รหัสผ่าน sudo สำคัญอย่างไร

ฉันรู้ว่ารหัสผ่าน sudo ปกป้องคอมพิวเตอร์ของฉันจากการถูกแฮ็กในเครื่องโดยผู้ที่สามารถเข้าถึงได้ ( แก้ไข:จริง ๆ แล้วมันไม่ได้ ) รหัสผ่านของฉันแรงพอสำหรับจุดประสงค์นั้น แต่ฉันรู้ว่ามันไม่แรงพอถ้าใครบางคนสามารถเดรัจฉานบังคับได้จากระยะไกล

ใครสามารถเข้าถึงคอมพิวเตอร์ของฉันในโหมดรูทโดยใช้รหัสผ่าน sudo โดยไม่ต้องใช้คอมพิวเตอร์ในการติดตั้ง Ubuntu บนเดสก์ท็อปมาตรฐาน

1. หากคุณมีการเข้าถึงเครือข่ายแน่นอนใช่ (คำตอบสั้น ๆ )
2. หากคุณไม่ใส่ใจกับความปลอดภัยอย่างเพียงพอใช่ (ตอบยาว)
3. หากคุณมี "SSH" ทำงานและไม่มี2FA , ใช่ ( ความเห็นและคำตอบ)
4. หนึ่งสามารถเข้าถึงคอมพิวเตอร์ของคุณเป็น root โดยไม่ต้องใช้รหัสผ่าน sudo / ผู้ใช้

ฉันรู้ว่ารหัสผ่าน sudo ปกป้องคอมพิวเตอร์ของฉันจากการถูกแฮกในเครื่องโดยผู้ที่สามารถเข้าถึงได้

ฉันไม่ต้องการที่จะทำให้คุณกลัวมากเกินไป แต่ถ้าใครบางคนมีการเข้าถึงทางกายภาพที่คุณมอบให้พวกเขาเข้าถึงโดยไม่คำนึงว่ารหัสผ่านของคุณแข็งแกร่งแค่ไหน จะใช้เวลา 1 รีบูตโดยบางคนเพื่อให้ใครบางคนสามารถเปลี่ยนรหัสผ่านรูทของคุณ (สามารถทำได้จาก "การช่วยเหลือด้วง" โดยไม่จำเป็นต้องระบุรหัสผ่านปัจจุบันของคุณ) โดยวิธีการ: วิธีนี้ถือว่าถูกต้องและมีคุณสมบัติและความเสี่ยงด้านความปลอดภัยที่ยอมรับได้ (ไม่เช่นนั้นคุณจะไม่สามารถแก้ไขระบบของคุณได้ในกรณีที่รหัสผ่านถูกบุกรุก)

แต่ฉันรู้ว่ามันไม่แข็งแรงพอถ้าใครบางคนสามารถบังคับมันแบบระยะไกลได้

ที่นี่มีอย่างอื่นที่กำลังเล่นอยู่: ROUTER ควรฉลาดพอที่จะล็อคการเข้าถึงจากภายนอกถ้ามันเป็นคำขอซ้ำแล้วซ้ำอีกเพื่อขอข้อมูลเดียวกันในช่วงเวลาสั้น ๆ โดยทั่วไปสิ่งที่คุณมีที่นี่คือการโจมตี DOS (หรือ DDOS หากคอมพิวเตอร์ 2 เครื่องโจมตีคุณ) เราเตอร์ควรฆ่าการเชื่อมต่อนั้นและบังคับใช้ช่วงเวลารอก่อนที่จะยอมรับคำขอใหม่จากการเชื่อมต่อนั้น

ใครสามารถเข้าถึงคอมพิวเตอร์ของฉันในโหมดรูทโดยใช้รหัสผ่าน sudo โดยไม่ต้องใช้คอมพิวเตอร์ในการติดตั้ง Ubuntu บนเดสก์ท็อปมาตรฐาน

พวกเขาต้องเชื่อมต่อก่อนจากนั้นระบุรหัสผ่าน sudo โหมด "root" ถูกปิดใช้งานและคุณไม่สามารถเข้าสู่ระบบได้โดยตรงที่พรอมต์ "#"

