Verbessert das Deaktivieren der Root-Anmeldung die Sicherheit?

12

Ich habe kürzlich unter http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html ein Argument gegen die Deaktivierung einer Root-Benutzeranmeldung unter Linux gefunden

Ich gehe davon aus, dass es kein Risiko gibt, das root-Passwort zu verlieren, wenn jeder eine öffentliche Schlüsselauthentifizierung verwendet.

Ist es immer besser, das root-Login über ssh zu deaktivieren?

linux security ssh PJ.
quelle
1
Was Sie wirklich fragen müssen, ist: "Entspricht das Deaktivieren der Root-Anmeldung meinen Sicherheitsrichtlinien?" Die Politik eines jeden ist aus verschiedenen Gründen unterschiedlich.
Alex Holst

Antworten:

10

Die kurze Antwort lautet: Je kleiner Ihr Angriffsprofil ist, desto besser. Immer. Wenn Sie es nicht benötigen oder eine Alternative wie sudo oder su verwenden können, aktivieren Sie die Root-Anmeldung nicht.

Ein wichtiges Argument für die Deaktivierung von root und die Verwendung von sudo / su ist, dass Sie verfolgen können, wer was tut. Ein Benutzer - ein Login. Teilen Sie niemals Konten.

Das Argument bei diesem Link scheint eher für die lokale Anmeldung als für ssh zu gelten.

Bis auf weiteres angehalten.
quelle
3
Der Verfolgungspunkt ist moot:, sudo -iund Ihre Aktionen werden als root angezeigt, nicht Ihre
Fahad Sadah
2
Aber Sie haben die Aufzeichnung ihrer ursprünglichen Anmeldung. Möglicherweise haben Sie keine Beweise, aber Sie haben Beweise. Außerdem können Sie steuern, worauf der Benutzer Zugriff hat und was er tun kann.
Bis auf weiteres angehalten.
Was ist mit einem Benutzer pro Betriebssystemsituation? Es gibt nur eine Person, die das System verwaltet. Ich kann nachverfolgen, wer was bereits tut. Verwenden Sie sudo, damit die Bash-Zeichenfolge sehr komplex entkommt.
bronze man
8

Ich bin zweiter Dennis´ Punkt, plus:

Das Zulassen der Root-Anmeldung über SSH bedeutet auch, dass der Root durch Brute-Force-Passwortraten angegriffen werden kann.

Weil root immer da ist und die Belohnung so hoch ist, ist es ein vorrangiges Ziel. Der Benutzername müsste zuerst erraten werden, was die Schwierigkeit des Problems um einige Größenordnungen erhöht.

Posipiet
quelle
Da es sich, wie bei den meisten Administratorkonten, um root handelt, ist dies auch dann nicht der Fall, wenn Sie Ihr System so einstellen, dass es Konten nach (x) Fehlern sperrt. Sie müssen stattdessen etwas einrichten, um IPs nach Fehlern zu blockieren, aber selbst das hilft nicht gegen eine verteilte Brute Force.
Joe H.
1
Sie können das Root-Konto wie jedes andere auch umbenennen.
Fahad Sadah
@fahadsadah Einige Software setzt UID 0 == root voraus. Ich habe einmal versucht, root auf einem OpenWRT-Router umzubenennen, und sein Webinterface war kaputt.
Gerald Combs
3
Root via ssh bedeutet NICHT automatisch, dass das System anfällig für Brute Force ist. Betrachten Sie ein System mit dem PermitRootLogin without-passwordOptionssatz.
Zoredache
4

Deaktivieren Sie niemals das Root-Konto, wenn Sie keinen Konsolenzugriff haben. Wenn Ihr Dateisystem voll ist und der Start fehlschlägt, während / etc / nologin erstellt wird, kann sich nur das Root-Konto auf dem Computer anmelden.

Das heißt, wenn Sie Konsolenzugriff haben, um mit diesen Situationen umzugehen, erspart Ihnen das Schließen des Root-Kontos möglicherweise einige Kopfschmerzen, da niemand mit einem Wörterbuchangriff auf das Root-Konto zugreifen kann (meiner Erfahrung nach sind dies heutzutage konstant). jemand versucht es immer). Andere Dinge, an die Sie vielleicht denken:

  • Installieren Sie ein Programm wie fail2ban, das den Zugriff auf eine IP-Adresse automatisch schließt, wenn die Authentifizierung mehrmals fehlschlägt (um sich aktiv vor Wörterbuchangriffen zu schützen).
  • Verwenden Sie nur SSH-Schlüssel.
  • Wenn Sie viele Computer verwalten, können Sie mit cfengine oder anderen die öffentlichen Schlüssel verwalten, die Sie zum Betreten eines Computers autorisieren (andernfalls sind diese recht schnell veraltet).

