02年世界杯韩国黑哨_曲棍球世界杯 - guanchafang.com

为什么通过SSH使用root权限是不好的

有很多机器人试图通过SSH登录您的计算机。

这些机器人的工作方式如下。

它们执行类似于ssh root@$IP的命令，然后尝试像"root"或"password123"这样的标准密码。

它们会一直尝试下去，直到找到正确的密码。

在一个全球可访问的服务器上，您的日志文件中可能会有很多这样的记录。每分钟可能达到20条或更多。

当攻击者有运气（或足够的时间）并找到密码时，他们将获得root访问权限，这将意味着您陷入麻烦。

但是，如果禁止root通过SSH登录，机器人首先需要猜测用户名，然后再猜测匹配的密码。

假设可行密码列表有N个条目，并且可行用户列表有M个条目。机器人需要测试的条目数为N*M，因此相对于root情况下仅有尺寸为N的集合，这对机器人来说会更加困难一些。

有些人会说，这个额外的M并没有真正提高安全性，我同意它只是一个小的安全增强。但我更认为它就像那些小挂锁一样，本身并不安全，但它们阻碍了很多人轻易进入。当然，这只在你的机器上没有其他标准用户名（如tor或apache）时才有效。

不允许使用root的更好理由是，root可以对机器造成比普通用户更大的破坏。所以，如果他们碰巧找到了你的密码，整个系统就会丢失，而使用普通用户帐户，你只能操纵该用户的文件（这仍然非常糟糕）。

在评论中提到，普通用户可能有权使用sudo，如果这个用户的密码被猜到，系统也完全丢失了。

总结起来，我想说无论攻击者得到哪个用户的密码都无关紧要。一旦他们猜到一个密码，你就不能再信任系统了。攻击者可以利用该用户的权限执行带有sudo的命令，攻击者还可以利用你系统中的漏洞获得root权限。一旦攻击者访问了你的系统，你就不能再信任它了。

在这里要记住的是，系统中每个被允许通过SSH登录的用户都是一个额外的弱点。

通过禁用root用户，您消除了一个明显的弱点。

为什么SSH密码不安全

禁用密码的原因非常简单。

- 用户选择了糟糕的密码！

尝试密码的整个想法只有在密码可猜测时才有效。

所以当用户的密码是"pw123"时，您的系统就变得不安全了。

人们选择的密码还有另一个问题，那就是他们的密码从来不是真正的随机密码，因为那样很难记住。

此外，用户倾向于重复使用他们的密码，用于登录Facebook或Gmail账户以及您的服务器。

因此，当黑客获取到该用户的Facebook账户密码时，他可能会进入您的服务器。用户很容易通过网络钓鱼或者Facebook服务器被黑客攻击而失去密码。

但是，当您使用证书进行登录时，用户不需要选择密码。

证书基于一个非常长的随机字符串，长度从1024位到4096位（相当于128至512个字符的密码）。

此外，该证书仅用于登录您的服务器，并不与任何外部服务一起使用。

监控root用户访问

来自@Philip Couling的评论，本应该是一个回答：

禁用root账户有一个管理上的原因。在商业服务器上，您总是希望通过个人来控制访问权限。root不是一个人。即使允许某些用户具有root访问权限，也应强制他们通过自己的用户登录，然后使用su -或sudo -i进行登录，以便记录他们实际的登录。这样可以更简单地撤销对个人的所有访问权限，即使他们有root密码，也不能做任何事情。- Philip Couling

我还要补充一点，通过适当的sudo配置（但编写比想象中容易），可以实施最小权限原则。这使得团队可以更好地分发任务，而不必放弃全部权限。

链接

http://bsdly.blogspot.de/2013/10/the-hail-mary-cloud-and-lessons-learned.html

这篇文章来自评论，我想给它更显著的位置，因为它更深入地探讨了通过SSH尝试登录的僵尸网络，它们是如何做到的，日志文件是什么样子，以及人们可以采取什么措施来阻止它们。这篇文章是由Peter Hansteen撰写的。