ルートログインを無効にするとセキュリティが強化されますか?

12

私は最近、http://archives.neohapsis.com/archives/openbsd/2005-03/2878.htmlでLinuxでrootユーザーのログインを無効にすることに対する議論を見つけました。

誰もが公開鍵認証を使用していれば、ルートパスワードを失うリスクはないと思います。

ssh経由でルートログインを無効にすることは常に良いですか?

linux  security  ssh 
PJ。
ソース
1
本当に尋ねる必要があるのは、「ルートログインを無効にすることはセキュリティポリシーに準拠していますか?」です。さまざまな理由で全員のポリシーは異なります。
アレックスホルスト

回答:

10

簡単な答えは、攻撃プロファイルが小さいほど良いということです。常に。必要ない場合、またはsudoやsuなどの代替を使用できる場合は、rootログインを有効にしないでください。

ルートを無効にしてsudo / suを使用することを支持する1つの大きな議論は、誰が何をしているのかを追跡できるということです。1人のユーザー-1回のログイン。アカウントを共有しないでください。

そのリンクの引数は、sshではなくローカルログインに固有のようです。

追って通知があるまで一時停止します。
ソース
3
追跡点は議論の余地がある:sudo -i、そしてあなたの行動は、rootのではなく、あなたとして表示
ファハドSadah
2
ただし、元のログインの記録があります。証拠はないかもしれませんが、証拠はあります。さらに、ユーザーがアクセスできることと実行できることを制御できます。
追って通知があるまで一時停止します。
OSごとに1人の状況はどうですか?システムを管理する人は1人だけで、誰が何をしているのかを追跡できます。使用すると、sudoの非常に複雑なbashの文字列エスケープを作る...例えば:unix.stackexchange.com/questions/551899/...
ブロンズ男
8

2番目のデニスのポイントに加えて:

SSHを介したルートログインを許可することは、ルートがブルートフォースパスワード推測によって攻撃されることも意味します。

ルートは常に存在し、報酬は非常に高いため、それは優先ターゲットです。ユーザー名を最初に推測する必要があるため、問題の難易度が数桁大きくなります。

ポジピエット
ソース
また、ほとんどの管理者アカウントと同様に、ルートであるため、(x)の失敗後にアカウントをロックするようにシステムを設定しても、そうではありません。代わりに、障害後にIPをブロックするために何かを設定する必要がありますが、それでも分散ブルートフォースに対しては役に立ちません。
ジョーH.
1
他のアカウントと同様に、ルートアカウントの名前を変更できます。
ファハドサダ
@fahadsadah一部のソフトウェアは、UID 0 == rootを想定しています。OpenWRTルーターでrootの名前を変更しようとしたことがありましたが、そのWebインターフェースが壊れました。
ジェラルドの櫛
3
ssh経由のルートは、システムがブルートフォースの影響を受けやすいことを自動的には意味しません。PermitRootLogin without-passwordオプションが設定されたシステムを検討してください。
ゾレダチェ
4

コンソールにアクセスできない場合は、rootアカウントを無効にしないでください。ファイルシステムがいっぱいになり、/ etc / nologinの作成中に起動に失敗した場合、ルートアカウントのみがマシンへのログインを許可されます。

ただし、これらの状況に対処するためのコンソールアクセスがある場合、ルートアカウントを閉じると、辞書攻撃を使用して誰もルートアカウントにアクセスできなくなるため、頭痛の種を減らすことができます(私の経験では、これらは常に一定です-誰かが常に試みています)。あなたがやろうと思うかもしれない他のこと:

  • failDbanなどのプログラムをインストールします。このプログラムは、(辞書攻撃から積極的に保護するために)認証に何度も失敗した場合、IPアドレスへのアクセスを自動的に閉じます。
  • sshキーのみを使用します。
  • 多数のマシンを管理する場合は、cfengineまたはその他を使用して、マシンへの入力を許可する公開キーを管理します(そうでない場合は、これらのキーをかなり早く取得します)。

よろしく、
ジョアン・ミゲル・ネベス

ニーブス
ソース
1

SSH経由でルートログインを無効にすることは常に良い方法です。

侵害されたPKIシステム(SSHを使用した公開鍵など)があります。SSHには、以前にルート認証の侵害を可能にするリモート認証の欠陥がすでにありました。ソフトウェアPKIは、ハードウェアベースのPKIよりも悪名が高いことで有名です。ホストコンピューターが侵害された場合、ターゲットサーバーも同様に簡単に落下する可能性があります。または、SSHに新しい欠陥が見つかる可能性があります。ルートログインを制限することにより、特権の昇格を実行するために攻撃者が必要とする期間を延長することもできます。

歴史的に、多くの管理者は要塞ホスト(基本的にゲートウェイ)を使用してネットワークに入り、その後ボックスにジャンプしていました。要塞ホストとして安全性の高いディストリビューション(OpenBSDなど)をさまざまなオペレーティングシステムと組み合わせて使用​​すると、多層防御と多層防御が可能になります(1つの脆弱性がネットワーク全体を危険にさらす可能性が低くなります)。

シリアルコンセントレータ、シリアルスイッチなど、ネットワークへの帯域外接続も検討してください。これにより、必要に応じて管理インターフェイスのバックアップが可能になります。

私は妄想的でセキュリティが万全であるため、IPSEC VPNまたはType1 VPNを使用し、その上でSSHを実行する可能性が高くなります。ネットワークハードウェアにVPNを配置すると、実装を大幅に簡素化できます。

ブレナン
ソース
0

この質問をさまざまな点から検討する必要があります。

Ubuntuはデフォルトでrootアカウントを無効にします。つまり、rootでSSH経由でログインすることはできません。しかし、Ubuntu CDを持っている人なら誰でもブートしてルートアクセスを取得できます。

最善の妥協点は、SSHアクセスを無効にしてルートアカウントを有効にすることです。SSHを使用したルートアクセスが必要な場合は、通常のユーザーでログインし、sudoを使用します。このように、リモートセキュリティを損なうことなく、ボックスへのアクセスを保護します。

ナタリー・アダムス
ソース
2
誰かがあなたのマシンをCDでブートする頃にはもう手遅れです。望みうる最善の方法は、暗号化されたデータパーティションです。
カミルKisiel
1
「カップホルダー」にアクセスできる場合、sshは必要ありません。
追って通知があるまで一時停止します。
@Kamil Kisielは、それらを阻止するためにロードブロックを配置できないという意味ではありません。フレーズは何ですか?彼らがあなたの箱に触れることができるなら、彼らはそれを所有することができます。しかし、物事を視野に入れる必要があります。@デニス・ウィリアムソンはあなたのコメントをさらに説明できますか?
ナタリーアダムス
どのような障害ですか?自分のCDから起動する場合、パスワードは必要ありません。ファイルシステムを読むだけです。
カミルキジエル
0

はい、監査可能性のためにルートとしてログインを無効にする必要があります。あなたがこのマシンの唯一のシステム管理者である場合、誰が誰に何をしたのかを判断するのは簡単ですが、10人がボックスの管理を許可されていて、全員がルートパスワードを知っている場合、問題があります。

ルートが有効になっているかどうかにかかわらず、ルートも他のユーザーもパスワードを使用してリモートでログインすることは許可されません。fail2banは遅いブルートフォースボットネットに対しては何もしませんし、IPv6では全く動作しません。(sshプロトコルバージョン1およびバージョン2の以前の実装は、sshセッション内の対話型パスワードプロンプトに対するパスワード推測攻撃に対して脆弱でしたが、これは十分最近のssh実装ではもはや当てはまらないようです。)

ブラッド・アッカーマン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.