การปิดใช้งานการล็อกอินรูทช่วยเพิ่มความปลอดภัยหรือไม่?

ฉันเพิ่งพบข้อโต้แย้งเกี่ยวกับการปิดใช้งานการเข้าสู่ระบบของผู้ใช้รูทใน Linux ที่http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html

ฉันสมมติว่าหากทุกคนใช้การพิสูจน์ตัวตนด้วยรหัสสาธารณะจะไม่มีความเสี่ยงในการสูญเสียรหัสผ่านรูท

มันจะดีกว่าเสมอหากปิดการใช้งานการเข้าสู่ระบบรูทผ่าน ssh?

คำตอบสั้น ๆ คือยิ่งโปรไฟล์การโจมตีของคุณเล็กลงเท่าไหร่ เสมอ. หากคุณไม่ต้องการหรือสามารถใช้ทางเลือกอื่นเช่น sudo หรือ su คุณไม่ต้องเปิดใช้งานรูทล็อกอิน

ข้อโต้แย้งสำคัญข้อหนึ่งที่สนับสนุนการปิดใช้งานรูทและการใช้ sudo / su คือคุณสามารถติดตามได้ว่าใครกำลังทำอะไรอยู่ ผู้ใช้หนึ่งราย - เข้าสู่ระบบเดียว อย่าแชร์บัญชี

อาร์กิวเมนต์ที่ลิงค์นั้นดูเหมือนจะเฉพาะกับการเข้าสู่ระบบในท้องถิ่นมากกว่า ssh

ฉันสองคะแนน Dennis´ บวก:

การอนุญาตให้ล็อกอินรูทผ่าน SSH ก็หมายความว่ารูทสามารถโจมตีได้โดยการเดารหัสผ่านด้วยกำลังดุร้าย

เนื่องจากรากอยู่ที่นั่นเสมอและรางวัลนั้นสูงมากจึงเป็นเป้าหมายที่มีความสำคัญ ชื่อผู้ใช้จะต้องเดาก่อนซึ่งจะเป็นการเพิ่มความสำคัญให้กับปัญหา

อย่าปิดใช้งานบัญชีรูทหากคุณไม่มีสิทธิ์เข้าถึงคอนโซล หากระบบไฟล์ของคุณเต็มและบูตล้มเหลวในขณะที่ / etc / nologin ถูกสร้างขึ้นเฉพาะบัญชีรูทเท่านั้นที่จะได้รับอนุญาตให้เข้าสู่ระบบในเครื่อง

ที่กล่าวว่าหากคุณมีสิทธิ์เข้าถึงคอนโซลเพื่อจัดการกับสถานการณ์เหล่านี้การปิดบัญชีรูทอาจช่วยให้คุณปวดหัวเพราะไม่มีใครสามารถเข้าถึงบัญชีรูทโดยใช้การโจมตีแบบพจนานุกรม (ประสบการณ์ของฉันคือสิ่งเหล่านี้คงที่ในทุกวันนี้ - มีคนพยายามอยู่ตลอดเวลา) สิ่งอื่น ๆ ที่คุณอาจนึกถึง:

• ติดตั้งโปรแกรมเช่น fail2ban ที่ปิดการเข้าถึงที่อยู่ IP โดยอัตโนมัติหากไม่ผ่านการตรวจสอบสิทธิ์หลายครั้ง (เพื่อป้องกันการโจมตีจากพจนานุกรม)
• ใช้คีย์ ssh เท่านั้น
• หากคุณจัดการเครื่องจำนวนมากใช้ cfengine หรืออื่น ๆ เพื่อจัดการกุญแจสาธารณะที่คุณอนุญาตให้เข้าสู่เครื่อง (หรือคุณได้รับสิ่งที่ล้าสมัยอย่างรวดเร็ว)

ขอแสดงความนับถือ
João Miguel Neves

การปิดใช้งานการเข้าสู่ระบบรูทผ่าน SSH จะดีกว่าเสมอ

มีระบบ PKI (เช่นกุญแจสาธารณะที่มี SSH) ที่ถูกบุกรุก SSH มีข้อบกพร่องการรับรองความถูกต้องระยะไกลอยู่ก่อนหน้านี้แล้วซึ่งทำให้เกิดการประนีประนอมรากเกิดขึ้น ซอฟต์แวร์ PKIs นั้นอ่อนแอกว่า PKI ที่ใช้ฮาร์ดแวร์เป็นอย่างมาก .... ถ้าคอมพิวเตอร์แม่ข่ายของคุณถูกบุกรุกเซิร์ฟเวอร์เป้าหมายอาจตกได้ง่ายเช่นเดียวกัน หรืออาจมีข้อบกพร่องใหม่ที่พบใน SSH ด้วยการ จำกัด การเข้าสู่ระบบรูทคุณสามารถขยายระยะเวลาที่ผู้โจมตีต้องการเพื่อดำเนินการเพิ่มระดับสิทธิ์

