রুট লগইন অক্ষম করা কি সুরক্ষা বাড়ায়?

আমি সম্প্রতি লিনাক্সে http : //archives.neoাপis.com/archives/openbsd/2005-03/2878.html- এ মূল ব্যবহারকারী লগইন অক্ষম করার বিরুদ্ধে একটি যুক্তি খুঁজে পেয়েছি

আমি ধরে নিলাম, যদি প্রত্যেকে জনসাধারণের কী প্রমাণীকরণ ব্যবহার করে তবে রুট পাসওয়ার্ড হারাতে কোন ঝুঁকি নেই।

Ssh এর মাধ্যমে রুট লগইন অক্ষম করা কি সর্বদা ভাল?

সংক্ষিপ্ত উত্তরটি হ'ল আপনার আক্রমণ যত কম ছোট প্রোফাইল তত ভাল। সর্বদা. যদি আপনার এটির প্রয়োজন না হয় বা sudo বা su এর মতো বিকল্প ব্যবহার করতে পারেন তবে রুট লগইন সক্ষম করবেন না।

রুট অক্ষম করার পক্ষে এবং sudo / su ব্যবহার করার পক্ষে একটি বড় যুক্তি হ'ল আপনি কী করছেন তা ট্র্যাক করতে পারেন। একজন ব্যবহারকারী - একটি লগইন। অ্যাকাউন্ট কখনই শেয়ার করবেন না।

এই লিঙ্কটিতে যুক্তিটি ssh এর পরিবর্তে স্থানীয় লগইনের ক্ষেত্রে নির্দিষ্ট বলে মনে হচ্ছে।

আমি দ্বিতীয় ডেনিস পয়েন্ট, এবং আরও:

এসএসএইচ এর মাধ্যমে রুট লগইনকে মঞ্জুরি দেওয়ার অর্থ হ'ল ব্রুট ফোর্স পাসওয়ার্ড অনুমান দ্বারা রুট আক্রমণযোগ্য।

যেহেতু মূল সর্বদা থাকে, এবং পুরষ্কার এত বেশি, এটি একটি অগ্রাধিকার লক্ষ্য। ব্যবহারকারীর নামটি প্রথমে অনুমান করতে হবে, যা সমস্যার অসুবিধায় মাত্রার কয়েকটি আদেশ যুক্ত করে।

আপনার কাছে কনসোল অ্যাক্সেস না থাকলে কখনও কখনও রুট অ্যাকাউন্টটি অক্ষম করবেন না। যদি আপনার ফাইল সিস্টেমটি পূরণ হয় এবং / etc / nologin তৈরি হওয়ার সময় বুট ব্যর্থ হয় তবে কেবলমাত্র রুট অ্যাকাউন্টটি মেশিনে লগইন করতে দেওয়া হবে।

এটি বলেছে, যদি এই পরিস্থিতিগুলি মোকাবেলা করার জন্য আপনার কাছে কনসোল অ্যাক্সেস থাকে, রুট অ্যাকাউন্ট বন্ধ করা আপনাকে কিছু মাথা ব্যথা বাঁচাতে পারে, কারণ অভিধানের আক্রমণ ব্যবহার করে কেউ রুট অ্যাকাউন্টে যেতে সক্ষম হবে না (আমার অভিজ্ঞতা হ'ল এই দিনগুলিতে এগুলি স্থির থাকে - কেউ সর্বদা চেষ্টা করছেন)। আপনি যে কাজগুলি করার কথা ভাবতে পারেন সেগুলি:

• ব্যর্থ2ban এর মতো একটি প্রোগ্রাম ইনস্টল করুন যা কোনও আইপি ঠিকানায় অ্যাক্সেসটি স্বয়ংক্রিয়ভাবে বন্ধ করে দেয় যদি এটি বহুবারের চেয়ে বেশি প্রমাণীকরণ ব্যর্থ করে (অভিধানের আক্রমণগুলির বিরুদ্ধে সক্রিয়ভাবে রক্ষা করতে)।
• কেবল ssh কী ব্যবহার করুন।
• যদি আপনি প্রচুর মেশিন পরিচালনা করেন তবে কোনও মেশিনে প্রবেশের জন্য আপনি অনুমোদিত পাবলিক কীগুলি পরিচালনা করার জন্য সিএফিনজিন বা অন্যান্য ব্যবহার করুন (অন্যথায় আপনি সেগুলি খুব দ্রুত পুরানো হয়ে যান)।

শুভেচ্ছা,
জোও মিগুয়েল নেভেস

এসএসএইচ এর মাধ্যমে রুট লগইন অক্ষম করা সর্বদা ভাল।

পিকেআই সিস্টেম রয়েছে (যেমন এসএসএইচ সহ পাবলিক কী) যেগুলি আপস হয়েছে। এসএসএইচে ইতিমধ্যে দূরবর্তী প্রমাণীকরণের ত্রুটি রয়েছে যা একটি মূল সমঝোতা ঘটতে সক্ষম করে। সফ্টওয়্যার পিকেআইগুলি হার্ডওয়্যার ভিত্তিক পিকেআই-এর চেয়ে কুখ্যাত দুর্বল .... আপনার হোস্ট কম্পিউটারের সাথে যদি আপোস করা হয় তবে লক্ষ্য সার্ভারটিও একইভাবে সহজেই পড়ে যেতে পারে। অথবা এসএসএইচে অভিনব ত্রুটিগুলি পাওয়া যেতে পারে। রুট লগইনকে সীমাবদ্ধ রেখে আপনি কোনও আক্রমণকারীর সুবিধাপ্রাপ্তি বৃদ্ধির জন্য প্রয়োজন সময়কালও বাড়িয়ে দিতে পারেন।

