PermitRootLogin

[icb]

Задался вопросом о безопасности установки PermitRootLogin yes
Везде пишут, что входить под рутом плохо и т.д. и т.п., но
1. подобрать 16 символьный пароль довольно сложно
2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее

Так есть ли реальная опасность оставлять для рута вход?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

да

[hizel]

я разленился и использую на части серверов

Код: Выделить всё

PermitRootLogin without-password

[icb]

да

в чем опасность?

[vadim64]

Задался вопросом о безопасности установки PermitRootLogin yes
Везде пишут, что входить под рутом плохо и т.д. и т.п., но
1. подобрать 16 символьный пароль довольно сложно
2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее

Так есть ли реальная опасность оставлять для рута вход?

1. люди ещё в прошлом тысячелетии научились подбирать зашифрованные 128 битным шифрованием 16 символьные пароли, проснитесь
2. а это вообще не важно

вы возьмите любую статейку или книжку а-ля "Библия хакеров" или "Как взломать пентагон," почитайте, подумайте. Никто вам не сможет объяснить какая угроза есть из интернета. Вы должны это сами понимать.

[Alex Keda]

та нету угрозы как таковой.
но облегчать жизнь злоумышленникам - не надо.
а сабж - это именно облегчение им жизни.

[Raven2000]

Делай как я запрет входа рутом у рута пароль невменяемы из 5-8 буквоцифр который не запомнишь и как следствие работаешь с sudo от нужного юзверя.
Но при параное ты можешь изменить порт ssh, поставить блокировку при неудавшихся попытках входа, ограничить доступ только с разрешенных IP, использовать ключи. А так же бесплатно выиграть поездку в Кащенко =D

[Raven2000]

Да кстати, тебя ничто не защитит если твой сервер будет у чела к примеру в физическом доступе или IP-KVM

[ev]

2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее

еще бы при каждом логине ставить задержку на 5 секунд
вот только не припомню - есть такая опция у стандартного sshd?

1. люди ещё в прошлом тысячелетии научились подбирать зашифрованные 128 битным шифрованием 16 символьные пароли, проснитесь

не стоит смешивать все в одну кучу
1. научились подбирать за какое время?
2. сколько при этом было затрачено итераций? (1 итерация = 1 логин, т.о. можно прикинуть сколько раз надо залогиниться)
3. какой при этом будет сгенерирован траф? если за приемлемое время - то это уже дос получится

[Гость]

Задался вопросом о безопасности установки PermitRootLogin yes
Везде пишут, что входить под рутом плохо и т.д. и т.п., но
1. подобрать 16 символьный пароль довольно сложно
2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее

Так есть ли реальная опасность оставлять для рута вход?

1. люди ещё в прошлом тысячелетии научились подбирать зашифрованные 128 битным шифрованием 16 символьные пароли, проснитесь
2. а это вообще не важно

вы возьмите любую статейку или книжку а-ля "Библия хакеров" или "Как взломать пентагон," почитайте, подумайте. Никто вам не сможет объяснить какая угроза есть из интернета. Вы должны это сами понимать.

у Вас в голове бардак, это возможно если иметь копию шифрованой базы локально доступной для чтения, а это невозможно без прав доступа которые нужно получить путем подбора.

[Гость]

Задался вопросом о безопасности установки PermitRootLogin yes
Везде пишут, что входить под рутом плохо и т.д. и т.п., но
1. подобрать 16 символьный пароль довольно сложно
2. подбирать пароль если тебя блокируют через 5 попыток еще сложнее

Так есть ли реальная опасность оставлять для рута вход?

это правила "гигиены", об этом не нужно думать или сомневаться, им просто нужно следовать.

[vadim64]

Задался вопросом о безопасности установки PermitRootLogin yes
...
Так есть ли реальная опасность оставлять для рута вход?

1. люди ещё в прошлом тысячелетии научились подбирать зашифрованные 128 битным шифрованием 16 символьные пароли, проснитесь
...

у Вас в голове бардак, это возможно если иметь копию шифрованой базы локально доступной для чтения, а это невозможно без прав доступа которые нужно получить путем подбора.