โปรดทราบว่าเป็นไปได้ที่จะใช้บริการในทางที่ผิด หากคุณมี "ssh" ทำงานอยู่บนเครื่องนั้นและพวกเขาสามารถ "ssh" เข้าสู่ระบบของคุณและรับชื่อผู้ใช้และรหัสผ่านสำหรับผู้ใช้นั้น (และเนื่องจากเป็นผู้ดูแลระบบรหัสผ่าน sudo ของคุณด้วย) พวกเขาสามารถเข้าถึงเครื่องของคุณได้ และทำให้เป็นระเบียบ โดยวิธีการ: หากพวกเขาทำเช่นนั้นพวกเขาจะต้องมีความรู้เกี่ยวกับระบบของคุณก่อน (เช่นรหัสผ่านของคุณ)

แต่แล้วก็มีปัญหากับเรื่องนั้น (และวิธีอื่นใด): พวกเขาได้รับรหัสผ่านของคุณอย่างไร? พวกเขาไม่สามารถได้รับจากระบบของคุณเอง และโดยทั่วไปการเดาไม่คุ้มกับปัญหา ถ้ามันถูกออกแบบมาเพื่อสังคม ... แสดงว่าปัญหาของคุณอยู่ที่นั่นไม่ใช่ด้วยรูปแบบความปลอดภัยของระบบ Ubuntu หรือ Linux โดยทั่วไป

ตราบใดที่รหัสผ่าน sudo ของคุณเป็นของคุณคุณจะ / ควรปรับ และคุณจะดียิ่งขึ้นถ้าเป็นรหัสผ่านที่คาดเดายาก (อาจจำได้ง่ายสำหรับคุณ แต่ไม่สามารถเดาได้จากคนอื่น) ตัวอย่างที่ฉันใช้ก่อนหน้านี้เมื่อพูดถึงเรื่องนี้: หากสุนัขของคุณชื่อ "Abwegwfkwefkwe" โดยใช้ "Abwegwfkwefkwe" เป็นรหัสผ่านที่ไม่ดีแม้ว่าจะดูดี (เนื่องจากมีคนถามคุณ: 'ชื่อสุนัขของคุณคืออะไร' และพวกเขาลองใช้ เดาฟรี) หากคุณไม่มีความสัมพันธ์กับ "Abwegwfkwefkwe" เป็นรหัสผ่านที่ดี

คำแนะนำที่ดีที่สุดที่ฉันสามารถให้:

• อย่าป้อนรหัสผ่านผู้ดูแลระบบของคุณเมื่อได้รับการร้องขอเว้นแต่คุณจะรู้ว่าจะต้องถาม หากคุณเปิดเบราว์เซอร์และได้รับป๊อปอัปที่ดูเหมือนว่า "ขอรหัสผ่านบัญชีผู้ดูแลระบบ" ... หยุด ... และคิดก่อน

• อย่าปล่อยให้ระบบของคุณไม่ต้องดูแลเมื่อช่วงเวลาผ่อนผัน "sudo" ทำงาน sudo --reset-timestampลบระยะเวลาผ่อนผันปัจจุบันและจะถามรหัสผ่านอีกครั้งเมื่อคุณใช้ "sudo" ครั้งต่อไป ล็อคหน้าจอของคุณเมื่อคุณไป AFK

• อย่าติดตั้งบริการหรือซอฟต์แวร์เพื่อความสนุก ถ้าคุณไม่ต้องการไม่ต้องsshติดตั้งsshถ้าคุณไม่ใช้เว็บเซิร์ฟเวอร์อย่าติดตั้งเว็บเซิร์ฟเวอร์ และดูที่บริการที่กำลังทำงานอยู่ หากคุณไม่ได้ใช้ BT บนโน้ตบุ๊กให้ปิดการใช้งาน หากคุณไม่ได้ใช้เว็บแคมให้ปิดการใช้งาน (ถ้าเปิดใช้งาน) ลบซอฟต์แวร์ที่คุณไม่ได้ใช้อีกต่อไป

• และสำหรับหวาดระแวงจริงๆ (และใช่แพนด้าหวาดระแวงฉันกำลังมองหาคุณ): เปลี่ยนรหัสผ่านทุก ๆ ครั้ง คุณสามารถติดตั้งนักล่ารูทคิทเพื่อตรวจสอบการเข้าถึงที่ไม่เหมาะสม