Viele Grüße,
João Miguel Neves

jneves
quelle
1

Es ist immer besser, die Root-Anmeldung über SSH zu deaktivieren.

Es gibt PKI-Systeme (z. B. öffentliche Schlüssel mit SSH), die kompromittiert wurden. SSH hatte bereits zuvor Remote-Authentifizierungsfehler, die einen Root-Kompromiss ermöglichten. Software-PKIs sind notorisch schwächer als hardwarebasierte PKIs. Wenn Ihr Host-Computer kompromittiert ist, kann der Zielserver ebenfalls leicht ausfallen. Oder es könnten neue Fehler in SSH gefunden werden. Indem Sie die Root-Anmeldung einschränken, können Sie auch die Zeitspanne verlängern, die ein Angreifer benötigt, um eine Eskalation von Berechtigungen durchzuführen.

In der Vergangenheit verwendeten viele Administratoren Bastion-Hosts (im Grunde genommen Gateways), um in ein Netzwerk einzutreten, und sprangen anschließend zu Feldern. Die Verwendung einer hochsicheren Distribution (z. B. OpenBSD) als Bastion-Host in Verbindung mit verschiedenen Betriebssystemen bietet umfassende Verteidigung und Diversitätsverteidigung (eine Schwachstelle, die das gesamte Netzwerk weniger gefährdet).

Erwägen Sie auch eine Out-of-Band-Verbindung zu Ihrem Netzwerk, z. B. einen seriellen Konzentrator, einen seriellen Switch oder einen anderen. Auf diese Weise wird bei Bedarf die Backup-Verfügbarkeit Ihrer Verwaltungsschnittstelle bereitgestellt.

Da ich paranoid und sicher bin, würde ich eher ein IPSEC-VPN oder ein VPN vom Typ 1 verwenden und dann SSH darauf ausführen, ohne dass SSH im Internet verfügbar ist. Wenn Sie das VPN auf Ihre Netzwerkhardware setzen, kann dies bei der Implementierung erheblich vereinfacht werden.

Brennan
quelle
0

Wir sollten diese Frage von verschiedenen Punkten aus untersuchen.

Ubuntu deaktiviert standardmäßig das Root-Konto, was bedeutet, dass Sie sich nicht über SSH mit Root anmelden können. Es ermöglicht jedoch, dass jeder mit einer Ubuntu-CD booten und Root-Zugriff erhalten kann.

Ich glaube, der beste Kompromiss ist, das Root-Konto mit deaktiviertem SSH-Zugriff zu aktivieren. Wenn Sie Root-Zugriff mit SSH benötigen, melden Sie sich mit einem normalen Benutzer an und verwenden Sie sudo. Auf diese Weise wird der Zugriff auf die Box gesichert, ohne dass die Remote-Sicherheit beeinträchtigt wird.

Natalie Adams
quelle
2
Wenn jemand Ihren Computer mit einer CD bootet, ist es bereits zu spät. Das Beste, worauf Sie hoffen können, ist eine verschlüsselte Datenpartition.
Kamil Kisiel
1
Wenn Sie Zugang zum "Getränkehalter" haben, brauchen Sie kein ssh.
Bis auf weiteres angehalten.
@Kamil Kisiel das heißt nicht, dass du keine Straßensperren aufstellen kannst, um sie davon abzuhalten. Was ist der Ausdruck? Wenn sie Ihre Box berühren können, können sie sie besitzen. Aber wir müssen die Dinge ins rechte Licht rücken. @ Tennis Williamson können Sie Ihren Kommentar weiter erläutern?
Natalie Adams
Welche Straßensperren? Wenn Sie von Ihrer eigenen CD booten, benötigen Sie keine Passwörter. Sie haben gerade das Dateisystem gelesen.
Kamil Kisiel
0

Ich würde sagen, ja, die Anmeldung als root sollte aus Gründen der Überprüfbarkeit deaktiviert sein. Wenn Sie der einzige Systemadministrator auf diesem Computer sind, ist es trivial zu bestimmen, wer was mit wem gemacht hat. Wenn jedoch zehn Personen berechtigt sind, die Box zu verwalten, und sie alle das Root-Passwort kennen, haben wir ein Problem.

Unabhängig davon, ob root aktiviert ist oder nicht, sollte weder root noch einem anderen Benutzer gestattet sein, sich remote mit einem Kennwort anzumelden. fail2ban macht nichts gegen ein langsames Brute-Force-Botnet und funktioniert überhaupt nicht mit IPv6. (ssh-Protokoll Version 1 und ältere Implementierungen von Version 2 waren anfällig für Angriffe auf das Erraten von Passwörtern gegen interaktive Passwortabfragen innerhalb der ssh-Sitzung. Dies scheint jedoch bei einer ausreichend aktuellen ssh-Implementierung nicht mehr der Fall zu sein.)

Brad Ackerman
quelle