ในอดีตผู้ดูแลระบบจำนวนมากใช้โฮสต์ของป้อมปราการ (โดยทั่วไปคือเกตเวย์) เพื่อเข้าสู่เครือข่ายและจากนั้นข้ามไปที่กล่องหลังจากนั้น การใช้ distro ที่มีความปลอดภัยสูง (เช่น OpenBSD) เป็นโฮสต์ของป้อมปราการร่วมกับระบบปฏิบัติการที่แตกต่างกันให้การป้องกันในเชิงลึกและการป้องกันในความหลากหลาย

โปรดพิจารณาว่ามีการเชื่อมต่อนอกเครือข่ายกับเครือข่ายของคุณเช่นหัวต่อเนื่องอนุกรมสวิตช์อนุกรมหรืออื่น ๆ นี่จะเป็นการสำรองความพร้อมใช้งานของอินเทอร์เฟซผู้ดูแลระบบของคุณหากจำเป็น

เนื่องจากฉันเป็นคนหวาดระแวงและปลอดภัยฉันมีแนวโน้มที่จะใช้ IPSEC VPN หรือ Type1 VPN มากขึ้นจากนั้นจึงเรียกใช้ SSH ด้านบนของมันโดยไม่เปิดเผย SSH ทางอินเทอร์เน็ต แต่อย่างใด การนำ VPN บนฮาร์ดแวร์เครือข่ายของคุณสามารถทำให้สิ่งนี้ง่ายขึ้นในการนำไปใช้งาน

เราควรตรวจสอบคำถามนี้จากจุดต่าง ๆ

Ubuntu จะปิดใช้งานบัญชีรูทตามค่าเริ่มต้นซึ่งหมายความว่าคุณไม่สามารถลงชื่อเข้าใช้ผ่าน SSH ด้วยรูทได้ แต่จะอนุญาตให้ทุกคนที่มีซีดีของ Ubuntu สามารถบู๊ตและรับการเข้าถึงรูทได้

ฉันเชื่อว่าการประนีประนอมที่ดีที่สุดคือการเปิดใช้งานบัญชีรูทด้วยการเข้าถึง SSH ที่ถูกปิดใช้งาน หากคุณต้องการเข้าถึงรูทด้วย SSH ให้ล็อกอินด้วยผู้ใช้ปกติและใช้ sudo วิธีนี้จะช่วยรักษาความปลอดภัยการเข้าถึงกล่องโดยไม่สูญเสียความปลอดภัยระยะไกล

ฉันว่าใช่เข้าสู่ระบบในฐานะที่เป็นรากควรจะปิดการใช้งานสำหรับการตรวจสอบ หากคุณเป็นผู้ดูแลระบบ แต่เพียงผู้เดียวในเครื่องนี้มันเป็นเรื่องเล็กน้อยที่จะตัดสินว่าใครทำอะไรกับใคร แต่ถ้าสิบคนได้รับอนุญาตให้จัดการกล่องและพวกเขาทุกคนรู้รหัสผ่านรูตที่เรามีปัญหา

ไม่ว่าจะเปิดใช้งานรูทหรือไม่ก็ตามไม่ควรอนุญาตให้รูทหรือผู้ใช้รายอื่นลงชื่อเข้าใช้จากระยะไกลด้วยรหัสผ่าน fail2ban จะไม่ทำอะไรเลยกับ botnet ที่กำลังดุร้ายช้าและไม่ทำงานเลยด้วย IPv6 (โปรโตคอล ssh รุ่นที่ 1 และการใช้งานที่เก่ากว่าของเวอร์ชัน 2 มีความเสี่ยงต่อการโจมตีด้วยรหัสผ่านที่คาดเดาได้จากรหัสผ่านแบบโต้ตอบภายในเซสชัน ssh แต่สิ่งนี้ดูเหมือนจะไม่เป็นเช่นนั้นกับการใช้ ssh ล่าสุดอย่างเพียงพอ)