• สำรองข้อมูลสำคัญของคุณไปยังสิ่งที่คุณทำแบบออฟไลน์ ดังนั้นแม้ว่าคุณจะพบใครบางคนในระบบของคุณคุณสามารถจัดรูปแบบและเริ่มต้นด้วยการติดตั้งใหม่และข้อมูลของคุณเรียกคืน

ใช่พวกเขาสามารถ

มีหลายวิธีในการทำเช่นนั้นและการบังคับใช้sudoรหัสผ่านอย่างดุเดือดอาจไม่ใช่วิธีแรก

ก่อนอื่นsudoรหัสผ่านคือรหัสผ่านของผู้ใช้ สิ่งที่พวกเขาต้องได้รับก็คือรหัสผ่านของคุณ

ประการที่สองการถอดรหัสรหัสผ่านของผู้ใช้โดยใช้กำลังดุร้ายในการเข้าถึงระบบอาจเป็นทางเลือกสุดท้าย

มีวิธีที่สง่างามกว่า (แต่ส่วนใหญ่มีประสิทธิภาพมากกว่า) วิธีการบุกเข้าไปในระบบอื่น

โดยทั่วไปแล้วผู้โจมตีจะไปและพยายามใช้ประโยชน์จากช่องโหว่ที่พบบ่อยที่สุด (ที่รู้จักกันดีที่สุดคือการได้รับเชลล์ผู้ใช้ด้วยวิธีการใด ๆ และใช้ประโยชน์จาก ShellShock เพื่อให้ได้รูทเชลล์) หรือทำงานที่ดีที่สุดตามลำดับ:

• การสแกนพอร์ตที่เปิดอยู่บนระบบเพื่อรับข้อมูลเช่น:
  • รุ่นของระบบปฏิบัติการ
  • รุ่นที่ใช้บริการ
• การใช้ประโยชน์จากระบบปฏิบัติการที่รู้จักหรือการเรียกใช้ข้อบกพร่องของบริการ (บัฟเฟอร์ล้น, ... ) เพื่อให้ได้เชลล์ผู้ใช้อย่างน้อยจากนั้นลองรับรูตเชลล์ (อีกครั้งอาจใช้ประโยชน์จาก ShellShock)

การบังคับให้sudoรหัสผ่านของผู้ใช้ / อาจเป็นการพยายามในกรณีที่ไม่สามารถรับรูทเชลล์ได้ แต่สำหรับตัวอย่างการใช้ประโยชน์จากบริการที่รันอยู่เนื่องจากรูทไม่ต้องการให้ผู้โจมตีsudoใช้รหัสผ่านของผู้ใช้

1. ถ้าฉันได้เรียนรู้อะไรในช่วงไม่กี่ปีที่ผ่านมาในการรักษาความปลอดภัยแล้วสิ่งหนึ่งที่: ไม่มีอะไรที่เป็นไปไม่ได้

2. ตราบใดที่คุณสามารถเข้าถึงเครือข่ายได้แน่นอน แต่ละบริการที่ทำงานบนระบบของคุณที่สามารถเข้าถึงได้ผ่านเครือข่ายมีความเสี่ยงทางทฤษฎีและอาจเป็นจุดอ่อน

ดังนั้นสำหรับผู้โจมตีที่มีความคิดที่เป็นไปได้ คุณสามารถทำให้ระบบของคุณปลอดภัยที่สุดเท่าที่จะเป็นไปได้ แต่คุณจะไม่สามารถได้รับความปลอดภัยสูงสุดถึง 100%

ดังนั้นจึงเป็นสิ่งสำคัญในการประเมินสิ่งที่เป็นไปได้ด้วยความพยายามทางเทคนิคที่สมเหตุสมผลและสิ่งที่ปกป้องคุณได้ดีจนตัวคุณเองไม่สามารถทำงานได้อีกต่อไป

