কেন sshd ডিফল্টরূপে রুট লগইনগুলিকে অনুমতি দেবে?

7

আমি বর্তমানে আমার সার্ভারগুলিকে হ্যাকিংয়ের বিরুদ্ধে শক্ত করার কাজ করছি other অন্যান্য বিষয়গুলির মধ্যে, আমি এসএসএসের উপর মূল হিসাবে লগ ইন করার প্রচেষ্টার প্রচুর পরিমাণে পাচ্ছি। আমি ব্যর্থ 2ban বাস্তবায়ন করার সময়, আমি ভাবছি, কেন রুট লগনগুলি ডিফল্টরূপে শুরু করার অনুমতি দেওয়া হবে? এমনকি নন সুডো ভিত্তিক ডিস্ট্রোস থাকা সত্ত্বেও আমি সর্বদা একটি সাধারণ ব্যবহারকারী হিসাবে লগইন করতে পারি এবং স্যুইচ করতে পারি - তাই আমি ভাবছি যে এসএসএসে রুট লগইনগুলিকে অনুমতি দেওয়ার কোনও সুস্পষ্ট সুবিধা আছে, বা এটি এমন কোনও কিছু যা বদলাতে বিরত করে না?

security  ssh  root 
জার্নম্যান গিক
সূত্র

উত্তর:

8

এসএসএসে রুট লগনের অনুমতি দেওয়ার কোনও সুস্পষ্ট সুবিধা

কিছু ব্যাকআপ সিস্টেম রয়েছে যা প্রকৃতপক্ষে ব্যাকআপটি সম্পাদন করতে দূরবর্তী সিস্টেমে রুট হওয়া দরকার। দূরবর্তী সিস্টেমে রক্ষণাবেক্ষণের কাজগুলি সম্পাদন করতে কী-ভিত্তিক প্রমাণীকরণের সাথে জিনিসগুলি সেটআপ করা অস্বাভাবিক কিছু নয়।

আমি দৃ strongly়ভাবে বলতে চাই যে ডিফল্টটি PermitRootLogin yesকমপক্ষে থেকে পরিবর্তিত PermitRootLogin without-passwordহবে, এটি কেবল কী-ভিত্তিক প্রমাণীকরণের অনুমতি দেবে। রুট অ্যাকাউন্টে রিমোট পাসওয়ার্ড প্রমাণীকরণ প্রায় প্রয়োজন হয় না।

অক্ষম পাসওয়ার্ড সহ একটি রুট অ্যাকাউন্টের সাথে সিস্টেম সেটআপ করার জন্য এটি সিস্টেমে (উবুন্টুর মতো) আরও সাধারণ হয়ে উঠছে। অক্ষম পাসওয়ার্ড সহ কোনও অ্যাকাউন্টে সরাসরি প্রমাণীকরণের কোনও উপায় না থাকায় ডিফল্ট সেটআপে তেমন ঝুঁকি নেই।

এও বিবেচনা করুন যে এসএসএসের মাধ্যমে দূর থেকে দূরবর্তীভাবে লগইন করার জন্য একটি দৃ force় বলের প্রচেষ্টা সফল হওয়ার খুব কম সম্ভাবনা রয়েছে যদি আপনার পর্যাপ্ত জটিল পাসওয়ার্ডের সাথে একটি রুট অ্যাকাউন্ট থাকে। রুট অ্যাকাউন্টটি অক্ষম করা সুরক্ষার অতিরিক্ত স্তর সরবরাহ করে তবে আপনার যদি শক্তিশালী পাসওয়ার্ড থাকে তবে এটির প্রয়োজন হবে না। যদি আপনি শক্তিশালী পাসওয়ার্ডকে অস্বীকারকারী এবং ব্যর্থ2ban এর মতো প্রতিক্রিয়াশীল সরঞ্জামগুলির সাথে একত্রিত করেন তবে প্রায়শই প্রায় কোনও ঝুঁকি থাকে না যে রুট পাসওয়ার্ডকে জোর করে চালানোর প্রচেষ্টা কাজ করবে।

