रूट को ssh के माध्यम से लॉगिन करने की अनुमति क्यों नहीं दी जानी चाहिए?

रूट एक्सेस को ssh के लिए अक्षम क्यों किया जाना चाहिए? मैं हमेशा सुनता हूं कि सुरक्षा कारणों से। लेकिन मुझे नहीं मिला। गैर-रूट के रूप में लॉगिन करने के लिए क्या अलग है और फिर sudo su -? विशेषाधिकार प्राप्त अनुमतियों की आवश्यकता वाले कार्यों को संभालने का पसंदीदा तरीका क्या है?

धन्यवाद

थॉमस

सूडो इसके लिए एक पसंदीदा तरीका है जब आपको इसकी लेखापरीक्षा योग्यता और समृद्ध ग्रैन्युलैरिटी के कारण व्यवस्थापक कार्यों को सौंपने की आवश्यकता होती है। सूडो सभी आदेशों को लॉग इन करने की अनुमति देता है और प्रशासक को व्यक्तियों या समूहों के लिए अलग-अलग सूडो प्रोफाइल स्थापित करने की अनुमति देता है।

सु या रूट एक्सेस सभी या कुछ भी नहीं है

रूट एक खाता है जो हर एक यूनिक्स मशीन पर होने और सक्षम होने की गारंटी है, इसलिए पासवर्ड को ब्रूट-फोर्स करने का प्रयास करने के लिए इसे लेने के लिए कोई ब्रेनर नहीं है। बाहरी उपकरणों के बिना (स्पष्ट रैपर को मारने वाले रैपर, घुसपैठिए रोकथाम उपकरण, उस तरह की चीज) पासवर्ड का पता लगाने से पहले यह केवल समय की बात है। यहां तक ​​कि बाहरी उपकरणों के साथ इस तरह के व्यवहार को रोकने के लिए, यह अभी भी एक अच्छा विचार है कि आने वाले उपयोगकर्ताओं को एक सामान्य उपयोगकर्ता के रूप में लॉग इन करने के लिए मजबूर किया जाए और फिर बढ़ाए गए निजी तक su / sudo / pfexec। हां, यह एक अतिरिक्त कदम है, और इसका मतलब है कि आपको उन मशीनों पर उपयोगकर्ता खाते बनाने होंगे जो रूट-उपयोगकर्ताओं के बीच साझा किए जाते हैं, लेकिन यह एक हमलावर और बॉक्स के अप्रतिबंधित नियंत्रण के बीच एक और अवरोध है।

मुख्य अंतर यह है कि हमलावर को उपयोगकर्ता नाम का भी अनुमान लगाना होगा। यदि आप रूट को लॉग इन करने देते हैं, तो उसे केवल पासवर्ड का अनुमान लगाना होगा।

इसके अलावा, वह ssh कुंजी पाने वाले उपयोगकर्ता के लॉगिन को खराब कर सकता है या डेटा को मैन-इन-द-मिडिल दृष्टिकोण का उपयोग करके भेज सकता है और वह पासवर्ड टाइप किए बिना सिस्टम में लॉग इन कर सकता है। लेकिन अगर वह एक उपयोगकर्ता के रूप में लॉग इन करता है, तो उसे कमांडो-सुइज़ कमांड करना पड़ता है और इस प्रकार उसे पासवर्ड मैन्युअल रूप से टाइप करने के लिए मजबूर किया जाता है। यदि उसे एक रूट के रूप में लॉग किया गया था, तो उसे चीजों को सूडो-ऑइज़ करने की आवश्यकता नहीं है, इसलिए एक कम सुरक्षा कदम है।

वहाँ सैकड़ों-हजारों मशीनें हैं जो sshd और brute के लिए उन्हें मजबूर करने के लिए स्कैन कर रही हैं। "रूट" पहले प्रयास करने के लिए एक अच्छा खाता है क्योंकि अगर यह टूट जाता है तो आप पूरी तरह से मशीन के मालिक हैं। जब तक आप रूट लॉगिन को अक्षम नहीं करते, तब तक यह सभी * निक्स सिस्टम पर एक सामान्य खाता है । ऐसा करना एक बहुत अच्छा सुरक्षा अभ्यास है।

इसका मुख्य लाभ यह है कि यह अधिक लचीले अभिगम नियंत्रण की अनुमति देता है: यदि किसी उपयोगकर्ता के पास sudo के माध्यम से रूट अधिकार हैं, तो रूट अधिकारों को देना या उन्हें आवश्यक रूप से दूर ले जाना आसान है। इसके विपरीत, यदि आप वास्तव में लोगों को रूट pw देते हैं, तो आप इसे दूर नहीं कर सकते हैं (जब तक कि आप मेन इन ब्लैक; ;-)) नहीं हैं, आप केवल रूट pw को बदल सकते हैं, जो सभी को प्रभावित करेगा।

उस संदर्भ में, प्रत्यक्ष रूट लॉगिन अनावश्यक हैं b / c किसी के पास रूट pw नहीं है।

(आपको एकल उपयोगकर्ता मोड में कंसोल पर आपातकालीन पहुंच के लिए रूट पीडब्ल्यू की आवश्यकता होगी; लेकिन उसके लिए विशेष प्रावधान होने चाहिए)।

लेकिन एचपी-यूएक्स एसएचएस के माध्यम से रूट की दुर्गमता को कभी मजबूर नहीं करता है, क्यों?