Ubuntu'da kök girişini nasıl devre dışı bırakırım?


27

bir süre önce root şifresini verdim, böylece root olarak giriş yapabilirim ve bazı şeyler yapabilirim. Şimdi, servisimi internete maruz bırakacağım için güvenliği sıkılaştırmak için kök girişini devre dışı bırakmak istiyorum. Bunu yapmanın birkaç yolunu gördüm ( sudo passwd -l root, işe yaramaz /etc/shadow, vb.), Ancak hiçbir yerde, bunu yapmanın en iyi / en mantıklı yolunun ne olduğunu söyleyemez. Yaptım, sudo passwd -l rootancak bunun init betiklerini etkileyebileceğini ve giriş yapmaktan kaçınmak yerine giriş yapmayı denerseniz hala bir şifre istediğinden beri göründüğü kadar güvenli olmadığını söyleyen tavsiyeler gördüm. Peki, bunu başarmanın yolu ne olurdu?

EDIT: netleştirmek için, bu root olarak yerel giriş içindir; SSH ile uzaktan giriş yapmayı zaten devre dışı bıraktım. Her ne kadar SSH üzerinden root olarak giriş yapmaya çalışıyor olsa da hala root şifresini sorar (her zaman başarısız olur). Kötümü?


1
Kök için yerel erişimi devre dışı bırakmak neredeyse sıfır güvenlik avantajına sahiptir. Fiziksel erişimi olan bir kullanıcı kutunuzu sayısız yolla toplayabilir .
jscott

Alınan nokta. Sadece sabit disk sürücülerini çıkarabiliyorsanız root olarak giriş yapmanıza gerek yoktur. Kök hesabını nasıl değiştirdiğimi hala bilmek istiyorum, ancak şu anda merak uyandıysam.
Ben Hymers,

aşağıdaki cevabımın güncellemesine bakınız. Sanırım şimdi ne sorduğunu anlıyorum.
jscott

@jscott, kökü devre dışı bırakırken izinsiz girişlere karşı güvenlik avantajı sağlamayabilir, ancak root olarak giriş yapmamak, yanlış yönlendirilmiş rmkomutla veya benzeri bir sistem kullanarak yıkım sistemine karşı bir güvenlik anahtarı sağlar . Zor yoldan öğrendiğim bir şey. Evet, sadece biri root olarak giriş yapamazsınız, fakat bunu devre dışı bırakmak sistem yöneticisinin bakış açısından anlamlıdır.
codechimp

VPS veya barındırma için harika görünüyor, gerçekten akıllıca değil.
jjxtra

Yanıtlar:


33

Bana göre, kökü devre dışı bırakmanın potansiyel sorunlara değeceği tartışmalı. Böyle bir şekilde yapılandırılmış bir sunucuyu hiç test etmedim. Tercihim yalnızca yerel root erişimine izin vermek. Bir saldırgan sunucunuza fiziksel olarak erişebiliyorsa, kurulumunuzu "güvenli" hale getirmek için yaptığınız her şeyi unutabilirsiniz.

Aşağıdakileri içermek üzere sshdüzenleyerek kök erişimini devre dışı bırakın /etc/ssh/sshd_config:

PermitRootLogin no

Kemanla /etc/shadow, chsh -s /bin/false roottümü basit bir CD / thumbdrive ile geri alınabilir.

Yorumunuz başına güncelleme:

Gönderen help.ubuntu.com : "Varsayılan olarak, kök hesabı şifresi Ubuntu kilitlenir ". Lütfen özel olarak "Kök hesabınızı devre dışı bırakma" bölümüne bakın. Kök hesabın durumunu sıfırlamak için, varsayılan kurulum için aşağıdaki komutu kullanın:

sudo usermod -p '!' root

Bir saldırgan bu sisteme fiziksel olarak erişebildiği zaman hiçbir sistem güvenli değildir. / Etc / shadow dosyasını düzenleyebildiğiniz zaman, / etc / ssh / sshd_config dosyasını düzenlemekten ne alıkoyuyor?
Sven

@SvenW: Kesinlikle. Bu yüzden kökün "etkisiz hale getirilmesi" için bile can sıkıcı olmanın faydası, güvenlik açısından tartışmalıyım. Kökün erişimini kısıtla, evet. Hesabı devre dışı bırak, hayır.
jscott

