V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rhwood
V2EX  ›  信息安全

ssh 已经禁止密码登陆,是否还有必要禁止 root 登陆?

  •  
  •   rhwood · 2015-06-08 09:03:45 +08:00 · 4968 次点击
    这是一个创建于 3456 天前的主题,其中的信息可能已经有所发展或是发生改变。
    习惯使用证书登录root,从安全角度,ssh是否还有必要禁止root登陆?理由?
    26 条回复    2015-06-08 19:45:25 +08:00
    Karblue
        1
    Karblue  
       2015-06-08 09:22:57 +08:00
    root敢死队教你做人。
    DT27
        2
    DT27  
       2015-06-08 09:26:22 +08:00
    没有必要吧。。。感觉能破解证书的人,就算你禁了root用户应该也没什么用。。。
    Pastsong
        3
    Pastsong  
       2015-06-08 09:32:23 +08:00
    大概是因为不推荐用root身份去执行大部分操作,总不会是ssh上去再换用户吧。
    还有如果证书泄露,登陆上去要执行sudo还是有一层密码保护,要切换su会再多一次root密码的保护。
    xiaket
        4
    xiaket  
       2015-06-08 09:33:33 +08:00
    有, 要养成没事不要切root的习惯
    xinyewdz
        5
    xinyewdz  
       2015-06-08 09:44:20 +08:00
    不要随便root操作
    rhwood
        6
    rhwood  
    OP
       2015-06-08 09:51:53 +08:00
    谢谢ls的几位,先把最关键的数据服务器的root登录禁止掉。
    用证书登录root,主要是为了手机上方便,当然也有图省事。
    禁止root和密码登陆,这样等于需要两步验证对吧。
    anyforever
        7
    anyforever  
       2015-06-08 09:57:31 +08:00
    @xiaket +1
    禁了root,用普通账户登陆,需要高级权限,sudo
    你可以观察一下日志,我机器上每天N多尝试root密码的。
    bellchu
        8
    bellchu  
       2015-06-08 10:12:10 +08:00
    passwd -d root

    Checklist 第一个
    zhy
        9
    zhy  
       2015-06-08 10:23:39 +08:00
    楼主这里禁止root,是指普通用户ssh登录,sh切换不到root吗?
    zhy
        10
    zhy  
       2015-06-08 10:23:57 +08:00
    @zhy 错了,su
    msg7086
        11
    msg7086  
       2015-06-08 10:36:54 +08:00
    @zhy 是禁止root上ssh。

    @rhwood 禁用root登录,更多的是考虑多一层保护。
    普通用户的用户名和密码都是未知的,攻击者需要同时获得两个咨询才行。
    而root的用户名是已知的,这样就减少了猜测难度。
    虽然现在是安全的,但是若出现了任意证书登录漏洞(仮),用普通用户更安全些。

    另外用sudo不用root也是个好习惯。
    twl007
        12
    twl007  
       2015-06-08 10:38:39 +08:00
    问题是如果你不自己设置sudoers文件 哪怕是普通用户登录的sudo一个命令提权有什么区别么 - - |||| 除非你之后自己详细设置了那些命令可以通过sudo执行哪些不可以 否则你那个所谓的普通用户其实就是拥有root的权限 改root密码都没问题 分分钟解掉限制 有什么意义么 - - |||||
    choury
        13
    choury  
       2015-06-08 11:43:09 +08:00
    @twl007 难道sudo不需要当前用户的密码吗,证书登录的话还要破解掉这个用户的密码才能拿到权限,如果是root的话直接破解(或获取)到证书就拿到所有权限了
    twl007
        14
    twl007  
       2015-06-08 12:38:34 +08:00
    @choury 为何不试试denyhosts这类自动屏蔽暴力破解的脚本呢 其实这个ssh是最容易防范得了 这么说吧 只要不是ssh自己本身出什么大的漏洞 基本就靠密码没个几千次很难破解出来 依靠denyhosts这类基本三次错误就会被屏蔽了哪会给他尝试几千次 = = |||||

    与其担心ssh的问题不如多担心一下自己应用的漏洞吧 相比ssh自己应用的漏洞可是问题大得多了
    way2exluren
        15
    way2exluren  
       2015-06-08 12:55:12 +08:00
    其实我觉得最重要的是改端口……
    要不然每天被人尝试
    Halry
        16
    Halry  
       2015-06-08 13:02:31 +08:00 via Android
    用个rsa4096证书就不用怕了吧,反正我也没什么重要,rsa4096已经是最高级别的rsa证书了
    rhwood
        17
    rhwood  
    OP
       2015-06-08 13:04:39 +08:00
    好吧,其实端口早就改了。
    1. 现在是使用非默认端口listen ssh
    2. 禁止密码登陆
    3. 禁止root登陆
    4. csf / denyhosts 会屏蔽暴力破解的ip
    rhwood
        18
    rhwood  
    OP
       2015-06-08 13:06:14 +08:00
    @twl007 非常同意应用漏洞更烦人
    choury
        19
    choury  
       2015-06-08 13:07:44 +08:00 via Android
    @twl007 你的意思是有了denyhosts,其他防范措施就不用做了?因为应用问题多ssh安全就不管了?
    clino
        20
    clino  
       2015-06-08 13:10:08 +08:00 via Android
    @twl007 denyhosts 新的 ubuntu 下已经木有了,不知道有木有类似的简单易用的东东
    twl007
        21
    twl007  
       2015-06-08 13:45:30 +08:00
    @choury 我都可以告诉你我的Linux服务器地址 欢迎暴力破解 - - 你可以试试看在denyhosts的情况下你要如何能暴力出我的密码来………… 错三次被封一个月 除非你真的三次内能才出我的密码 那就我就无话可说了 我denyhosts都屏蔽了600多个IP了


    @clino 试试Fail2ban? 我看很多人都在用这个 正经denyhosts得很少 - - 不过因为很早就在用了现在也懒得换了 有个工作的就可以了
    Daniel65536
        22
    Daniel65536  
       2015-06-08 13:50:35 +08:00
    @twl007 现在代理几块钱可以买成千上万个……这实际上还是个钱的问题。
    twl007
        23
    twl007  
       2015-06-08 13:54:30 +08:00
    @Daniel65536 无所谓啊 - - 真要是有人愿意费这么大力气的来试我的密码我可真的感觉很荣幸啊 况且就算真的有人费这么大的力气换了上万个代理最后把我的密码是试出来了 那么他能得到什么 成本完全不划算 这种攻击完全就是考虑到成本而得出来的攻击方式 如果最后的成本大于你实际的收益 那就没人愿意这么费劲去做了 况且真有几万个 直接DDOS我算了 何必这么费劲的去试探我的密码
    akira
        24
    akira  
       2015-06-08 14:25:51 +08:00
    网络安全是无止境的。
    不同的业务环节,对安全的需求不一样,最终其实就是个成本问题,你觉得够用了就好。
    一般情况下,能防止扫描器直接扫就足够了。
    tinkerer
        25
    tinkerer  
       2015-06-08 14:28:26 +08:00
    我一直用 root 用户操作, 呵呵。
    bdnet
        26
    bdnet  
       2015-06-08 19:45:25 +08:00
    root 可以禁止从远程登录吧 ,一般都是 sudo 嘛
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1478 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 17:23 · PVG 01:23 · LAX 09:23 · JFK 12:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.