क्या रूट लॉगिन को अक्षम करना सुरक्षा बढ़ाता है?

मुझे हाल ही में लिनक्स में रूट यूज़र लॉगिन को http://archives.neoepsis.com/archives/openbsd/2005-03/2878.html पर निष्क्रिय करने के खिलाफ एक तर्क मिला है

मुझे लगता है कि, अगर हर कोई सार्वजनिक कुंजी प्रमाणीकरण का उपयोग करता है, तो रूट पासवर्ड खोने का कोई जोखिम नहीं है।

क्या ssh के माध्यम से रूट लॉगिन को निष्क्रिय करना हमेशा बेहतर होता है?

संक्षिप्त उत्तर यह है कि आपका हमला जितना छोटा होगा उतना ही अच्छा होगा। हमेशा। यदि आपको इसकी आवश्यकता नहीं है या आप sudo या su जैसे विकल्प का उपयोग कर सकते हैं, तो रूट लॉगिन सक्षम न करें।

रूट को अक्षम करने और sudo / su का उपयोग करने के पक्ष में एक बड़ा तर्क यह है कि आप यह ट्रैक कर सकते हैं कि कौन क्या कर रहा है। एक उपयोगकर्ता - एक लॉगिन। खाते कभी साझा न करें।

उस लिंक पर तर्क ssh के बजाय स्थानीय लॉगिन के लिए विशिष्ट प्रतीत होता है।

मैं दूसरा डेनिस बिंदु, प्लस:

SSH के माध्यम से रूट लॉगिन की अनुमति देने का मतलब यह है कि रूट को brute force पासवर्ड अनुमानों द्वारा हमला करने योग्य है।

क्योंकि जड़ हमेशा है, और इनाम इतना अधिक है, यह एक प्राथमिकता लक्ष्य है। उपयोगकर्ता नाम का पहले अनुमान लगाया जाना चाहिए, जो समस्या की कठिनाई के लिए परिमाण के कुछ आदेश जोड़ता है।

यदि आपके पास कंसोल पहुँच नहीं है, तो रूट खाते को कभी भी अक्षम न करें। यदि आपका फ़ाइल सिस्टम भर जाता है और बूट विफल हो जाता है / etc / nologin बनाया जाता है, तो केवल रूट खाते को मशीन में लॉगिन करने की अनुमति होगी।

कहा कि, यदि आपके पास इन स्थितियों से निपटने के लिए कंसोल एक्सेस है, तो रूट खाता बंद करने से आपको कुछ सिरदर्द हो सकते हैं, क्योंकि कोई भी डिक्शनरी अटैक का इस्तेमाल डिक्शनरी अटैक से नहीं कर पाएगा (मेरा अनुभव यह है कि ये इन दिनों स्थिर हैं - कोई हमेशा कोशिश कर रहा है)। अन्य चीजें जिन्हें आप करने की सोच सकते हैं:

• अगर यह एक IP पते तक पहुंच को बंद कर देता है, तो यह कई बार विफल हो जाता है, जैसे कि यह कई बार प्रमाणीकरण को विफल करता है (शब्दकोश हमलों के खिलाफ सक्रिय रूप से रक्षा करने के लिए)।
• केवल ssh कीज़ का उपयोग करें।
• यदि आप बहुत सारी मशीनों का प्रबंधन करते हैं, तो सार्वजनिक कुंजियों को प्रबंधित करने के लिए cfengine या अन्य का उपयोग करें जिन्हें आप एक मशीन में प्रवेश करने के लिए अधिकृत करते हैं (या फिर आप उन पुराने बहुत जल्दी प्राप्त करते हैं)।

सादर,
जोओ मिगुएल नेव्स

SSH के माध्यम से रूट लॉगिन को अक्षम करना हमेशा बेहतर होता है।

पीकेआई सिस्टम (जैसे एसएसएच के साथ सार्वजनिक कुंजी) हैं जो समझौता किए गए हैं। SSH में पहले से ही रिमोट ऑथेंटिकेशन खामियां थीं जो रूट समझौता होने में सक्षम थीं। सॉफ्टवेयर पीकेआई हार्डवेयर आधारित पीकेआई की तुलना में बेहद कमजोर हैं। यदि आपके मेजबान कंप्यूटर से समझौता किया जाता है, तो लक्ष्य सर्वर आसानी से गिर सकता है। या एसएसएच में पाए जाने वाले उपन्यास दोष हो सकते हैं। रूट लॉगिन को सीमित करके, आप विशेषाधिकार वृद्धि करने के लिए एक हमलावर की आवश्यकता की अवधि को भी बढ़ा सकते हैं।

