Ist die Deaktivierung der Root-Anmeldung erhöht die Sicherheit?

Ich habe vor kurzem ein Argument gegen die Deaktivierung eines Root-User-Login in Linux unter http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html gefunden

Ich gehe davon aus, dass, wenn jeder eine öffentliche Schlüsselauthentifizierung verwendet, es kein Risiko gibt, das Root-Passwort zu verlieren.

Ist es immer besser, das root login über ssh zu deaktivieren?

6 Solutions collect form web for “Ist die Deaktivierung der Root-Anmeldung erhöht die Sicherheit?”

Die kurze Antwort ist, dass je kleiner Ihr Angriffsprofil um so besser ist. Immer. Wenn Sie es nicht brauchen oder eine Alternative wie Sudo oder Su verwenden können, dann aktivieren Sie keine root-Anmeldung.

Ein großes Argument für die Deaktivierung von Wurzel und Verwendung von Sudo / Su ist, dass Sie verfolgen können, wer was tut. Ein Benutzer – ein Login. Niemals Konten teilen.

Das Argument an diesem Link scheint spezifisch für die lokale Anmeldung zu sein, anstatt ssh.

Ich den zweiten Dennis'-Punkt, plus:

Erlauben root Login über SSH bedeutet auch, dass root durch Brute-Force-Kennwort einrastet.

Weil Wurzel immer da ist und die Belohnung so hoch ist, ist es ein vorrangiges Ziel. Der Benutzername müsste zuerst erraten werden, was ein paar Größenordnungen zur Schwierigkeit des Problems hinzufügt.

Deaktivieren Sie das Root-Konto niemals, wenn Sie keinen Konsolenzugriff haben. Wenn Ihr Dateisystem füllt und der Bootvorgang fehlschlägt, während / etc / nologin erstellt wird, darf nur das Root-Konto in das Gerät einloggen.

Das heißt, wenn Sie Konsolenzugriff haben, um mit diesen Situationen umzugehen, kann das Schließen des Root-Kontos Sie einige Kopfschmerzen retten, da niemand in der Lage sein wird, mit einem Wörterbuch-Angriff auf das Root-Konto zu gelangen (meine Erfahrung ist, dass diese in diesen Tagen konstant sind – Jemand versucht immer). Andere Dinge, die Sie vielleicht denken:

  • Installieren Sie ein Programm wie fail2ban, das den Zugriff auf eine IP-Adresse automatisch schließt, wenn es mehr als eine Anzahl von Authentifizierungen fehlschlägt (aktiv gegen Wörterbuchangriffe zu schützen).
  • Verwenden Sie nur ssh-Tasten.
  • Wenn Sie eine Menge von Maschinen verwalten, verwenden Sie Cfengine oder andere, um die öffentlichen Schlüssel zu verwalten, die Sie autorisieren, um eine Maschine zu betreten (oder Sie bekommen die veraltete ziemlich schnell).

Freundliche Grüße,
João Miguel Neves

Es ist immer besser, das Root-Login über SSH zu deaktivieren.

Es gibt PKI-Systeme (zB öffentliche Schlüssel mit SSH), die kompromittiert wurden. SSH hat bereits Remote-Authentifizierungsfehler zuvor, die einen Wurzel-Kompromiss zu ermöglichen. Software-PKIs sind notorisch schwächer als Hardware-basierte PKIs …. wenn Ihr Host-Computer kompromittiert ist, könnte der Zielserver ebenfalls leicht fallen. Oder es könnten neue Mängel in SSH gefunden werden. Durch die Begrenzung der Root-Login können Sie auch den Zeitraum verlängern, den ein Angreifer benötigt, um eine Privileg-Eskalation durchzuführen.

Historisch nutzten viele Administratoren Bastion-Hosts (grundsätzlich Gateways), um ein Netzwerk zu betreten und dann später auf Boxen zu springen. Die Verwendung einer hochsicheren Distribution (zB OpenBSD) als Bastion-Host bietet in Verbindung mit verschiedenen Betriebssystemen eine Verteidigung und Vertiefung in der Vielfalt (eine Schwachstelle, die das gesamte Netzwerk weniger gefährdet).

Bitte beachten Sie auch eine Out-of-Band-Verbindung zu Ihrem Netzwerk, wie zB einen seriellen Konzentrator, einen seriellen Switch oder andere. Dies stellt die Verfügbarkeit Ihrer Administratoroberfläche bei Bedarf zur Verfügung.

Weil ich paranoid und in Sicherheit bin, würde ich eher ein IPSEC VPN oder Type1 VPN verwenden, und dann laufe SSH oben, ohne Internet-Exposition von SSH was auch immer. Das Setzen des VPN auf Ihre Netzwerkhardware kann dies bei der Implementierung drastisch vereinfachen.

Wir sollten diese Frage aus verschiedenen Punkten untersuchen.

Ubuntu deaktiviert das Root-Konto standardmäßig, was bedeutet, dass Sie sich nicht über SSH mit root anmelden können. Aber es erlaubt jedem mit einer Ubuntu-CD kann booten und bekommt Wurzelzugang.

Ich glaube, der beste Kompromiss ist, das Root-Konto mit deaktiviertem SSH-Zugriff zu aktivieren. Wenn Sie root-Zugriff mit SSH benötigen, melden Sie sich bei einem normalen Benutzer an und verwenden Sie sudo. Auf diese Weise sichert es den Zugang zur Box, ohne die Sicherheit zu beeinträchtigen.

Ich würde ja sagen, Login als root sollte für die Auditability deaktiviert werden. Wenn Sie der einzige Systemadministrator auf dieser Maschine sind, ist es trivial zu bestimmen, wer was was wem gemacht hat, aber wenn zehn Personen berechtigt sind, die Box zu verwalten und sie alle wissen, das Root-Passwort haben wir ein Problem.

Ob root aktiviert ist oder nicht, weder root noch ein anderer Benutzer darf sich mit einem Passwort fern anmelden. Fail2ban wird nichts gegen ein langsames Brute-Force-Botnetz tun und funktioniert überhaupt nicht mit IPv6. (Ssh-Protokoll Version 1 und ältere Implementierungen von Version 2 waren anfällig für Passwort-Raten-Angriffe gegen interaktive Passwort-Eingabeaufforderungen innerhalb der ssh-Sitzung, aber dies scheint nicht mehr der Fall mit einer ausreichend neuen ssh-Implementierung.)

  • SSH persistente Verbindung mit pxssh in der Flasche
  • Stecken mit Status-Check von amazon ec2 Instanz
  • Problem läuft python / matplotlib im Hintergrund nach dem Ende ssh Sitzung
  • Test, wenn Datei / Dir über SSH / Sudo in Python / Bash existiert
  • Wie man ssh connect durch Python Paramiko mit öffentlichen Schlüssel
  • Putting Befehl im Hintergrund mit Fabric funktioniert nicht auf einige Hosts
  • Python ssh in einen Jumpserver und dann ssh in einen Host aus dem Jumpserver, um einen Befehl auszuführen
  • Wie man ssh Sitzung nicht abgelaufen mit paramiko?
  • Warum keine reinen Python SSH1 (Version 1) Client-Implementierungen?
  • Wie man den bash-Befehl als Systembenutzer ausführt, ohne dem Benutzer das Recht zu geben, Befehle als Benutzer auszuführen
  • Kann eine Python-Fabric-Aufgabe andere Aufgaben aufrufen und ihre Hosts-Listen respektieren?
  • Python ist die beste Programmiersprache der Welt.