Если мой корневой пароль довольно сильный, действительно ли мне нужно отключить доступ root?
Вы можете использовать Assogiate. См. Также Изменение значков типа файла с помощью Assogiate.
6 ответов
Вы уже знаете основную причину, по которой root logins должны быть отключены с помощью sshd_config. Атаки грубой силы по определению могут быть неумолимыми и даваться достаточно времени, любой пароль может быть взломан. Это верно, так как злоумышленники уже знают 50% информации, необходимой для доступа к вашему компьютеру: действительное привилегированное имя пользователя.
Тем не менее, очень длинные пароли с высокой энтропией, безусловно, уменьшают риски на самом деле ,
Ответ на ваш вопрос: Нет, очень сильный пароль не будет полностью препятствовать нападениям грубой силы. Они будут только способствовать снижению риска.
. С практической точки зрения, если вы управляете компьютером с высокими значениями (для хакеров), было бы очень неразумно разрешать доступ к корневому файлу ssh (или корневым входам вообще). Но если бы это было так, были бы приняты меры по предотвращению этого.
Если вам комфортно с риском, пойдите для него. Хуже всего то, что кто-то устанавливает руткит и делает ваш компьютер бесполезным.
-
1Brute force attacks, by definition, can be relentless and given enough time, any password can be cracked: Даже 32-дюймовые высокоэнтропийные пароли, реалистично? – user712268 14 July 2017 в 03:01
-
2Дайте NSA причину захватить ваш компьютер, и я могу гарантировать, что они будут взламывать все пароли, которые у вас есть. Абсолютно нет такой вещи, как пароль, который не может быть взломан. – jones0610 14 July 2017 в 03:04
-
3Как люди переносят файлы (например, файлы сайта), если у них отключен root? – user712268 14 July 2017 в 03:06
-
4Это не вопрос, который вы задали. Если у вас есть другой вопрос, пожалуйста, откройте новый вопрос. – jones0610 14 July 2017 в 03:08
-
5Я передаю файлы через scp и разрешаю вход root только с ключами – Panther 14 July 2017 в 03:09
Вы уже знаете основную причину, по которой root logins должны быть отключены с помощью sshd_config. Атаки грубой силы по определению могут быть неумолимыми и даваться достаточно времени, любой пароль может быть взломан. Это верно, так как злоумышленники уже знают 50% информации, необходимой для доступа к вашему компьютеру: действительное привилегированное имя пользователя.
Тем не менее, очень длинные пароли с высокой энтропией, безусловно, уменьшают риски на самом деле ,
Ответ на ваш вопрос: Нет, очень сильный пароль не будет полностью препятствовать нападениям грубой силы. Они будут только способствовать снижению риска.
. С практической точки зрения, если вы управляете компьютером с высокими значениями (для хакеров), было бы очень неразумно разрешать доступ к корневому файлу ssh (или корневым входам вообще). Но если бы это было так, были бы приняты меры по предотвращению этого.
Если вам комфортно с риском, пойдите для него. Хуже всего то, что кто-то устанавливает руткит и делает ваш компьютер бесполезным.
Вы уже знаете основную причину, по которой root logins должны быть отключены с помощью sshd_config. Атаки грубой силы по определению могут быть неумолимыми и даваться достаточно времени, любой пароль может быть взломан. Это верно, так как злоумышленники уже знают 50% информации, необходимой для доступа к вашему компьютеру: действительное привилегированное имя пользователя.
Тем не менее, очень длинные пароли с высокой энтропией, безусловно, уменьшают риски на самом деле ,
Ответ на ваш вопрос: Нет, очень сильный пароль не будет полностью препятствовать нападениям грубой силы. Они будут только способствовать снижению риска.
. С практической точки зрения, если вы управляете компьютером с высокими значениями (для хакеров), было бы очень неразумно разрешать доступ к корневому файлу ssh (или корневым входам вообще). Но если бы это было так, были бы приняты меры по предотвращению этого.