4
sudo service ssh yeniden başlat ....... bunu yaptıktan sonra.
Naweed Chougle

Başvurulan yardım dosyası şimdi aşağıdaki komutu verir: sudo passwd -dl root
MrG

21

Sanırım ssh ile uzaktan giriş yapmayı düşünüyorum. Aşağıdaki satırı şuraya ekle /etc/ssh/sshd_config:

PermitRootLogin no

ve ssh hizmetini yeniden başlatın

sudo service ssh restart

Bu işi yapmalı ve root hesabınızı olduğu gibi tutabilirsiniz (ya da gerekli olduğunu düşünüyorsanız yine de devre dışı bırakmayı deneyebilirsiniz).


Üzgünüm, söylemeliydim, bu yerel girişler içindir. Soruyu güncelledim.
Ben Hymers

4

Asıl soru birkaç kez yanıtlandı, ancak ikincil cevap vermedi. SSH, güvenlik özelliği olarak devre dışı bırakıldıktan sonra root girdikten sonra şifreyi ister. Ayrıca lkjfiejlksji olarak giriş yapmaya çalışırsanız tetikleyecektir.

Bu, bir kullanıcının bir kullanıcı adı yığınını test etmesini, sisteminizde hangisinin geçerli olduğunu bulmasını engellemektir. Bununla birlikte, güvenlik açısından, SSH üzerinden kökü devre dışı bıraktıysanız, bir bruteforce algılama programı da (fail2ban gibi) kurardım ve birileri root olarak giriş yapmayı denerse bile, onları engellemesini engeller. Herhangi bir ek saldırıya çalışıyorum.


İyi cevap, teşekkürler! Fail2ban kurulumunu zaten yaptım, ilk defa root olarak giriş yapma girişimini engellemek için yapılandıracağım.
Ben Hymers

2

Şifrelenmiş parolayı * / / etc / shadow (ilk ':' işaretinden sonraki ikinci alanla) ile değiştirmek, IMHO'nun en iyi yoludur. Ayrıca, ssh için kök girişini devre dışı bırakın (bu şekilde ssh üzerinden root olarak giriş yapmak imkansızdır) ve ssh'yi şifre tabanlı girişlerden çok daha güvenli olan sertifika girişleriyle sınırlayabilir.

Çoğu durumda, SSH dışarıdan erişilebilen ve kök girişine izin veren tek hizmet olmalıdır, bu nedenle bu kapı kilitlenir.

Bunu daha da sınırlamak için, birkaç başarısız oturum açma girişiminden sonra IP adreslerini belirli bir süre için yasaklayan fail2ban gibi bir şey yükleyebilirsiniz.


'*', '!' İle aynıdır, kabul edilen cevaba göre, bu cevabı ben de oylayacağım.
Ben Hymers


0

Yerel kök girişini devre dışı bırakmak istiyorsanız, / etc / passwd komutunu ve / bin / bash komutunu / bin / false ile değiştirmeyi deneyebilirsiniz. NASIL, test etmediğim için yan tarafta bir kök oturumu açık bırak, test et ve tuhaf bir yan etki varsa, onu değiştir.


0

Re: Güvenlik.

IMHO yapabilecek çok şey var, güvenlik açısından, kutuyu çıkarmadan kısa, ağdan ayırmak ve 3 "kalınlığında kurşun geçirmez karbür çelik kutu içinde kaynak yapmak mümkün.

Bunu böyle düşünün - eğer millet Savunma Bakanlığı, CIA, FBI ve Citibank’ı hackleyebiliyorsa, geri kalanımız sadece ölümlülerin daha iyisini yapamaz.

Re: SSH güvenliği.

Sadece ssh üzerinden root erişimi yasaklamakla kalmıyor, ayrıca "AllowUsers" parametresini benim ve sadece kullanıcı adıma ayarlıyorum. Bu yolla kimse değil, benim kullanıcı ssh üzerinden giriş yapabilir. Bu, kendi durumumda olduğu gibi gereksiz olabilir, yine de sadece bir tane root olmayan kullanıcı oluşturdum.

Ne yazık ki, başkalarının daha önce de söylediği gibi, birileri kutuya fiziksel olarak erişir erişmez, tüm bahisler KAPALI!

Ssh giriş için sertifika değişimi? Hmmmm. . . . kulağa iyi geliyor. Bunu nasıl yapıyorsun?

Jim (JR)

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.