zaman daha iyidir.

Güvenliği ihlal edilmiş PKI sistemleri (örn. SSH ile ortak anahtarlar) vardır. SSH, daha önce bir kök uzlaşmasının gerçekleşmesini sağlayan uzaktan kimlik doğrulama hatalarına sahipti. Yazılım PKI'ları donanım tabanlı PKI'lardan çok daha zayıftır .... ana bilgisayarınız bozulursa, hedef sunucu da kolayca düşebilir. Veya SSH'de yeni kusurlar olabilir. Kök girişini sınırlandırarak, bir saldırganın ayrıcalık yükseltme işlemini gerçekleştirmek için ihtiyaç duyduğu süreyi de uzatabilirsiniz.

Tarihsel olarak, birçok yönetici bir ağa girmek için bastion ana bilgisayarlarını (temelde ağ geçitleri) kullandıktan sonra kutulara atlar. Farklı bir işletim sistemiyle birlikte yüksek güvenlikli dağıtım (örn. OpenBSD) kullanmak, farklı işletim sistemleriyle birlikte derinlemesine savunma ve çeşitlilikte savunma sağlar (tüm ağdan ödün verme olasılığı daha düşük olan bir güvenlik açığı).

Lütfen seri yoğunlaştırıcı, seri anahtar veya diğer gibi ağınıza bant dışı bir bağlantı kurmayı düşünün. Bu, gerektiğinde yönetim arayüzünüzün yedek kullanılabilirliğini sağlayacaktır.

Paranoyak olduğum ve güvenli olduğum için, bir IPSEC VPN veya Type1 VPN kullanmam ve daha sonra SSH'yi internette SSH'ye maruz kalmadan çalıştırmam daha olasıdır. VPN'yi ağ donanımınıza koymak, uygulamada bunu önemli ölçüde basitleştirebilir.

Bu soruyu farklı noktalardan incelemeliyiz.

Ubuntu kök hesabı varsayılan olarak devre dışı bırakır, yani SSH üzerinden root ile giriş yapamazsınız. Ancak, Ubuntu CD'si olan herkesin önyükleme yapmasına ve root erişimi almasına izin verir.

En iyi uzlaşmanın, SSH erişimi devre dışı bırakılmış kök hesabı etkinleştirmek olduğuna inanıyorum. SSH ile root erişimine ihtiyacınız varsa, normal bir kullanıcı ile giriş yapın ve sudo kullanın. Bu şekilde, uzaktan güvenlikten ödün vermeden kutuya erişimi güvence altına alır.

Evet diyebilirim, denetlenebilirlik için root olarak giriş devre dışı bırakılmalıdır. Bu makinede tek sistem yöneticisi sizseniz, kimin kime ne yaptığını belirlemek önemsizdir, ancak kutuyu yönetmek için on kişi yetkilendirilmişse ve hepsi root şifresini biliyorsa bir sorunumuz var.

Kök etkin olsun ya da olmasın, ne root ne de başka bir kullanıcının bir parola ile uzaktan oturum açmasına izin verilmemelidir. fail2ban, yavaş bir kaba kuvvet botnetine karşı hiçbir şey yapmaz ve IPv6 ile hiç çalışmaz. (ssh protokolü sürüm 1 ve sürüm 2'nin eski uygulamaları, ssh oturumu içinde etkileşimli parola istemlerine karşı parola tahmin saldırılarına karşı savunmasızdı, ancak artık yeterince yeni bir ssh uygulamasında durum böyle görünmüyor.)