Icallyতিহাসিকভাবে, অনেক প্রশাসক কোনও নেটওয়ার্ক প্রবেশের জন্য বেসমেন্ট হোস্ট (মূলত গেটওয়ে) ব্যবহার করেছিলেন এবং তারপরে বাক্সগুলিতে ঝাঁপিয়ে পড়ে। বিভিন্ন অপারেটিং সিস্টেমের সাথে একত্রে একটি উচ্চ সুরক্ষিত ডিস্ট্রো (যেমন ওপেনবিএসডি) ব্যবহার করে প্রতিরক্ষা-গভীরতা এবং প্রতিরক্ষা-ইন-বৈচিত্র্য সরবরাহ করে (পুরো নেটওয়ার্কের সাথে আপোস করার সম্ভাবনা কম) provides

অনুগ্রহ করে আপনার নেটওয়ার্কের সাথে ব্যান্ড কানেকশন থাকার কথা বিবেচনা করুন, যেমন সিরিয়াল কনডেন্টার, সিরিয়াল সুইচ বা অন্য। এটি প্রয়োজন হলে আপনার প্রশাসনিক ইন্টারফেসের ব্যাকআপ উপলব্ধতা সরবরাহ করবে।

আমি নির্বিকার এবং সুরক্ষার কারণে, আমি একটি আইপিএসইসি ভিপিএন বা টাইপ 1 ভিপিএন ব্যবহার করার এবং তারপরে এসএসএইচ চালাতে পারি, এসএসএইচের কোনও ইন্টারনেট এক্সপোজার ছাড়াই। আপনার নেটওয়ার্ক হার্ডওয়্যারটিতে ভিপিএন লাগানো কার্যকরভাবে নাটকীয়ভাবে এটি সহজতর করতে পারে।

আমাদের এই প্রশ্নটি বিভিন্ন বিষয় থেকে পরীক্ষা করা উচিত।

উবুন্টু ডিফল্টরূপে রুট অ্যাকাউন্টটি অক্ষম করে, যার অর্থ আপনি রুট দিয়ে এসএসএইচ দিয়ে লগইন করতে পারবেন না। তবে এটি কোনও উবুন্টু সিডি সহ যে কেউ বুট করতে ও রুট অ্যাক্সেস পেতে পারে।

আমি বিশ্বাস করি যে প্রতিবন্ধী এসএসএইচ অ্যাক্সেসের সাথে রুট অ্যাকাউন্ট সক্ষম করা সর্বোত্তম সমঝোতা। আপনার যদি এসএসএইচ দিয়ে রুট অ্যাক্সেসের প্রয়োজন হয় তবে সাধারণ ব্যবহারকারীর সাথে লগইন করুন এবং সুডো ব্যবহার করুন। এইভাবে এটি দূরবর্তী সুরক্ষার সাথে কোনও আপস না করে বাক্সটিতে অ্যাক্সেস সুরক্ষিত করে।

আমি হ্যাঁ বলব, নিরীক্ষণের জন্য রুট হিসাবে লগইন অক্ষম করা উচিত। আপনি যদি এই মেশিনের একমাত্র সিস্টেম অ্যাডমিনিস্ট্রেটর হন তবে কে কাকে কী করেছে তা নির্ধারণ করা তুচ্ছ, তবে যদি দশ জন লোক এই বাক্সটি পরিচালনা করার জন্য অনুমোদিত হয় এবং তারা সকলেই আমাদের সমস্যা বুঝতে পারে যে মূল পাসওয়ার্ডটি জানেন।

রুট সক্ষম রয়েছে কি না, রুট বা অন্য কোনও ব্যবহারকারীর পাসওয়ার্ডের সাহায্যে দূর থেকে লগইন করার অনুমতি দেওয়া উচিত নয়। ফেল 2 বা ধীর ব্রুট ফোর্স বোটনেটের বিরুদ্ধে কিছু করবে না, এবং আইপিভি 6 দিয়ে মোটেও কাজ করে না। (এসএসএস প্রোটোকল সংস্করণ 1 এবং সংস্করণ 2 এর পুরানো বাস্তবায়নগুলি এসএস সেশনের মধ্যে ইন্টারেক্টিভ পাসওয়ার্ডের বিরুদ্ধে পাসওয়ার্ড-অনুমানের আক্রমণগুলির পক্ষে ঝুঁকির মধ্যে পড়েছিল, তবে পর্যাপ্ত সাম্প্রতিক ssh প্রয়োগের ক্ষেত্রে এটি আর হবে না))