Я знаю, что sudo пароль защищает мой компьютер от того, чтобы быть локально взломанным кем-то имеющим физический доступ к нему (редактирование: на самом деле это не делает). Мой пароль достаточно силен с этой целью, но я знаю, что это не достаточно сильно, если кто-то может "в лоб" это удаленно.
Действительно ли кто-либо может получить доступ к моему компьютеру в корневом режиме с помощью моего sudo пароля без физического доступа к компьютеру на стандартной настольной установке Ubuntu?
я знаю, что sudo пароль защищает мой компьютер от того, чтобы быть в местном масштабе взломанным кем-то имеющим физический доступ к нему.
я не хочу пугать Вас слишком много, но если у кого-то есть физический доступ, Вы передали доступ им независимо от того, насколько сильный Ваш пароль. Потребуется 1 перезагрузка кем-то для этого, кто-то, чтобы быть в состоянии изменяется, Ваш пароль корня (может быть сделан от «спасения личинки» без потребности поставлять Ваш текущий пароль). Между прочим: этот метод считают действительным и особенность и принятая угроза безопасности (иначе, Вы никогда не были бы в состоянии зафиксировать свою систему в случае, если пароль действительно становился поставленным под угрозу).
, но я знаю, что это не достаточно сильно, если кто-то может «в лоб» это удаленно.
Здесь прибывает что-то еще в игру: МАРШРУТИЗАТОР должен быть достаточно умным, чтобы захватить доступ с внешней стороны, если это - повторный запрос, запрашивающий ту же информацию за короткий промежуток времени. В основном, что Вы имеете вот, DoS-атака (или DDOS если 2 + компьютеры, нападая на Вас). Маршрутизатор должен убить ту связь и провести в жизнь время ожидания прежде, чем принять новые запросы от той связи.
действительно ли кто-либо может получить доступ к моему компьютеру в способе корня, используя мой sudo пароль без физического доступа к компьютеру на стандартной установке рабочего стола Ubuntu?
Они сначала должны соединиться, затем обеспечить sudo пароль. способ «корня» отключен, и Вы не можете непосредственно авторизоваться в быстрый «#».
Примечание, что возможно злоупотребить обслуживанием. Если у Вас есть работа «ssh» той машины, и они могут «ssh» к Вашей системе, и получать руку на Вашем имени пользователя и пароле для того пользователя (и поскольку это - пользователь администратора Ваш sudo пароль также), они могут получить доступ к Вашей машине и испортить ее. Между прочим: если они делают это как этот, у них должно быть знание Вашей системы сначала (как Ваш пароль).
, Но тогда есть проблема с тем (и любой другой метод): как они получали Ваш пароль? Они НЕ могут получить его от Вашей системы самой. И в общем предположении не стоит проблемы. Если это было в социальном отношении спроектировано... тогда, Ваша проблема там, не с моделью безопасности Вашей системы, Ubuntu или Linux в целом.
, пока Ваш sudo пароль Ваш, Вы/должны быть прекрасными. И Вы будете даже более обеспечены, если это будет сильный пароль (возможно, легкий помнить за Вас, но не отгадываемое другими). Пример я использовал прежде, обсуждая это: Если Вашу собаку называют «Abwegwfkwefkwe», использующим «Abwegwfkwefkwe», поскольку пароль ПЛОХ даже при том, что это выглядит хорошим (так как кто-то мог спросить Вас: 'каково имя Вашей собаки', и они пробуют это как свободное предположение). Если у Вас нет отношения к «Abwegwfkwefkwe», это - хороший пароль.
Лучший совет я могу дать:
не вводят Ваш пароль администратора, когда их просят относительно него, если Вы не знаете, что его, как ожидали, спросят. Если Вы открываете браузер и даны всплывающее окно, которое похоже на нашу «просьбу о пароле счета администратора»... останавливаются... и думают сначала.
не оставляют Вашу систему без присмотра, когда «sudo» льготный период активен. sudo --reset-timestamp
удаляет текущий льготный период и попросит пароль снова, когда Вы затем используете «sudo». Захватите свой экран, когда Вы пойдете AFK.