ฉันรู้ว่ารหัสผ่าน sudo ปกป้องคอมพิวเตอร์ของฉันจากการถูกแฮ็กในเครื่องโดยใครบางคนที่มีสิทธิ์เข้าถึงทางกายภาพ (แก้ไข: จริง ๆ แล้วมันไม่ได้) รหัสผ่านของฉันแรงพอสำหรับจุดประสงค์นั้น แต่ฉันรู้ว่ามันไม่แรงพอถ้าใครบางคนสามารถเดรัจฉานบังคับได้จากระยะไกล ใครสามารถเข้าถึงคอมพิวเตอร์ของฉันในโหมดรูทโดยใช้รหัสผ่าน sudo โดยไม่ต้องใช้คอมพิวเตอร์ในการติดตั้ง Ubuntu บนเดสก์ท็อปมาตรฐาน

รหัสผ่าน sudo ไม่ได้มีไว้เพื่อการป้องกันในตัวเครื่องเท่านั้น แต่มีจุดประสงค์เพื่อเพิ่มความปลอดภัยให้กับการใช้สิทธิ์ของรูท การสนทนาที่ดีสามารถพบได้ที่นี่https://superuser.com/a/771523/467316

รหัสผ่านของคุณอาจไม่แข็งแรงเท่าที่คุณคิด ตอนนี้ฉันแฮ็ค Active Directory ของไคลเอ็นต์ของฉัน 20-40% สำหรับผู้ที่ฉันเคยเห็นมาก่อนผู้ที่มีกฎรหัสผ่านไม่ดีจะได้รับการถอดรหัส 70% ฉันแนะนำ 16 ตัวอักษรรหัสผ่านที่ซับซ้อน oclHashcat และ Radeon กราฟิกการ์ดสามารถทำความเสียหายได้มากมาย เพิ่มรหัสผ่านทั้งหมดทิ้งจากการละเมิดทุกครั้งในช่วง 5 ปีที่ผ่านมาและคุณมักจะได้รับพจนานุกรมที่ดีในการใช้งาน

หากคุณใช้ SSH เลยทำการปรับเปลี่ยนบางอย่างใน sshd_config

sudo nano /etc/ssh/sshd_config

MUSTS ออกจากทางเข้า (สุดท้ายจะปิดการใช้งานเซิร์ฟเวอร์ ftp หากคุณไม่ได้ใช้งาน)

Protocol 2
X11Forwarding no
PermitEmptyPasswords no
MaxAuthTries 5
#Subsystem sftp /usr/lib/openssh/sftp-server

บันทึกมันรีสตาร์ท ssh

sudo service ssh restart

ใช้การเข้ารหัสพับลิกคีย์เริ่มต้นด้วยการสร้างคีย์ด้วยตัวเองที่เครื่องระยะไกลของคุณ (ใช้ puttygen หรือรสชาติใดก็ตามที่ระบบปฏิบัติการของคุณมี) คัดลอกรหัสสาธารณะไปยังเครื่อง Ubuntu ของคุณภายใต้ผู้ใช้ที่คุณต้องการลงชื่อเข้าใช้ในชื่อไฟล์ authorized_keys (คุณอาจต้องสร้างมันขึ้นมา)

sudo nano /home/yourdumbusername/.ssh/authorized_keys

คัดลอกกุญแจสาธารณะในรูปแบบนี้

ssh-rsa 23r0jfjlawjf342rffjfa89pwfj8ewfew98pfrfj8428pfwa9fupfwfcajwfpawf8rfapfj9pf892jpfjpwafj8a where-ever-you-have-your-private-key-for-your-own-notes

บันทึกและตั้งค่า sshd_config ของคุณเพื่ออนุญาตการเข้าสู่ระบบกุญแจสาธารณะ

sudo nano /etc/ssh/sshd_config

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys

บันทึกและรีสตาร์ท ssh

sudo service ssh restart

ลอง SSHing กับโฮสต์ ubuntu ของคุณจากคอมพิวเตอร์ที่มีรหัสส่วนตัวโดยใช้การเข้ารหัสคีย์สาธารณะ ถ้าทุกอย่างเป็นไปด้วยดีให้กลับไปที่โฮสต์อูบุนตูและปิดการใช้งานการตรวจสอบรหัสผ่าน

