Warum sollte ich die Root-SSH-Anmeldung wirklich deaktivieren?

10

Ich habe immer gelesen, dass ich die Root-Anmeldung für SSH deaktivieren und mich bei einem Benutzer mit sudo anmelden sollte. Aber wo ist der Unterschied zwischen:

ssh root@vps 

und

ssh myuser@vps
sudo -i 

Ich habe keinen physischen Zugriff auf meinen Server und benötige in irgendeiner Weise Root-Berechtigungen pro Remotezugriff. Ist der einzige Vorteil hier, dass der Benutzername unbekannt ist?


Sicherheitstipp: Deaktivieren Sie die Root-SSH-Anmeldung unter Linux

Eine der größten Sicherheitslücken, die Sie auf Ihrem Server öffnen können, besteht darin, sich direkt als Root über ssh anzumelden, da jeder Cracker versuchen kann, Ihr Root-Passwort brutal zu erzwingen und möglicherweise Zugriff auf Ihr System zu erhalten, wenn er Ihr Passwort herausfinden kann.

Es ist viel besser, ein separates Konto zu haben, das Sie regelmäßig verwenden, und bei Bedarf einfach sudo zu rooten.

Brettetete
quelle
3
Deaktivieren Sie einfach die Passwörter vollständig und verwenden Sie die Authentifizierung mit öffentlichem Schlüssel. Oder zumindest verwenden PermitRootLogin without-password. Werfen Sie auch einen Blick auf diese .
Daniel B
1
Weil es keinen guten Grund gibt, die Root-Anmeldung zuzulassen?
Braiam
Da "root" die Standard-Administratoranmeldung ist, ist dies ein einfaches Ziel für SSH-Scanner. Installieren Sie auch besser Fail2ban und melden Sie sich als normaler Benutzer an und führen Sie den Befehl "su" aus
user956584

Antworten:

3

Sie haben Ihre eigene Frage beantwortet. Durch Deaktivieren des Remotezugriffs auf root in * Nix oder des Administratorzugriffs in Windows wird es für jemanden sehr viel schwieriger, privilegierten Zugriff auf Ihren Computer zu erhalten. Wenn jemand Ihr nicht privilegiertes Kontokennwort stiehlt oder brutal erzwingt, hat er nur eingeschränkten Zugriff.

Keltari
quelle
: P Schnelle Möglichkeit, zusätzliche Punkte zu erhalten! Gut gespielt, dieser Junge. Gute Antwort aber :)
Kinnectus
5
"Wenn jemand Ihr nicht privilegiertes Kontokennwort stiehlt oder brutal erzwingt, hat er nur eingeschränkten Zugriff." - Falsch, wenn sie nur sudo -idas Passwort ausführen und erneut eingeben können!
user253751
@ user20574 falsch.
Keltari
1
@ user20574 Sie gehen davon aus, dass der Benutzer über Root-Rechte verfügt.
Keltari
5
@ Keltan Du hast die Frage richtig gelesen? Dies ist eine Situation, in der einige Benutzer Root-Berechtigungen verwenden müssen.
user253751
3

rootist ein gefährlicher Account, da er buchstäblich alles tun kann, was er will. Sie möchten es so weit wie möglich vor unbefugtem Zugriff schützen.

Wenn Sie Root-Anmeldungen über SSH nicht zulassen, benötigen Sie 2 Kennwörter, damit jemand anstelle von 1 root wird. Wenn jemand versucht, Ihre Kennwörter zu erraten oder zu knacken, verdoppelt dies die Arbeitslast.

@ Daniel B. in den Kommentaren ist richtig, die Verwendung von Schlüsseln ist besser als Passwörter, wenn sie durch Passphrasen geschützt sind.

Das oben Gesagte gilt weiterhin, wenn Sie nur passphrasengeschützte Schlüssel anstelle von Kennwörtern zulassen und die Anmeldung von root auch mit einem Schlüssel nicht zulassen. Selbst wenn Sie Schlüssel anstelle von Kennwörtern verwenden, bietet die Deaktivierung der direkten Root-Anmeldung über SSH einen Vorteil.

LawrenceC
quelle
Sie schreiben "Wenn Sie die SSH-Anmeldung mit passphrasengeschützten Schlüsseln anstelle von Passwörtern deaktivieren" <- Was bedeutet das? Wenn Sie A anstelle von B deaktivieren, meinen Sie, wenn Sie A (passphrasengeschützte Schlüssel) aktivieren und B (Passwörter) deaktivieren? Das hättest du klarer schreiben können.
Barlop
Einverstanden, ich habe bearbeitet. :)
LawrenceC
1
Zwei Passwörter, um root zu werden, sind mit su. Für sudo(wie im Beispiel der Frage und in den zitierten Hinweisen) ist dies dasselbe Passwort, daher gibt es nur eines (das Sie möglicherweise mehrmals eingeben müssen).
Dan Getz
1
@ DanGetz Kommt darauf an. Sie können auch das Passwort des Zielbenutzers (oder des Roots) mit anfordern sudo. // Ich bin auch nicht einverstanden, dass Passwörter für Schlüssel erforderlich sind. Schlüssel verhindern Brute-Force-Angriffe (Targeting sshd) in beide Richtungen.
Daniel B