ฉันได้ติดตั้ง Google-Authenticator บนเครื่อง CentOS 6.5 และกำหนดค่าผู้ใช้บางรายเพื่อให้ OTP
ในขณะที่แก้ไข/etc/ssh/sshd_config
ฉันเห็นคำสั่ง " PermitRootLogin
" ซึ่งถูกใส่ความคิดเห็นโดยปริยาย
ฉันต้องการตั้งค่า " PermitRootLogin no
" แต่ยังคงสามารถ ssh ไปยังเครื่องได้ในฐานะรูทจากเครือข่ายท้องถิ่นเท่านั้น
เป็นไปได้ไหม
5
ไม่เคยทำเช่นนี้ SSH ในฐานะผู้ใช้ของคุณจากนั้นใช้ sudo เพื่อยกระดับสิทธิ์ ทำเช่นนี้เพื่อให้มันออกจากทางกระดาษและคุณจะรู้ว่าบัญชีใดถูกบุกรุก
—
SnakeDoc
@SnakeDoc: นั่นเป็นโรงเรียนแห่งความคิดหนึ่ง แต่ก็ไม่ชัดเจนและฉันจะโต้แย้งในทางตรงกันข้าม sudo เป็นพื้นผิวการโจมตีที่ซับซ้อนมากและไม่ใช่สิ่งที่ฉันต้องการติดตั้ง SSH pubkey auth เป็นพื้นผิวการโจมตีที่เล็กกว่ามาก สามารถบันทึกได้ แต่การบันทึกจะไม่มีประโยชน์มากเมื่อผู้ใช้ (รูท) สามารถแก้ไขหรือลบบันทึกได้ซึ่งเป็นกรณีนี้เสมอเว้นแต่คุณจะบันทึกลงในที่เก็บข้อมูลผนวกภายนอกเท่านั้น
—
..
@R .. หากคุณตั้งค่า sudoers อย่างถูกต้องโดยใช้หลักการของสิทธิ์น้อยที่สุดปัญหาเหล่านี้ที่คุณอธิบายไว้นั้นไม่ใช่ปัญหา ผู้ใช้ไม่ควรจะสามารถเข้าและ
—
SnakeDoc
sudo - su
ออกจากรูทหรือทำสิ่งที่ผู้ใช้ไม่ต้องการ (ใน sudoers คุณต้องใช้ White-list สำหรับคำสั่ง) หากคุณต้องการรูทคุณต้องอยู่ที่คอนโซล - เช่น ไม่ควรอนุญาตให้รูทผ่าน SSH ... คีย์หรือไม่
@SnakeDoc: คุณเข้าใจผิด Sudo มีทั้งพื้นผิวของตัวเองที่ซับซ้อนโจมตีและพื้นฐานพื้นผิวการโจมตีที่ซับซ้อนที่เป็นธรรมชาติที่จะเป็นไบนารี SUID ในรูปแบบของทุกรัฐที่ได้รับการถ่ายทอดทั่ว execve ในบางกรณีข้อผิดพลาดในโปรแกรม suid เอง (suid) ไม่จำเป็นแม้แต่; ข้อบกพร่องในโครงสร้างพื้นฐานเช่นตัวเชื่อมโยงแบบไดนามิก (เช่น CVE-2010-3856) อาจเพียงพอ
—
..
@R .. คุณคิดว่าคุณจะรู้ว่ามีการรั่วไหลของกุญแจ นั่นเป็นหนึ่งในข้อสันนิษฐาน นอกจากนี้ผู้โจมตีของคุณมีสิทธิ์ใช้งานรูท มันยังดีกว่าที่จะส่งพวกเขาผ่านบัญชีที่ไม่มีผู้ด้อยโอกาสและทำให้พวกเขาต้องยกระดับเป็นรูท วิธีนี้คุณมีรหัสที่จะต้องมีการรั่วไหลรหัสผ่านรหัสผ่านที่สำคัญที่จะแตกแล้วรหัสผ่านบัญชีผู้ใช้ปกติที่จะทำลาย และถ้าผู้โจมตีผ่านทุกสิ่ง ... พวกเขาไม่สามารถทำอะไรได้เพราะผู้ใช้รายนี้ติดตั้งภายใต้ sudoers ที่มีขีดความสามารถ จำกัด มาก ... ดูประโยชน์ตอนนี้หรือไม่ ไม่อนุญาตให้ล็อกอินรูทโดยตรงในช่วงเวลา ssh ...
—
เป็นสุข