최근에 Linux에서 http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html 에서 루트 사용자 로그인을 비활성화하는 것에 대한 주장을 발견했습니다.
모든 사람이 공개 키 인증을 사용하는 경우 루트 암호를 잃을 위험이 없다고 가정합니다.
ssh를 통해 루트 로그인을 비활성화하는 것이 항상 낫습니까?
답변
짧은 대답은 공격 프로파일이 작을수록 좋습니다. 항상. 필요하지 않거나 sudo 또는 su와 같은 대안을 사용할 수 있으면 루트 로그인을 활성화하지 마십시오.
루트를 비활성화하고 sudo / su를 사용하는 데 유리한 한 가지 주장은 누가 무엇을하고 있는지 추적 할 수 있다는 것입니다. 한 명의 사용자-한 명의 로그인. 계정을 공유하지 마십시오.
해당 링크의 인수는 ssh가 아닌 로컬 로그인에만 해당되는 것으로 보입니다.
답변
나는 두 번째 Dennis 포인트, 플러스 :
SSH를 통한 루트 로그인을 허용하면 무차별 암호 추측으로 루트를 공격 할 수 있습니다.
루트가 항상 있고 보상이 너무 높기 때문에 우선 순위 대상입니다. 사용자 이름을 먼저 추측해야하므로 문제의 난이도에 약간의 차수가 추가됩니다.
답변
콘솔 액세스 권한이없는 경우 루트 계정을 비활성화하지 마십시오. / etc / nologin이 작성되는 동안 파일 시스템이 가득 차고 부팅이 실패하면 루트 계정 만 시스템에 로그인 할 수 있습니다.
즉, 이러한 상황을 처리 할 수있는 콘솔 액세스 권한이있는 경우 아무도 사전 공격을 사용하여 루트 계정에 액세스 할 수 없으므로 루트 계정을 닫으면 두통을 줄일 수 있습니다 (제 경험에 따르면 요즘은 일정합니다- 누군가는 항상 노력하고 있습니다). 당신이 생각할 다른 것들 :
- 여러 번 인증에 실패한 경우 (사전 공격으로부터 능동적으로 보호하기 위해) IP 주소에 대한 액세스를 자동으로 닫는 fail2ban과 같은 프로그램을 설치하십시오.
- ssh 키만 사용하십시오.
- 많은 머신을 관리하는 경우 cfengine 또는 기타를 사용하여 머신에 액세스 할 수있는 권한이 부여 된 공개 키를 관리하십시오.
안부,
주앙 미구엘 네 베스
답변
SSH를 통해 루트 로그인을 비활성화하는 것이 좋습니다.
손상된 PKI 시스템 (예 : SSH가있는 공개 키)이 있습니다. SSH에는 이미 원격 인증 결함이 있었기 때문에 루트 손상이 발생할 수있었습니다. 소프트웨어 PKI는 하드웨어 기반 PKI보다 약합니다. 호스트 컴퓨터가 손상되면 대상 서버도 쉽게 넘어 질 수 있습니다. 또는 SSH에 새로운 결함이있을 수 있습니다. 루트 로그인을 제한함으로써 권한 에스컬레이션을 수행하기 위해 공격자가 필요한 시간을 연장 할 수도 있습니다.
역사적으로 많은 관리자들이 네트워크에 들어가기 위해 배스 천 호스트 (기본적으로 게이트웨이)를 사용했다가 나중에 상자로 이동했습니다. 다양한 운영 체제와 함께 높은 보안 배포판 (예 : OpenBSD)을 요새 호스트로 사용하면 심층 방어 및 다양성 방어 (전체 네트워크를 손상시킬 가능성이 적은 하나의 취약점)가 제공됩니다.
직렬 집중 장치, 직렬 스위치 또는 기타와 같이 네트워크에 대역 외 연결을 고려하십시오. 필요한 경우 관리 인터페이스의 백업 가용성을 제공합니다.
나는 편집증과 보안 상태이므로 IPSEC VPN 또는 Type1 VPN을 사용하고 SSH를 인터넷에 노출시키지 않고 그 위에 SSH를 실행할 가능성이 높습니다. 네트워크 하드웨어에 VPN을 설치하면 구현 과정에서이를 단순화 할 수 있습니다.
답변
우리는이 질문을 다른 시점에서 조사해야합니다.
우분투는 기본적으로 루트 계정을 비활성화합니다. 이는 루트로 SSH를 통해 로그인 할 수 없음을 의미합니다. 그러나 우분투 CD를 가진 사람이라면 누구나 부팅하고 루트 액세스 권한을 얻을 수 있습니다.
가장 좋은 타협은 SSH 액세스가 비활성화 된 루트 계정을 활성화하는 것입니다. SSH를 사용하여 루트 액세스가 필요한 경우 일반 사용자로 로그인하고 sudo를 사용하십시오. 이렇게하면 원격 보안을 손상시키지 않으면 서 박스에 대한 액세스를 보호 할 수 있습니다.
답변
예, 루트 권한으로 로그인이 감사 기능을 위해 비활성화되어야한다고 말하고 싶습니다. 이 컴퓨터의 유일한 시스템 관리자 인 경우 누가 누구에게 무엇을했는지 결정하는 것은 쉽지 않지만 10 명이 상자를 관리 할 권한이 있고 모두 루트 암호를 알고 있으면 문제가 있습니다.
root의 사용 가능 여부에 상관없이 root 또는 다른 사용자는 암호를 사용하여 원격으로 로그인 할 수 없습니다. fail2ban은 느린 무차별 봇넷에 대해 아무런 작업도 수행하지 않으며 IPv6에서는 전혀 작동하지 않습니다. (ssh 프로토콜 버전 1 및 이전 버전의 2 버전은 ssh 세션 내에서 대화식 암호 프롬프트에 대한 암호 추측 공격에 취약했지만 더 이상 최근 ssh 구현에서는 그렇지 않은 것으로 보입니다.)