PermitRootLogin

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

PermitRootLogin

Непрочитанное сообщение icb » 2010-10-14 10:24:13

Задался вопросом о безопасности установки PermitRootLogin yes
Везде пишут, что входить под рутом плохо и т.д. и т.п., но
1. подобрать 16 символьный пароль довольно сложно
2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее

Так есть ли реальная опасность оставлять для рута вход?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: PermitRootLogin

Непрочитанное сообщение vadim64 » 2010-10-14 10:42:13

да
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: PermitRootLogin

Непрочитанное сообщение hizel » 2010-10-14 11:07:56

я разленился и использую на части серверов

Код: Выделить всё

PermitRootLogin without-password
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: PermitRootLogin

Непрочитанное сообщение icb » 2010-10-14 11:37:28

да
в чем опасность?

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: PermitRootLogin

Непрочитанное сообщение vadim64 » 2010-10-14 11:48:28

icb писал(а):Задался вопросом о безопасности установки PermitRootLogin yes
Везде пишут, что входить под рутом плохо и т.д. и т.п., но
1. подобрать 16 символьный пароль довольно сложно
2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее

Так есть ли реальная опасность оставлять для рута вход?
1. люди ещё в прошлом тысячелетии научились подбирать зашифрованные 128 битным шифрованием 16 символьные пароли, проснитесь
2. а это вообще не важно

вы возьмите любую статейку или книжку а-ля "Библия хакеров" или "Как взломать пентагон," почитайте, подумайте. Никто вам не сможет объяснить какая угроза есть из интернета. Вы должны это сами понимать.
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35284
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: PermitRootLogin

Непрочитанное сообщение Alex Keda » 2010-10-14 22:24:42

та нету угрозы как таковой.
но облегчать жизнь злоумышленникам - не надо.
а сабж - это именно облегчение им жизни.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Raven2000
-=_UNIX_=-
Сообщения: 4425
Зарегистрирован: 2006-10-29 17:59:13
Откуда: Там, где нас нет.
Контактная информация:

Re: PermitRootLogin

Непрочитанное сообщение Raven2000 » 2010-10-14 22:31:30

Делай как я запрет входа рутом у рута пароль невменяемы из 5-8 буквоцифр который не запомнишь и как следствие работаешь с sudo от нужного юзверя.
Но при параное ты можешь изменить порт ssh, поставить блокировку при неудавшихся попытках входа, ограничить доступ только с разрешенных IP, использовать ключи. А так же бесплатно выиграть поездку в Кащенко =D
Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

Аватара пользователя
Raven2000
-=_UNIX_=-
Сообщения: 4425
Зарегистрирован: 2006-10-29 17:59:13
Откуда: Там, где нас нет.
Контактная информация:

Re: PermitRootLogin

Непрочитанное сообщение Raven2000 » 2010-10-14 22:34:13

Да кстати, тебя ничто не защитит если твой сервер будет у чела к примеру в физическом доступе или IP-KVM ;)
Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

ev
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: PermitRootLogin

Непрочитанное сообщение ev » 2010-10-14 22:39:57

2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее
еще бы при каждом логине ставить задержку на 5 секунд
вот только не припомню - есть такая опция у стандартного sshd?
1. люди ещё в прошлом тысячелетии научились подбирать зашифрованные 128 битным шифрованием 16 символьные пароли, проснитесь
не стоит смешивать все в одну кучу
1. научились подбирать за какое время?
2. сколько при этом было затрачено итераций? (1 итерация = 1 логин, т.о. можно прикинуть сколько раз надо залогиниться)
3. какой при этом будет сгенерирован траф? если за приемлемое время - то это уже дос получится :)

Гость
проходил мимо

Re: PermitRootLogin

Непрочитанное сообщение Гость » 2010-10-14 22:58:16

vadim64 писал(а):
icb писал(а):Задался вопросом о безопасности установки PermitRootLogin yes
Везде пишут, что входить под рутом плохо и т.д. и т.п., но
1. подобрать 16 символьный пароль довольно сложно
2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее

Так есть ли реальная опасность оставлять для рута вход?
1. люди ещё в прошлом тысячелетии научились подбирать зашифрованные 128 битным шифрованием 16 символьные пароли, проснитесь
2. а это вообще не важно

вы возьмите любую статейку или книжку а-ля "Библия хакеров" или "Как взломать пентагон," почитайте, подумайте. Никто вам не сможет объяснить какая угроза есть из интернета. Вы должны это сами понимать.
у Вас в голове бардак, это возможно если иметь копию шифрованой базы локально доступной для чтения, а это невозможно без прав доступа которые нужно получить путем подбора.

Гость
проходил мимо

Re: PermitRootLogin

Непрочитанное сообщение Гость » 2010-10-14 23:02:31

icb писал(а):Задался вопросом о безопасности установки PermitRootLogin yes
Везде пишут, что входить под рутом плохо и т.д. и т.п., но
1. подобрать 16 символьный пароль довольно сложно
2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее

Так есть ли реальная опасность оставлять для рута вход?
это правила "гигиены", об этом не нужно думать или сомневаться, им просто нужно следовать.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: PermitRootLogin

Непрочитанное сообщение vadim64 » 2010-10-15 7:35:58

Гость писал(а):
vadim64 писал(а):
icb писал(а):Задался вопросом о безопасности установки PermitRootLogin yes
...
Так есть ли реальная опасность оставлять для рута вход?
1. люди ещё в прошлом тысячелетии научились подбирать зашифрованные 128 битным шифрованием 16 символьные пароли, проснитесь
...
у Вас в голове бардак, это возможно если иметь копию шифрованой базы локально доступной для чтения, а это невозможно без прав доступа которые нужно получить путем подбора.
:crazy:
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: PermitRootLogin

