মূল সুবিধাগুলি পাওয়ার সবচেয়ে নিরাপদতম উপায়: সুডো, সু বা লগইন?

আমার অনিচ্ছুক ব্যবহারকারীর সাথে আপোস করা থাকলেও আমি সুরক্ষার জন্য মূল অ্যাকাউন্টটি রাখতে চাই।

উবুন্টুতে আপনি কেবলমাত্র "সুরক্ষা কারণে" ডিফল্টরূপে sudo ব্যবহার করতে পারেন। তবে আমি নিশ্চিত না যে এটি কোনও পাঠ্য-মোড কনসোলে লগইন ব্যবহারের চেয়ে কোনও নিরাপদ। আক্রমণকারী আমার সাধারণ ব্যবহারকারী হিসাবে কোড চালাতে পারলে এমন অনেকগুলি জিনিস ভুল হতে পারে। উদাহরণস্বরূপ, এলিয়াস যুক্ত করা, আমার পাঠ্যপুস্তকে স্টাফ যুক্ত করা, কয়েকটি উল্লেখ করার জন্য LD_PRELOAD এবং এক্স 11 কীলগার নির্ধারণ করা। আমি দেখতে পেলাম একমাত্র সুবিধা হ'ল সময়সীমা তাই আমি লগ আউট করতে কখনও ভুলি না।

সু সম্পর্কে আমার একই সন্দেহ রয়েছে তবে এটির সময়সীমাও নেই। কিছু অপারেশন (বিশেষত আইও পুনঃনির্দেশ) সু সম্পর্কে আরও দৃ with়প্রত্যয়ী তবে সুরক্ষা অনুযায়ী এটি আরও খারাপ বলে মনে হয়।

একটি পাঠ্য-মোড কনসোলে লগইন করা নিরাপদ বলে মনে হচ্ছে। যেহেতু এটি আক্রমণ দ্বারা শুরু করা হয়েছে যদি কোনও আক্রমণকারী PATH বা LD_PRELOAD নিয়ন্ত্রণ করতে পারে তবে সে ইতিমধ্যে মূল। এক্সটিতে চলমান প্রোগ্রামগুলি দ্বারা কী-টিপস ইভেন্টগুলি বাধা দেওয়া যায় না X এক্স-তে চলমান প্রোগ্রামগুলি [সিটিআরএল] + [আলটি] + [এফ 1] (এবং একটি কনসোলের মতো দেখতে একটি পূর্ণস্ক্রিন উইন্ডো খুলতে পারে) জানি না বা এটি উইন্ডোজে [ctrl] + [Alt] + [del] এর মতো নিরাপদ। তা ছাড়া আমি দেখি একমাত্র সমস্যা হ'ল সময়সীমার অভাব।

আমি কি কিছু মিস করছি? কেন উবুন্টু ছেলেরা কেবল সুডোর অনুমতি দেওয়ার সিদ্ধান্ত নিয়েছে? কোনও পদ্ধতির সুরক্ষা উন্নত করতে আমি কী করতে পারি?

এসএসএইচ সম্পর্কে কী? Ditionতিহ্যগতভাবে রুট এসএসএইচ দিয়ে লগ ইন করতে পারে না। তবে উপরের যুক্তি ব্যবহার করা এটি করা সবচেয়ে নিরাপদ কাজ হবে না:

• এসএসএইচ মাধ্যমে রুট অনুমতি দিন
• পাঠ্য-মোডে স্যুইচ করুন
• রুট হিসাবে লগ ইন করুন
• অন্যান্য মেশিনে ssh
• রুট হিসাবে লগ ইন?

সুরক্ষা সর্বদা বাণিজ্য বন্ধ করার বিষয়ে। শুধু প্রবাদতুল্য সার্ভার একটি নিরাপদ হয় মত, সংযুক্ত, সমুদ্রের নীচে, rootহবে সবচেয়ে নিরাপদ যদি এ সব এটি অ্যাক্সেস করতে কোন উপায় ছিল না।

LD_PRELOAD এবং PATH আক্রমণগুলির মতো আপনি আক্রমণটি ধরে নিয়েছেন যে ইতিমধ্যে আপনার অ্যাকাউন্টে অ্যাক্সেস সহ এমন একজন আক্রমণকারী আছেন বা কমপক্ষে আপনার ডটফাইলে রয়েছে। সুডো এগুলি থেকে মোটেই ভাল সুরক্ষা দেয় না - যদি তাদের কাছে আপনার পাসওয়ার্ড থাকে তবে সর্বোপরি পরে আপনাকে ট্রিক করার চেষ্টা করার দরকার নেই ... তারা sudo এখনই ব্যবহার করতে পারে ।

মূলত সুডোর জন্য কী নকশা করা হয়েছিল তা বিবেচনা করা গুরুত্বপূর্ণ: নির্দিষ্ট কমান্ডের (যেমন প্রিন্টার পরিচালনা করার মতো) প্রতিনিধি "সাব-অ্যাডমিনিস্ট্রেটররা" (সম্ভবত কোনও পরীক্ষাগারে শিক্ষার্থীদের গ্রেড) পুরোপুরি শিকড় ছাড়েনি। করতে উবুন্টু ব্যবহার সবকিছু সবচেয়ে প্রচলিত ব্যবহার আমি এখন দেখতে, কিন্তু এটা অগত্যা সমস্যা (অত: পর হাস্যকর জটিল কনফিগ ফাইল সিনট্যাক্স) প্রোগ্রাম সমাধান করতে অভিপ্রেত ছিল না।

