为什么通过SSH使用root权限是不好的
有很多机器人试图通过SSH登录您的计算机。
这些机器人的工作方式如下。
它们执行类似于ssh root@$IP的命令,然后尝试像"root"或"password123"这样的标准密码。
它们会一直尝试下去,直到找到正确的密码。
在一个全球可访问的服务器上,您的日志文件中可能会有很多这样的记录。每分钟可能达到20条或更多。
当攻击者有运气(或足够的时间)并找到密码时,他们将获得root访问权限,这将意味着您陷入麻烦。
但是,如果禁止root通过SSH登录,机器人首先需要猜测用户名,然后再猜测匹配的密码。
假设可行密码列表有N个条目,并且可行用户列表有M个条目。机器人需要测试的条目数为N*M,因此相对于root情况下仅有尺寸为N的集合,这对机器人来说会更加困难一些。
有些人会说,这个额外的M并没有真正提高安全性,我同意它只是一个小的安全增强。但我更认为它就像那些小挂锁一样,本身并不安全,但它们阻碍了很多人轻易进入。当然,这只在你的机器上没有其他标准用户名(如tor或apache)时才有效。
不允许使用root的更好理由是,root可以对机器造成比普通用户更大的破坏。所以,如果他们碰巧找到了你的密码,整个系统就会丢失,而使用普通用户帐户,你只能操纵该用户的文件(这仍然非常糟糕)。
在评论中提到,普通用户可能有权使用sudo,如果这个用户的密码被猜到,系统也完全丢失了。
总结起来,我想说无论攻击者得到哪个用户的密码都无关紧要。一旦他们猜到一个密码,你就不能再信任系统了。攻击者可以利用该用户的权限执行带有sudo的命令,攻击者还可以利用你系统中的漏洞获得root权限。一旦攻击者访问了你的系统,你就不能再信任它了。
在这里要记住的是,系统中每个被允许通过SSH登录的用户都是一个额外的弱点。
通过禁用root用户,您消除了一个明显的弱点。
为什么SSH密码不安全
禁用密码的原因非常简单。
- 用户选择了糟糕的密码!
尝试密码的整个想法只有在密码可猜测时才有效。
所以当用户的密码是"pw123"时,您的系统就变得不安全了。
人们选择的密码还有另一个问题,那就是他们的密码从来不是真正的随机密码,因为那样很难记住。
此外,用户倾向于重复使用他们的密码,用于登录Facebook或Gmail账户以及您的服务器。
因此,当黑客获取到该用户的Facebook账户密码时,他可能会进入您的服务器。用户很容易通过网络钓鱼或者Facebook服务器被黑客攻击而失去密码。
但是,当您使用证书进行登录时,用户不需要选择密码。
证书基于一个非常长的随机字符串,长度从1024位到4096位(相当于128至512个字符的密码)。
此外,该证书仅用于登录您的服务器,并不与任何外部服务一起使用。
监控root用户访问
来自@Philip Couling的评论,本应该是一个回答:
禁用root账户有一个管理上的原因。在商业服务器上,您总是希望通过个人来控制访问权限。root不是一个人。即使允许某些用户具有root访问权限,也应强制他们通过自己的用户登录,然后使用su -或sudo -i进行登录,以便记录他们实际的登录。这样可以更简单地撤销对个人的所有访问权限,即使他们有root密码,也不能做任何事情。- Philip Couling
我还要补充一点,通过适当的sudo配置(但编写比想象中容易),可以实施最小权限原则。这使得团队可以更好地分发任务,而不必放弃全部权限。
链接
http://bsdly.blogspot.de/2013/10/the-hail-mary-cloud-and-lessons-learned.html
这篇文章来自评论,我想给它更显著的位置,因为它更深入地探讨了通过SSH尝试登录的僵尸网络,它们是如何做到的,日志文件是什么样子,以及人们可以采取什么措施来阻止它们。这篇文章是由Peter Hansteen撰写的。
- 平板电脑多少g够用,平板要多少g平板电脑多少g够用,以及平板要多少g对应的知识点,小编就整理了4个相关介绍。如果能碰巧解决你现在面临的问题,希望对各位有所帮助! 平...
- 第一卫的背夹电池怎么样?一、第一卫的背夹电池怎么样?背夹电池的优点时可以随机器带着,随时充电。缺点: 1、就是太重了,加在iphone4 的后面就显示很厚,影响手感...
- 孙杨霸气回归:国内赛事14连胜与世锦赛四连冠的辉煌自2011年起,孙杨在国内400米自由泳赛事中保持不败,无论是全国冠军赛、全国锦标赛,还是全运会,或者在中国举办的FINA冠军系列赛,他都以...
- 大S分享美容经验:喝不完的红酒用来做面膜红酒美容养颜的功效,已经被科学证实。每天适量地饮用葡萄酒,已经成为爱美爱生活的女士们的一种习惯。 不过,你知道吗,红酒作为美容护...
- 清华大学艺术教育中心演出官网音乐家简介 吴纯,海归音乐神童、双博士、青年钢琴家。 吴纯1982年出生于武汉。4岁半开始学习钢琴,师从武汉音乐学院原钢琴系主任陈婉教授...
- 胡的繁体字是什么?繁体字和简体字一样。读音:【hú 】具体解释:中国古代称北边的或西域的民族:胡人。泛指外国或外族的:胡椒。乱,无道理:胡来。胡闹。...
- 关于补码移码各自和原码的联系、来历、功能及I EEE754标准中移码范围问题最近在学习计算机组成原理时,遇到一些问题,记录在此。 如果你对下面这段话有疑惑或者兴趣,我或许能说点什么你感兴趣的。 真值-128的补码...
- 巴伐利亚咖啡怎么做(巴伐利亚咖啡杯)巴伐利亚咖啡杯有各种材质。 洋葱形圆顶的外观为独特的尖形球根或洋葱形状,其直径大于下方之鼓座,高度通常亦大于宽度。 最初盛行于西...
- 巧克力冰淇淋的做法与步骤第1步.准备好所有材料 奶油大家就用原味的就可以了,这个是我之前准备做巧克力蛋糕的奶油,这两天没时间做,就直接拿来做巧克力冰淇淋了 ...
- 六根不净的出处、释义、典故、近反义词及例句用法 - 成语知识六根不净,六根:佛家语,指眼、耳、鼻、舌、身、意。比喻心绪不宁,处事偏私。出自:清·无垢道人《八仙全传》第16回:“后来数世,都因...