Neden root'un ssh ile giriş yapmasına izin verilmiyor?

ssh için root erişimi neden devre dışı bırakılmalıdır? Bunun güvenlik nedeniyle hep duydum. Ama anlamıyorum. "Root" dışı oturum açmanın farkı nedir sudo su -? Ayrıcalıklı izinlere ihtiyaç duyan görevleri yerine getirmenin tercih edilen yolu nedir?

Teşekkürler

Thomas

Sudo, denetlenebilirliği ve zengin ayrıntı düzeyi nedeniyle yönetici görevlerini devretmeniz gerektiğinde tercih edilen yoldur. Sudo, tüm komutların günlüğe kaydedilmesine izin verir ve yöneticinin bireyler veya gruplar için farklı sudo profilleri oluşturmasına izin verir.

su veya root erişimi ya hep ya hiç

Kök, her bir unix makinesinde açık ve etkin olduğu garanti edilen tek hesaptır, bu nedenle parolayı kaba zorlamaya çalışmak için onu seçmek kolay değildir. Harici araçlar (belirgin tarayıcıları öldüren sarmalayıcılar, Hırsız Önleme Cihazları, bu tür bir şey) olmadan, parolanın anlaşılması sadece zaman meselesidir. Bu tür davranışları engelleyen harici araçlarda bile, gelen kullanıcıları normal bir kullanıcı olarak giriş yapmaya zorlamak ve daha sonra su / sudo / pfexec'i gelişmiş özelliğe kadar zorlamak hala iyi bir fikirdir. Evet, bu ekstra bir adımdır ve bu, kök kullanıcılar arasında paylaşılan makinelerde kullanıcı hesapları oluşturmanız gerektiği anlamına gelir, ancak bu bir saldırgan ve kutunun sınırsız kontrolü arasında bir başka engeldir.

Temel fark, saldırganın kullanıcı adını da tahmin etmesi gerektiğidir. Kökün oturum açmasına izin verirseniz, sadece şifreyi tahmin etmesi gerekir.

Ayrıca, ssh anahtarını alan bir kullanıcının girişini taklit edebilir veya ortadaki adam yaklaşımını kullanarak verileri yeniden gönderebilir ve şifreyi yazmak zorunda kalmadan sisteme giriş yapabilir. Ancak kullanıcı olarak oturum açarsa, komutları sudoize etmek zorundadır ve bu nedenle parolayı el ile yazmak zorunda kalır. Kök olarak kaydedildiyse, şeyleri sudoize etmesi gerekmez, bu yüzden daha az güvenlik adımı.

SSD'leri tarayan ve onları zorlayan kaba yüz binlerce makine var . "root" ilk denemek için iyi bir hesap çünkü eğer kırılırsa makineye tamamen sahip olursunuz. Kök oturumlarını devre dışı bırakmadığınız sürece, tüm * nix sistemlerinde de ortak bir hesaptır . Bunu yapmak çok iyi bir güvenlik uygulamasıdır.

Bunun ana avantajı, daha esnek erişim kontrolüne izin vermesidir: Bir kullanıcı sudo üzerinden kök haklarına sahipse, kök hakları vermek veya gerektiğinde bunları almak kolaydır. Tersine, eğer gerçekten kök pw'yi teslim ederseniz, onu alamazsınız (Men In Black ;-) değilseniz), sadece herkesi etkileyecek kök pw'yi değiştirebilirsiniz.

Bu bağlamda, doğrudan kök girişleri gereksizdir b / c hiç kimse kök pw'ye sahip değildir.

(Tek kullanıcı modunda konsola acil erişim için yine de root pw'ye ihtiyacınız olacaktır; ancak bunun için özel hükümler olmalıdır).

Ancak HP-UX asla ssh aracılığıyla köklere erişilemezliği zorlamaz, neden?