Непрочитанное сообщение icb » 2010-10-15 9:00:47

Делай как я запрет входа рутом у рута пароль невменяемы из 5-8 буквоцифр который не запомнишь и как следствие работаешь с sudo от нужного юзверя.
Использование su/sudo не всегда удобно: иногда хочется войти на сервер через SFTP, а мало какой клиент умеет работать через su/sudo.
еще бы при каждом логине ставить задержку на 5 секунд
вот только не припомню - есть такая опция у стандартного sshd?
А есть ли такая опция? Вроде весь конфиг просмотрел - не нашел :(

BSD_daemon
ефрейтор
Сообщения: 63
Зарегистрирован: 2010-10-09 21:51:17
Откуда: Из тех ворот откуда весь народ

Re: PermitRootLogin

Непрочитанное сообщение BSD_daemon » 2010-11-06 21:20:26

icb писал(а):
Делай как я запрет входа рутом у рута пароль невменяемы из 5-8 буквоцифр который не запомнишь и как следствие работаешь с sudo от нужного юзверя.
Использование su/sudo не всегда удобно: иногда хочется войти на сервер через SFTP, а мало какой клиент умеет работать через su/sudo.
еще бы при каждом логине ставить задержку на 5 секунд
вот только не припомню - есть такая опция у стандартного sshd?
А есть ли такая опция? Вроде весь конфиг просмотрел - не нашел :(

А при чем здесь sshd ?
man login.conf и уделяем внимание на login-retries
относится к любым логинам, не только по ssh
I also known as: "Нефиг_чем_заняться"

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: PermitRootLogin

Непрочитанное сообщение icb » 2010-11-10 10:37:01

BSD_daemon писал(а):man login.conf и уделяем внимание на login-retries
Добавляю в login.conf
default:\
:passwd_format=md5:\
:copyright=/etc/COPYRIGHT:\
:welcome=/etc/motd:\
:setenv=MAIL=/var/mail/$,BLOCKSIZE=K,FTP_PASSIVE_MODE=YES:\
:path=/sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin /usr/local/bin ~/bin:\
:nologin=/var/run/nologin:\
:cputime=unlimited:\
:datasize=unlimited:\
:stacksize=unlimited:\
:memorylocked=unlimited:\
:memoryuse=unlimited:\
:filesize=unlimited:\
:coredumpsize=unlimited:\
:openfiles=unlimited:\
:maxproc=unlimited:\
:sbsize=unlimited:\
:vmemoryuse=unlimited:\
:swapuse=unlimited:\
:pseudoterminals=unlimited:\
:priority=0:\
:ignoretime@:\
:umask=022:\
:login-backoff=3:\
:login-retries=3:
Делаю
cap_mkdb -v /etc/login.conf
Но при подключении нет задержек и дает ввести пароль по прежнему 6 раз :(

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: PermitRootLogin

Непрочитанное сообщение FreeBSP » 2010-11-10 10:42:13

при подключении по ssh не запускается login(1)
secondary# grep MaxAuthTries /etc/ssh/sshd_config
#MaxAuthTries 6
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: PermitRootLogin

Непрочитанное сообщение icb » 2010-11-10 10:47:29

FreeBSP писал(а):при подключении по ssh не запускается login(1)
:(
Тогда остается вопрос - можно ли сделать задержку по времени на каждый логин по ssh?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: PermitRootLogin

Непрочитанное сообщение FreeBSP » 2010-11-10 10:51:19

LoginGraceTime
несколько не так вкусно, но вариант
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: PermitRootLogin

Непрочитанное сообщение icb » 2010-11-10 11:04:18

FreeBSP писал(а):LoginGraceTime
несколько не так вкусно, но вариант
Нет, вообще не вариант. Нормальные пользователи будут страдать (кто на клавиатуре вводит), а боты будут проскакивать без проблем.

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: PermitRootLogin

Непрочитанное сообщение FreeBSP » 2010-11-10 11:05:30

bruteblock ?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: PermitRootLogin

Непрочитанное сообщение icb » 2010-11-10 11:09:07

Это как запасной вариант (если можно задать системными средствами, то зачем ставить дополнительный софт).

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: PermitRootLogin

Непрочитанное сообщение FreeBSP » 2010-11-10 11:50:53

попробуй
он весьма шустрый и очень гибкий. в плане возможностей забанивания буратин - отличное решение
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: PermitRootLogin

Непрочитанное сообщение icb » 2010-12-27 12:46:57

при подключении по ssh не запускается login(1)
В конфиге (sshd_config) возможно указать опцию UseLogin, что даст возможность использовать login для входа в систему.
Какие минусы такого решения?

FiL
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2010-02-05 0:21:40

Re: PermitRootLogin

Непрочитанное сообщение FiL » 2010-12-30 0:33:20

как по мне, так от PermitRootLogin хуже не будет. Ну какая разница, сломают пароль рута и войдут рутом или сломают твой логин, которому разрешено sudo и войдут под тобой и потом сделают sudo? Более того, постоянный набор своего пароля для каждого sudo - это тоже тот еще гемор.

Так что я для себя решил так - порт на ssh изменен, руту заходить можно, но на сервера заход только по ключу (по паролю вообще не зайти) . Исключение только для тех машин, куда юзера могут заходить по ssh (а это очень редко где надо) - там рут закрыт, но там по-любому надо глаз да глаз...