[icb]

Делай как я запрет входа рутом у рута пароль невменяемы из 5-8 буквоцифр который не запомнишь и как следствие работаешь с sudo от нужного юзверя.

Использование su/sudo не всегда удобно: иногда хочется войти на сервер через SFTP, а мало какой клиент умеет работать через su/sudo.

еще бы при каждом логине ставить задержку на 5 секунд
вот только не припомню - есть такая опция у стандартного sshd?

А есть ли такая опция? Вроде весь конфиг просмотрел - не нашел

[BSD_daemon]

Делай как я запрет входа рутом у рута пароль невменяемы из 5-8 буквоцифр который не запомнишь и как следствие работаешь с sudo от нужного юзверя.

Использование su/sudo не всегда удобно: иногда хочется войти на сервер через SFTP, а мало какой клиент умеет работать через su/sudo.

еще бы при каждом логине ставить задержку на 5 секунд
вот только не припомню - есть такая опция у стандартного sshd?

А есть ли такая опция? Вроде весь конфиг просмотрел - не нашел

А при чем здесь sshd ?
man login.conf и уделяем внимание на login-retries
относится к любым логинам, не только по ssh

[icb]

man login.conf и уделяем внимание на login-retries

Добавляю в login.conf

default:\
:passwd_format=md5:\
:copyright=/etc/COPYRIGHT:\
:welcome=/etc/motd:\
:setenv=MAIL=/var/mail/$,BLOCKSIZE=K,FTP_PASSIVE_MODE=YES:\
:path=/sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin /usr/local/bin ~/bin:\
:nologin=/var/run/nologin:\
:cputime=unlimited:\
:datasize=unlimited:\
:stacksize=unlimited:\
:memorylocked=unlimited:\
:memoryuse=unlimited:\
:filesize=unlimited:\
:coredumpsize=unlimited:\
:openfiles=unlimited:\
:maxproc=unlimited:\
:sbsize=unlimited:\
:vmemoryuse=unlimited:\
:swapuse=unlimited:\
:pseudoterminals=unlimited:\
:priority=0:\
:ignoretime@:\
:umask=022:\
:login-backoff=3:\
:login-retries=3:

Делаю

cap_mkdb -v /etc/login.conf

Но при подключении нет задержек и дает ввести пароль по прежнему 6 раз

[FreeBSP]

при подключении по ssh не запускается login(1)
secondary# grep MaxAuthTries /etc/ssh/sshd_config
#MaxAuthTries 6

[icb]

при подключении по ssh не запускается login(1)

Тогда остается вопрос - можно ли сделать задержку по времени на каждый логин по ssh?

[FreeBSP]

LoginGraceTime
несколько не так вкусно, но вариант

[icb]

LoginGraceTime
несколько не так вкусно, но вариант

Нет, вообще не вариант. Нормальные пользователи будут страдать (кто на клавиатуре вводит), а боты будут проскакивать без проблем.

[FreeBSP]

bruteblock ?

[icb]

Это как запасной вариант (если можно задать системными средствами, то зачем ставить дополнительный софт).

[FreeBSP]

попробуй
он весьма шустрый и очень гибкий. в плане возможностей забанивания буратин - отличное решение

[icb]

при подключении по ssh не запускается login(1)

В конфиге (sshd_config) возможно указать опцию UseLogin, что даст возможность использовать login для входа в систему.
Какие минусы такого решения?

[FiL]

как по мне, так от PermitRootLogin хуже не будет. Ну какая разница, сломают пароль рута и войдут рутом или сломают твой логин, которому разрешено sudo и войдут под тобой и потом сделают sudo? Более того, постоянный набор своего пароля для каждого sudo - это тоже тот еще гемор.

Так что я для себя решил так - порт на ssh изменен, руту заходить можно, но на сервера заход только по ключу (по паролю вообще не зайти) . Исключение только для тех машин, куда юзера могут заходить по ssh (а это очень редко где надо) - там рут закрыт, но там по-любому надо глаз да глаз...