Если мой пароль root довольно силен, я должен действительно отключить корневой доступ?
Таким образом, если я редактирую мой /etc/ssh/sshd_config файл, существует вещь PermitRootLogin где можно выключить корневые логины.
Однако это также означает, что я не могу использовать услуги по загрузке файла как Filezilla из-за ошибок полномочий, так как я не могу назвать "sudo" от Filezilla из одной из моих некорневых учетных записей.
Так, одна альтернатива должна оставить корневые логины на.
Если мой пароль будет очень длинным (32 + символы) и очень высоко-энтропийным (нижний регистр, верхний регистр, специальные символы, числа, и т.д.), то разве это не будет мешать атакам перебором полностью? Там какой-либо риск к отъезду корневых логинов на иначе?
3 ответа
Вы уже знаете об основной причине, почему корневые логины должны быть отключены sshd_config. Атаки перебором, по определению, могут быть неустанными и, учитывая достаточное количество времени, любой пароль может быть взломан. Это верно, так как взломщики уже знают, что 50% информации должны были получить доступ к Вашей машине: допустимое привилегированное имя пользователя.
Тем не менее очень долго высоко-энтропийные пароли, конечно, снижают риск того, чтобы на самом деле быть проникшимся.
Ответ на Ваш вопрос: Нет, очень сильный пароль не будет полностью мешать атакам перебором. Они только помогут снизить риск.
На практике при управлении высоким значением (хакерам) компьютер, было бы очень неблагоразумно предоставить корневой доступ ssh (или корневые логины обычно). Но если бы это имело место, то политики существовали бы для предотвращения этого сделанного.
Если Вы довольны риском, пойдите для него. Худшее, которое могло произойти, - то, что кто-то устанавливает руткит и представляет Ваш бесполезный компьютер.
Это - вероятно, больше мнение, чем что-либо еще. Я предлагаю, чтобы Вы использовали ключи так корневой вход в систему "без - pasword" и настроили iptables для блокирования пользователей после определенного числа неудачных попыток. С передачей файлов можно хотеть увеличить попытки.
Добавляйте/редактируйте к/etc/ssh/sshd_config
PermitRootLogin without-password
Что делает 'без пароля', означают в sshd_config файле?
Удостоверьтесь, что можно войти в систему с ключом сначала
http://bodhizazen.com/Tutorials/SSH_keys/
Затем отключите аутентификацию по паролю.
iptables
iptables -A INPUT -p tcp -m tcp --dport 22 -m tcp -m state --state NEW -m recent --set --name SSH --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 600 --hitcount 20 --rttl --name SSH --rsource -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
Можно увеличить или уменьшить количество хита если Вы, так требуйте
См. http://bodhizazen.com/Tutorials/iptables
С теми изменениями, ключами и/или несколькими правилами iptables, я думаю, что разумно позволить корню регистрироваться на пути ssh.
Я рекомендовал бы Вам даже не использовать пароль, переключиться на ключи SSH!
шаг 2. из этого учебного руководства Вход в систему Пароля Замены С Авторизованными ключами довольно хорош, по-моему. Это работает просто великолепно с в значительной степени всеми версиями Ubuntu.