习惯使用证书登录root,从安全角度,ssh是否还有必要禁止root登陆?理由?
This topic created in 4035 days ago, the information mentioned may be changed or developed.
 |
1
Karblue Jun 8, 2015
root敢死队教你做人。
|
 |
2
naver1 Jun 8, 2015
没有必要吧。。。感觉能破解证书的人,就算你禁了root用户应该也没什么用。。。
|
 |
3
Pastsong Jun 8, 2015
大概是因为不推荐用root身份去执行大部分操作,总不会是ssh上去再换用户吧。
还有如果证书泄露,登陆上去要执行sudo还是有一层密码保护,要切换su会再多一次root密码的保护。 |
 |
4
xiaket Jun 8, 2015
有, 要养成没事不要切root的习惯
|
 |
5
xinyewdz Jun 8, 2015
不要随便root操作
|
 |
6
rhwood OP 谢谢ls的几位,先把最关键的数据服务器的root登录禁止掉。
用证书登录root,主要是为了手机上方便,当然也有图省事。 禁止root和密码登陆,这样等于需要两步验证对吧。 |
 |
7
anyforever Jun 8, 2015
|
 |
8
bellchu Jun 8, 2015
passwd -d root
Checklist 第一个 |
 |
9
zhy Jun 8, 2015
楼主这里禁止root,是指普通用户ssh登录,sh切换不到root吗?
|
 |
11
msg7086 Jun 8, 2015
|
 |
12
twl007 Jun 8, 2015
问题是如果你不自己设置sudoers文件 哪怕是普通用户登录的sudo一个命令提权有什么区别么 - - |||| 除非你之后自己详细设置了那些命令可以通过sudo执行哪些不可以 否则你那个所谓的普通用户其实就是拥有root的权限 改root密码都没问题 分分钟解掉限制 有什么意义么 - - |||||
|
 |
13
choury Jun 8, 2015
@twl007 难道sudo不需要当前用户的密码吗,证书登录的话还要破解掉这个用户的密码才能拿到权限,如果是root的话直接破解(或获取)到证书就拿到所有权限了
|
|
14
twl007 Jun 8, 2015
@choury 为何不试试denyhosts这类自动屏蔽暴力破解的脚本呢 其实这个ssh是最容易防范得了 这么说吧 只要不是ssh自己本身出什么大的漏洞 基本就靠密码没个几千次很难破解出来 依靠denyhosts这类基本三次错误就会被屏蔽了哪会给他尝试几千次 = = |||||
与其担心ssh的问题不如多担心一下自己应用的漏洞吧 相比ssh自己应用的漏洞可是问题大得多了 |
 |
15
way2exluren Jun 8, 2015
其实我觉得最重要的是改端口……
要不然每天被人尝试 |
 |
16
Halry Jun 8, 2015 via Android
用个rsa4096证书就不用怕了吧,反正我也没什么重要,rsa4096已经是最高级别的rsa证书了
|
|
17
rhwood OP 好吧,其实端口早就改了。
1. 现在是使用非默认端口listen ssh 2. 禁止密码登陆 3. 禁止root登陆 4. csf / denyhosts 会屏蔽暴力破解的ip |
|
21
twl007 Jun 8, 2015
|
 |
22
Daniel65536 Jun 8, 2015
@twl007 现在代理几块钱可以买成千上万个……这实际上还是个钱的问题。
|
|
23
twl007 Jun 8, 2015
@Daniel65536 无所谓啊 - - 真要是有人愿意费这么大力气的来试我的密码我可真的感觉很荣幸啊 况且就算真的有人费这么大的力气换了上万个代理最后把我的密码是试出来了 那么他能得到什么 成本完全不划算 这种攻击完全就是考虑到成本而得出来的攻击方式 如果最后的成本大于你实际的收益 那就没人愿意这么费劲去做了 况且真有几万个 直接DDOS我算了 何必这么费劲的去试探我的密码
|
 |
24
akira Jun 8, 2015
网络安全是无止境的。
不同的业务环节,对安全的需求不一样,最终其实就是个成本问题,你觉得够用了就好。 一般情况下,能防止扫描器直接扫就足够了。 |
 |
25
tinkerer Jun 8, 2015
我一直用 root 用户操作, 呵呵。
|
 |
26
bdnet Jun 8, 2015
root 可以禁止从远程登录吧 ,一般都是 sudo 嘛
|
Select Language