Если вам комфортно с риском, пойдите для него. Хуже всего то, что кто-то устанавливает руткит и делает ваш компьютер бесполезным.
Это, вероятно, больше мнение, чем что-либо еще. Я предлагаю вам использовать ключи, поэтому root login «without-pasword» и настроить iptables для блокировки пользователей после определенного количества неудачных попыток.
Добавить / редактировать в / etc / ssh / sshd_config
PermitRootLogin without-password
Что означает «без пароля» в файле sshd_config? [ ! d2]
Убедитесь, что вы можете войти в систему с помощью ключа сначала
Что означает «без пароля» в файле sshd_config?
Затем отключить аутентификация пароля
iptables
iptables -A INPUT -p tcp -m tcp --dport 22 -m tcp -m state --state NEW -m recent --set --name SSH --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 600 --hitcount 20 --rttl --name SSH --rsource -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
Вы можете увеличить или уменьшить количество попаданий, если вы этого желаете
См. http://bodhizazen.com/Tutorials / iptables
С этими изменениями, ключами и / или несколькими правилами iptables, я думаю, что разумно разрешить root входить через ssh.
-
1Таким образом, without-password не означает, что вы можете войти в систему без пароля " но скорее «пароль не будет работать для входа в систему, вы должны использовать ключ»? – user712268 14 July 2017 в 03:13
-
2без пароля пароль для входа через ssh. Вы можете войти в систему с помощью других инструментов, таких как ключи или кеберосы – Panther 14 July 2017 в 03:14
Это, вероятно, больше мнение, чем что-либо еще. Я предлагаю вам использовать ключи, поэтому root login «without-pasword» и настроить iptables для блокировки пользователей после определенного количества неудачных попыток.
Добавить / редактировать в / etc / ssh / sshd_config
PermitRootLogin without-password
Что означает «без пароля» в файле sshd_config? [ ! d2]
Убедитесь, что вы можете войти в систему с помощью ключа сначала
Что означает «без пароля» в файле sshd_config?
Затем отключить аутентификация пароля
iptables
iptables -A INPUT -p tcp -m tcp --dport 22 -m tcp -m state --state NEW -m recent --set --name SSH --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 600 --hitcount 20 --rttl --name SSH --rsource -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
Вы можете увеличить или уменьшить количество попаданий, если вы этого желаете
См. http://bodhizazen.com/Tutorials / iptables
С этими изменениями, ключами и / или несколькими правилами iptables, я думаю, что разумно разрешить root входить через ssh.
Это, вероятно, больше мнение, чем что-либо еще. Я предлагаю вам использовать ключи, поэтому root login «without-pasword» и настроить iptables для блокировки пользователей после определенного количества неудачных попыток.
Добавить / редактировать в / etc / ssh / sshd_config
PermitRootLogin without-password
Что означает «без пароля» в файле sshd_config? [ ! d2]
Убедитесь, что вы можете войти в систему с помощью ключа сначала
Что означает «без пароля» в файле sshd_config?
Затем отключить аутентификация пароля
iptables
iptables -A INPUT -p tcp -m tcp --dport 22 -m tcp -m state --state NEW -m recent --set --name SSH --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 600 --hitcount 20 --rttl --name SSH --rsource -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
Вы можете увеличить или уменьшить количество попаданий, если вы этого желаете
См. http://bodhizazen.com/Tutorials / iptables
С этими изменениями, ключами и / или несколькими правилами iptables, я думаю, что разумно разрешить root входить через ssh.
-
1Таким образом, without-password не означает, что вы можете войти в систему без пароля & quot; но скорее «пароль не будет работать для входа в систему, вы должны использовать ключ»? – user712268 14 July 2017 в 03:13
-
2без пароля пароль для входа через ssh. Вы можете войти в систему с помощью других инструментов, таких как ключи или кеберосы – Panther 14 July 2017 в 03:14