আপনার নেটওয়ার্কের জন্য ঝুঁকি এবং প্রয়োজনীয়তার ভিত্তিতে ইনস্টলটি সম্পন্ন হওয়ার পরে সিস্টেমটি শক্ত করা সর্বদা একটি ভাল অনুশীলন। এমন একটি সিস্টেম যা সমালোচনামূলক নয় এবং ব্যবহারকারীর ডেটা নেই, মেডিকেল বা ব্যাংকিং রেকর্ড সংরক্ষণ করে এমন সিস্টেমের মতো সত্যই একই স্তরের কঠোরতার প্রয়োজন হয় না।

Zoredache
সূত্র
2

আমি নিশ্চিত নই, তবে আমি ধরে নেব যে তারা বিদেশী ইনস্টল করা লোকেরা লগইন করতে পারে তা নিশ্চিত করতে চেয়েছিল। প্রথম কোনও লগইনটি রুট হওয়ার প্রয়োজন হতে পারে যেহেতু এখনও অন্য কোনও ব্যবহারকারী নেই।

তবে আপনাকে অবশ্যই আপনার ব্যবহারকারী তৈরি করার পরে এবং তাকে sudo অনুমতি দেওয়ার পরে sshd কনফিগারেশনে রুট বিকল্প হিসাবে লগইনটি অক্ষম করতে হবে তা নিশ্চিত করতে হবে ।

আমি আরও প্রস্তাব দিচ্ছি যে আপনি এসএসএইচ পোর্টটি 22 ব্যতীত অন্য কোনও কিছুর কাছে পরিবর্তন করুন it যদিও এটি আপনার মেশিনটিকে আরও সুরক্ষিত করে না - এটি সমস্ত অপব্যয় / বিরক্তিকর অনুরোধগুলি থামিয়ে দেয়।

Xeoncross
সূত্র
মানক বন্দর থেকে পরিবর্তন করার সাথে আমি সত্যিই একমত নই। প্যাকেট ফিল্টারিং ব্যবহার করুন।
ওয়ার্নার
সত্যি? এটি সম্পর্কে খারাপ কি? আমি কেবল এটি করা শুরু করেছি কারণ আমি শ্রদ্ধেয় অ্যাডমিনরা এটি করতে দেখেছি ...
শিওনক্রস
ফিল্টারিং বা নেটওয়ার্ক বিভাজন ছাড়াই সহ-অবস্থিত সার্ভারগুলি চালানো থেকে লোকেরা এমন কিছু গ্রহণ করেছে।
ওয়ার্নার
@ ওয়ার্নার তবে, আমি বুঝতে পারি না, স্ট্যান্ডার্ড বন্দর থেকে পরিবর্তন করা বেশিরভাগ লোকের পক্ষে সর্বাধিক প্রচেষ্টা বন্ধ করে দেওয়ার পক্ষে সহজ উপায় না?
ক্যামিলো মার্টিন
2

অতিরিক্ত সুরক্ষা হিসাবে রুট লগইনগুলি প্রতিরোধের বিষয়টি বিবেচনা করুন। কিছু বছর আগে ব্রুটোফোর্স চূড়ান্ত পর্যায়ে ছিল, আজকাল, তারা ডিমনদের দ্বারা যা দেখতে পাবে তার মাধ্যমে দুর্বলতার সন্ধান করার প্রবণতা রয়েছে (অ্যাপাচি, খাঁটিফুটপিডি, ...)। আগামীকাল এসএসএইচডি সহ কোনও এক্সপ্লিট পাওয়া গেলে রুট লগইনগুলি প্রতিরোধ করা একটি দুর্দান্ত ধারণা হয়ে ওঠে। এসএসএইচডি পরিপক্ক এবং সুরক্ষিত থাকা অবস্থায় আপনি কখনই জানেন না। ইদানীং শোষণগুলি কার্নেলের সাথে প্রাইভেলিজ বাড়ানোর দিকে বা কর্নেলের সাথে একটি তৃতীয় পক্ষের অ্যাপ্লিকেশন ব্যবহারের দিকে বেশি ছিল যাতে রুট লগইনগুলি রোধ করা কোনও জিনিসই পরিবর্তন না করে।

