Linux

如果我禁用密碼身份驗證並僅啟用密鑰身份驗證,我還應該禁用 root 嗎?

  • October 17, 2018

我是 linux 世界的新手,我一直在閱讀一些關於安全性的教程。我在 StackExchange 上看到了一些關於解決這個問題的問題,但從我所看到的情況來看,沒有一個答案對我來說很清楚。

我一直看到他們(教程)由於各種原因建議禁用root,最重要的是如果發生暴力攻擊,具有 root 使用者的伺服器很可能會崩潰(據我所知,暴力攻擊意味著重複嘗試使用使用者名/密碼組合進行身份驗證的自動化過程,直到成功)

現在,假設我禁用了使用者名/密碼身份驗證並且僅啟用了 SSH RSA 密鑰身份驗證(並且還假設我對私鑰所在設備的安全性非常有信心,並且我也有一個密碼片語)關鍵)啟用root會有什麼風險?

假設攻擊者永遠不會得到我的私鑰(和密碼),他們獲得伺服器訪問權限的選項是什麼?

啊。預設情況下它是關閉的FreeBSD

部分原因是知道使用者名對於任何嘗試暴力闖入的人來說都是成功的一半。‘root’ 是所有類 unix 作業系統都包含的使用者。大概您自己的使用者名有點難以猜測。進入後,您可以隨時sudo根據需要隨時啟動。此外,sudo當您 ~do~ 闖入時,日誌會顯示哪個使用者正在做壞事。

瀏覽您的 sshd 和/或安全日誌(取決於您的日誌設置方式)。您會對隨機嘗試登錄的數量感到震驚。

如果這是一台伺服器,您可能還希望對ssh只能從某些知名網路連接的機器設置防火牆。

還要考慮一些漂亮的 pam 外掛,它們可以在時間跨度 t 內 n 次登錄失敗後將 IP 地址添加到防火牆。

如果您真的必須允許 root,您還可以在/root/.ssh/authorized_keysIP 地址/主機名列表中指定該密鑰是可接受的。

例如(醜化以供公眾觀看):

from="*.foo.bar.isp.net,*NewEngland.bellatlantic.net,333.132.227.*,*.mydomain.net,*.customer.com,177.12.47.2??" ssh-dss AAAA ..[public key].. cas6A== ericx@workstation.com

引用自:https://serverfault.com/questions/617636