не устанавливают услуги или программное обеспечение ради удовольствия. Если Вам не нужно ssh
, не устанавливают ssh
, если Вы не используете webserver, не устанавливают webserver. И взгляните на в настоящее время бегущие услуги. Если Вы не используете BT на ноутбуке, отключите ее. Если Вы не используете веб-камеру, отключают его (если активный). Удалите программное обеспечение, которое Вы больше не используете.
и для действительно параноидального (и да Параноидальная Панда я смотрю на Вас): измените пароль время от времени. Вы можете даже установить охотников за руткитом, чтобы проверить на несоответствующий доступ.
делают копию Ваших важных данных к чему-то, что Вы сохраняете в режиме офлайн. Таким образом, даже если Вы действительно находите кого-то на своей системе, Вы можете отформатировать ее и начать с нового, устанавливают и Ваши восстановленные данные.
Да они могут.
есть несколько способов сделать так, хотя, и bruteforcing sudo
пароль - вероятно, не первый.
Прежде всего, sudo
пароль - пароль Вашего пользователя; таким образом, действительно то, что они должны были бы получить, Ваш пароль.
есть более изящный путь (но главным образом более эффективный) способы ворваться в другую систему.
, Как правило, нападавший или просто пойдет и попытается эксплуатировать наиболее распространенные слабые места (самое известное, вероятно, быть добирающимся пользовательскую раковину любым означает и эксплуатирует ShellShock, чтобы получить кожуру корня), или сделайте самую прекрасную работу вроде:
Bruteforcing sudo
/, пароль пользователя может быть попыткой в случае, если кожура корня не может быть получена иначе, но например эксплуатация обслуживания, бегущего, поскольку корень не потребует нападавшего к «в лоб» sudo
/ пароль пользователя.
, Если я изучил что-нибудь в последние несколько лет на безопасности, тогда одна вещь: Ничто не невозможно .
, пока у Вас есть доступ к сети, определенно. Каждое обслуживание, работающее на Вашей системе, к которой можно получить доступ по сети, теоретически уязвимо и таким образом потенциальная слабость.
И поэтому, для нападавшего с достаточными идеями это возможно. Вы можете сделать свою систему максимально безопасной, но Вы не можете добираться до 100%-й безопасности никогда.
поэтому важно оценить то, что возможно с допустимым техническим усилием и что защищает Вас так хорошо, что Вы сами больше не можете работать.
я знаю, что sudo пароль защищает мой компьютер от того, чтобы быть в местном масштабе взломанным кем-то имеющим физический доступ к нему (отредактируйте: на самом деле это не делает). Мой пароль достаточно силен с этой целью, но я знаю, что это не достаточно сильно, если кто-то может «в лоб» это удаленно. Действительно ли кто-либо может получить доступ к моему компьютеру в способе корня, используя мой sudo пароль без физического доступа к компьютеру на стандартной установке рабочего стола Ubuntu?
sudo пароль не только для местной защиты, это - цель, состоит в том, чтобы добавить дополнительный уровень безопасности, чтобы внедрить использование привилегии. Хорошее обсуждение может быть найдено здесь https://superuser.com/a/771523/467316
, Ваш пароль может не быть столь сильным, как Вы думаете. Прямо сейчас я взломал 20-40% Активных Директивных мешанин своего клиента для тех, которых я видел прежде, те, у которых есть плохие правила пароля, получают сломанных 70%. Я рекомендую 16 характеров, сложные пароли. oclHashcat и видеокарты Radeon могут нанести большой ущерб. Добавьте во всех свалках пароля от каждого нарушения за прошлые 5 лет, и Вы склонны получать хороший словарь, из которого можно работать.
, Если Вы используете SSH вообще, вносят некоторые корректировки в sshd_config
sudo nano /etc/ssh/sshd_config
СУЩЕСТВЕННО НЕОБХОДИМЫЕ ВЕЩИ прямо из ворот (продержитесь, чтобы отключить FTP-сервер, если Вы не используете его).