sudo nano /etc/ssh/sshd_config

PasswordAuthentication no

บันทึกและรีสตาร์ท ssh

sudo service ssh restart

ลอง sshing จากคอมพิวเตอร์ที่มีรหัสส่วนตัวอีกครั้งเพื่อยืนยัน

ต้องการเพิ่มอีกหรือไม่ ตั้งค่าบัญชีที่ไม่ได้รับสิทธิพิเศษเปิด PermitRootLogin ไม่รีสตาร์ท ssh เพิ่มกุญแจสาธารณะของคุณไปที่ authorized_keys ของบัญชีใหม่เข้าสู่ระบบเป็นบัญชีที่ไม่มีสิทธิพิเศษเช่นไปที่บัญชีรูทหรือสิทธิ์ของคุณเมื่อคุณต้องการรูทหรือใช้สิทธิ์ของคุณ

วัตถุประสงค์ของ sudo นั้นไม่ได้เกี่ยวข้องกับรหัสผ่าน แต่ให้ความสามารถ root-ish แก่ผู้ใช้บางคนในขณะที่ จำกัด ผู้อื่นผ่านเครื่องโดยไม่ต้องการให้พวกเขานำเสนอรูทล็อกอิน (โทเค็นรหัสผ่าน / คีย์ / ความปลอดภัย / ฯลฯ ) ตัวอย่างเช่นที่ทำงานของฉันคนงานประจำวันสามารถเริ่ม / ปิด / ติดตั้งและอัพเกรดสถานีของพวกเขา (จากที่เก็บข้อมูลของ บริษัท ที่คัดค้าน) ผ่าน sudo พวกเขาจะไม่ได้รับเสรีภาพรากอื่น ๆ เช่นการลบ / การจัดรูปแบบอุปกรณ์เพิ่มและลบผู้ใช้ตัดสินใจว่าโมดูลเคอร์เนลควรจะขึ้นบัญชีดำหรือสิ่งที่ทำงานใน crontab (ฯลฯ ฯลฯ ฯลฯ ) ในขณะที่บ้านของคุณ sudo ของคุณอนุญาตให้เข้าถึงเครื่องได้อย่างสมบูรณ์ ในความเป็นจริงแล้วรหัสผ่านของบัญชีผู้ใช้ของคุณที่ sudo ต้องการ (เป็นรหัสเดียวกับที่คุณจะใช้เพื่อเข้าสู่ระบบหากไม่ได้เปิดใช้งานออโตโลจิน

คำแนะนำที่ไม่ถูกต้อง : หากคุณต้องการให้รูทบัญชีปกติบน sudo เปิดใช้งาน unix (linux / apple osx) ให้เรียกใช้สิ่งต่อไปนี้

sudo -s
passwd
Enter your unix password:

ณ จุดนี้รูทจะมีรหัสผ่านปกติและคุณสามารถออกจากระบบและลงชื่อเข้าใช้ด้วยรูทด้วยรหัสผ่านที่กล่าวถึงในแบบ "แบบเก่า"

เกี่ยวกับความปลอดภัยหากมีหนึ่งโปรแกรม (เช่นเว็บเซิร์ฟเวอร์, mysql, php daemon, sshd) ทำงานเป็นบัญชีที่ได้รับการยกระดับ .. พูดว่า root และมีช่องโหว่ที่ทราบแล้วผู้โจมตีอาจไม่ต้องการข้อมูลรับรองความปลอดภัยใด ๆ พวกเขาสามารถใช้ประโยชน์จากช่องโหว่ของโปรแกรมและเพียงวางไข่เชลล์ใหม่จากโปรแกรมนี้ที่ทำงานในฐานะรูท อย่างไรก็ตามเรื่องนี้ค่อนข้างหายากเนื่องจากผู้จัดการ distro ตระหนักถึงปัญหาที่คล้ายกันและทำงานที่โดดเด่นในการสร้างความคิดที่ดีและมักจะเป็นสภาพแวดล้อมที่ปลอดภัย

ในระบบปฏิบัติการอื่นการดำเนินการคล้ายกับ sudo จะเป็นการคลิกขวาและเรียกใช้ในฐานะผู้ดูแลระบบ (หรือการจู้จี้สิทธิ์ UAC)