ডেবিয়ান ভিত্তিক ডিস্ট্রো ইতিমধ্যে স্যুইচটি তৈরি করেছে যখন রেডহ্যাট ভিত্তিক ডিস্ট্রো এটির পরামর্শ দেয় (যদি আপনি তাদের সেরা অনুশীলন ডক্সটি পড়েন)

Embreau
সূত্র
1

ঠিক আছে, কারণ মূলটি একটি বৈধ ব্যবহারকারী এবং এসএসডি এটির অনুমতি দেয় এটির কাজ। ওপেনবিএসডি-তে (ওপেনএসএসএইচ থেকে একই ছেলেরা), উদাহরণস্বরূপ, আপনাকে ইনস্টলেশনের সময় কোনও ব্যবহারকারী তৈরি করতে বলা হয়নি, সুতরাং আপনার বাক্সটি অ্যাক্সেস করার জন্য আপনাকে রুট ব্যবহার করতে হবে।

কিছু ডেস্কটপ-ভিত্তিক বিতরণ আপনাকে অতিরিক্ত ব্যবহারকারী তৈরি করতে বাধ্য করে, তবে সার্ভারগুলির জন্য আপনার আসলে কোনও প্রয়োজন হয় না।

এছাড়াও, মূলগুলি হিসাবে লগ ইন করার চেয়ে sudo বা su আরও সুরক্ষিত এই যুক্তিগুলি একটি বড় কল্পকাহিনী। উবুন্টুতে, উদাহরণস্বরূপ, ব্যবহারকারী ডিফল্টরূপে sudo ব্যবহার করে যে কোনও কমান্ড চালাতে পারে, সুতরাং যে কোনও আক্রমণকারীই প্রবেশ করতে পারে সেটিকে রুট হিসাবে কোনও কমান্ড চালাতে পারে। সুরক্ষা দৃষ্টিকোণ থেকে খুব অযথা।

sucuri
সূত্র
অন্যদিকে, একজন আক্রমণকারীকে ব্যবহারকারীর নাম এবং পাসওয়ার্ড উভয়ই অনুমান করতে হবে - কেবল পাসওয়ার্ডটি চাপিয়ে দেওয়ার বিরুদ্ধেই। আমি আরও লক্ষ করব যে sudo sudoers ফাইলের লোকদের মধ্যেই সীমাবদ্ধ - তাই এটি বেশিরভাগ ক্ষেত্রে এর প্রথম ব্যবহারকারী
Journeyman Geek
0

এটি প্রায় বেশ ডিস্ট্রো নির্দিষ্ট। কিছু এটি অনুমতি দেয়, কিছু না।

যদি আমি কোনও ডিস্ট্রো পরিচালনা করে থাকি তবে ইনস্টল করার সময় সিস্টেমটি যথাসম্ভব শক্ত করার জন্য কনফিগার করব। কিছু বৈশিষ্ট্য অক্ষম করতে ভুলে যাওয়ার চেয়ে কিছু বৈশিষ্ট্য সক্ষম করা ভুলে যাওয়া ভাল।

জো ইন্টারনেট
সূত্র
আপনি যদি প্রচুর শেষ ব্যবহারকারীদের দ্বারা ডেস্কটপে আপনার সিস্টেমটি ব্যবহার করার চেষ্টা করেন তবে যতটা সম্ভব শক্তিশালীকরণ সিস্টেম চ্যালেঞ্জিং হয়ে ওঠে। ব্যবহারকারীদের ডিফল্ট ক্ষেত্রে রক্ষার জন্য আপনাকে যথেষ্ট পরিমাণে সিস্টেমকে আপস করা এবং শক্ত করতে হবে তবে উন্নত ব্যবহারকারীদের তাদের প্রয়োজনীয়তা মাপসই করার জন্য সিস্টেমটি পরিবর্তন করার অনুমতি দেওয়া হবে।
জোরেডেচি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.