Protocol 2
X11Forwarding no
PermitEmptyPasswords no
MaxAuthTries 5
#Subsystem sftp /usr/lib/openssh/sftp-server
Экономят его, перезапускают Начало шифрования открытого ключа Использования ssh
sudo service ssh restart
, создавая себя ключ в Вашей отдаленной машине (использующий puttygen или безотносительно аромата, который Ваш OS имеет в наличии). Скопируйте открытый ключ к своей машине Ubuntu при пользователе, в которого Вы хотите войти как authorized_keys файл (Вы должны будете, вероятно, создать его)
sudo nano /home/yourdumbusername/.ssh/authorized_keys
, копируют открытый ключ в этом формате
ssh-rsa 23r0jfjlawjf342rffjfa89pwfj8ewfew98pfrfj8428pfwa9fupfwfcajwfpawf8rfapfj9pf892jpfjpwafj8a where-ever-you-have-your-private-key-for-your-own-notes
, экономят его, и установка Ваши sshd_config, чтобы допускать логин открытого ключа
sudo nano /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
экономят и перезапускают Попытку ssh
sudo service ssh restart
SSHing Вашему хозяину человечности от Вашего частного включенного использующего компьютеры шифрования открытого ключа. Если все подходили, возвращаются к человечности, принимают и отключают идентификацию пароля.
sudo nano /etc/ssh/sshd_config
PasswordAuthentication no
Экономят и перезапускают Попытку ssh
sudo service ssh restart
sshing от частного включенного компьютера снова, чтобы подтвердить.
Хотите добавить больше? установка непривилегированный счет, поверните PermitRootLogin не, перезапустите ssh, добавьте свой открытый ключ к authorized_keys нового счета, логин как счет, которому не дают привилегию, su к Вашему корню или счету, которому дают привилегию, когда Вы должны будете внедрить или дать своему пути привилегию через вещи.
целью sudo не является связанный пароль, но вместо этого дать определенные пользовательские возможности корневого выхода при ограничении других по машине, не требуя, чтобы они представили корневой вход в систему (маркер/и т.д. пароля/ключа/безопасности). Например, на моей работе, повседневные рабочие могут только запустить/закрыть вниз/, устанавливают & обновите их станции (из репозитория компании, на который накладывают вето) через sudo. Им не дают другие корневые свободы, такие как целеустремленное удаление/, форматирование устройств, добавление и удаление пользователей, решение, какие модули ядра должны быть помещены в черный список или что выполнения в crontab (и т.д., и т.д., и т.д.). Принимая во внимание, что в Вашем доме, Ваш sudo предоставляет полный доступ к машине. В отношении пароля в действительности это - пароль Вашей учетной записи пользователя, которого требует sudo (тот же самый, который Вы использовали бы для входа в систему, если автовход в систему не включен.) И тот пароль имеет те же уязвимости как любой другой пароль там.
Плохая Подсказка : Если Вы хотите сделать корень, обычная учетная запись на sudo включила Unix (Linux/яблоко osx) работает, следующий
sudo -s
passwd
Enter your unix password:
В этом корне точки имеет регулярный пароль, и можно просто выйти из системы и войти в систему как корень с упомянутым паролем "старомодным способом".
В отношении безопасности, если одна программа (говорят что веб-сервер, mysql, php демон, sshd), выполнения как поднятая учетная запись.. скажите корень, и имеет известное использование там, тогда взломщикам, возможно, не понадобились бы никакие учетные данные безопасности для получения доступа. Они могут использовать уязвимость программы и просто породить новую оболочку из этой программы, работающей как корень. Однако это довольно редко, так как менеджеры по дистрибутиву знают как проблемы и делают выдающееся задание при создании хорошо мысль и обычно безопасная стандартная среда.
В другая операционная система подобная операция к sudo была бы щелчком правой кнопкой и работала бы как Системный администратор (или нытье полномочия контроля учётных записей).