ऐतिहासिक रूप से, कई प्रशासकों ने एक नेटवर्क में प्रवेश करने के लिए, और फिर बाद में बक्से में कूदने के लिए गढ़ होस्ट (मूल रूप से गेटवे) का इस्तेमाल किया। एक उच्च सुरक्षित डिस्ट्रो (उदाहरण के लिए ओपनबीएसडी) का उपयोग एक गढ़ होस्ट के रूप में, अलग-अलग ऑपरेटिंग सिस्टम के साथ संयोजन में रक्षा-में-गहराई और रक्षा-इन-विविधता (पूरे नेटवर्क से समझौता करने की कम संभावना) प्रदान करता है।

कृपया अपने नेटवर्क से बैंड कनेक्शन के बारे में भी विचार करें, जैसे कि धारावाहिक सांद्रता, सीरियल स्विच, या अन्य। यदि आवश्यक हो तो यह आपके प्रशासनिक इंटरफ़ेस की बैकअप उपलब्धता प्रदान करेगा।

क्योंकि मैं पागल हूँ और सुरक्षा में हूँ, मैं IPSEC VPN या Type1 VPN का उपयोग करने की अधिक संभावना रखता हूँ, और फिर SSH की कोई भी इंटरनेट एक्सपोज़र न होने पर, इसके ऊपर SSH चला सकता हूँ। अपने नेटवर्क हार्डवेयर पर वीपीएन डालना नाटकीय रूप से कार्यान्वयन में सरल बना सकता है।

हमें विभिन्न बिंदुओं से इस प्रश्न की जांच करनी चाहिए।

उबंटू डिफ़ॉल्ट रूप से रूट खाते को अक्षम करता है, जिसका अर्थ है कि आप रूट के साथ एसएसएच के माध्यम से लॉगिन नहीं कर सकते हैं। लेकिन, यह उबंटू सीडी के साथ किसी को भी बूट करने और रूट एक्सेस प्राप्त करने की अनुमति देता है।

मेरा मानना ​​है कि सबसे अच्छा समझौता अक्षम एसएसएच पहुंच के साथ रूट खाते को सक्षम करना है। यदि आपको SSH के साथ रूट एक्सेस की आवश्यकता है, तो सामान्य उपयोगकर्ता के साथ लॉगिन करें और sudo का उपयोग करें। इस तरह यह रिमोट सुरक्षा से समझौता किए बिना बॉक्स तक पहुंच को सुरक्षित करता है।

मैं कहूंगा कि, ऑडिटबिलिटी के लिए रूट के रूप में लॉगिन अक्षम होना चाहिए। यदि आप इस मशीन पर एकमात्र सिस्टम प्रशासक हैं, तो यह निर्धारित करना तुच्छ है कि किसने क्या किया, लेकिन अगर दस लोगों को बॉक्स को प्रशासित करने के लिए अधिकृत किया गया है और वे सभी रूट पासवर्ड जानते हैं तो हमें एक समस्या है।

रूट सक्षम है या नहीं, न तो रूट और न ही किसी अन्य उपयोगकर्ता को पासवर्ड से दूरस्थ रूप से लॉगिन करने की अनुमति दी जानी चाहिए। fail2ban एक धीमी गति से बल बॉटनेट के खिलाफ कुछ भी नहीं करेगा, और IPv6 के साथ बिल्कुल भी काम नहीं करता है। (ssh प्रोटोकॉल संस्करण 1 और संस्करण 2 का पुराना कार्यान्वयन ssh सत्र के भीतर इंटरैक्टिव पासवर्ड प्रॉम्प्ट के विरुद्ध पासवर्ड-अनुमान के हमलों के लिए असुरक्षित था, लेकिन यह अब हाल ही में ssh कार्यान्वयन के मामले में ऐसा प्रतीत नहीं होता है।)