কিন্তু উবুন্টু-জন্য-অবাধ-রুট করে রুট পাসওয়ার্ড manageability: ADDRESS অন্য নিরাপত্তাজনিত সমস্যা। অনেক সংস্থায়, এগুলি হোয়াইটবোর্ডে লেখা ক্যান্ডির মতো ঘুরতে থাকে এবং এটি চিরতরে ছেড়ে যায়। এটি একটি বড় দুর্বলতা ছেড়ে দেয়, যেহেতু প্রত্যাহার করা বা অ্যাক্সেস পরিবর্তন করা বড় উত্পাদন সংখ্যায় পরিণত হয়। এমনকি কোন মেশিনের কী পাসওয়ার্ড রয়েছে তা ট্র্যাক করাও একটি চ্যালেঞ্জ - কোনটি কে জানেন কে তা ট্র্যাক করতে দিন।

মনে রাখবেন যে বেশিরভাগ "সাইবার-ক্রাইম" ভিতরে থেকে আসে। মূল পাসওয়ার্ডের পরিস্থিতি বর্ণিত হিসাবে, কে কী করেছে তা সন্ধান করা শক্ত - দূরবর্তী লগিংয়ের সাথে সুডো কিছু খুব ভাল করে deals

আপনার হোম সিস্টেমে, আমি মনে করি এটি দুটি পাসওয়ার্ড মনে রাখবেন না সুবিধার জন্য এটি সত্যিই আরও বেশি জিনিস। এটি সম্ভবত সম্ভাব্য যে অনেক লোক তাদেরকে একই - বা আরও খারাপ হিসাবে সেট করেছিল, প্রাথমিকভাবে তাদের একই হতে সেট করে এবং তারপরে সিঙ্ক থেকে বেরিয়ে যেতে দেয়, মূল পাসওয়ার্ডটি পচে যেতে দেয়।

পাসওয়ার্ডগুলি ব্যবহার এ সব থেকে পাসওয়ার্ড আঘ্রাণ trojaned SSH ডেমন রিয়েল-বিশ্ব ব্যবস্থা আপোস আমি দেখেছি 90% ভালো কিছু জায়গা পুরা হয়, SSH জন্য, বিপজ্জনক। এটি এসএসএইচ কীগুলি ব্যবহার করা আরও ভাল এবং এটি দূরবর্তী রুটের অ্যাক্সেসের জন্যও কার্যকর ব্যবস্থা হতে পারে।

তবে এখন সমস্যাটি হচ্ছে আপনি পাসওয়ার্ড পরিচালনা থেকে কী পরিচালনায় সরে গেছেন এবং ssh কীগুলি আসলে খুব বেশি পরিচালিত হয় না। অনুলিপিগুলিকে সীমাবদ্ধ করার কোনও উপায় নেই এবং যদি কেউ অনুলিপি করেন তবে তাদের পাসফ্রেজটিকে ক্ষত-বিক্ষত করার জন্য সমস্ত প্রচেষ্টা রয়েছে। আপনি নীতিমালা তৈরি করতে পারেন যে কীগুলি অপসারণযোগ্য ডিভাইসে সংরক্ষণ করা উচিত এবং প্রয়োজনের সময় কেবল মাউন্ট করা উচিত তবে এটি প্রয়োগ করার কোনও উপায় নেই - এবং এখন আপনি একটি অপসারণযোগ্য ডিভাইস হারিয়ে যাওয়া বা চুরি হওয়ার সম্ভাবনাটি চালু করেছেন introduced

সর্বাধিক সুরক্ষা আসতে চলেছে এককালীন কী বা সময় / পাল্টা ভিত্তিক ক্রিপ্টোগ্রাফিক টোকেনগুলির মাধ্যমে। এগুলি সফ্টওয়্যারগুলিতে করা যেতে পারে, তবে টেম্পার-প্রতিরোধী হার্ডওয়্যার আরও ভাল। ওপেন সোর্স ওয়ার্ল্ডে ওয়াইকিডি , ইউবিকি বা লিনটপি রয়েছে এবং অবশ্যই মালিকানাধীন হেভিওয়েট আরএসএ সিকিউরিডও রয়েছে । আপনি যদি মাঝারি থেকে বড় সংস্থায় থাকেন বা সুরক্ষা-সচেতন ছোট একটিও হন, তবে প্রশাসনিক অ্যাক্সেসের জন্য আমি এই পদ্ধতির একটিতে সন্ধান করার পরামর্শ দিচ্ছি।

এটি সম্ভবত বাড়ির জন্য অত্যধিক দক্ষতা রয়েছে, যেখানে আপনার সত্যিই পরিচালনার ঝামেলা নেই - যতক্ষণ আপনি বোধগম্য সুরক্ষা অনুশীলনগুলি অনুসরণ করেন।

এটি একটি খুব জটিল প্রশ্ন। mattdm ইতিমধ্যে অনেক পয়েন্ট কভার করেছে ।

সু এবং সুডোর মধ্যে, আপনি যখন কোনও একক ব্যবহারকারী হিসাবে বিবেচনা করেন, তখন su কিছুটা সুরক্ষিত যে কোনও আক্রমণকারী যিনি আপনার পাসওয়ার্ড খুঁজে পেয়েছেন তা অবিলম্বে রুট সুবিধাগুলি অর্জন করতে পারে না। তবে আক্রমণকারীটির স্থানীয় রুট হোল (তুলনামূলকভাবে অস্বাভাবিক) সন্ধান করা বা একটি ট্রোজান ইনস্টল করা এবং আপনার দৌড়ানোর জন্য অপেক্ষা করার জন্য যা যা লাগে তা হ'ল।

সুডোর একাধিক ব্যবহারকারী থাকলেও কনসোল লগইন করার সুবিধা রয়েছে। উদাহরণস্বরূপ, যদি কোনও সিস্টেম দূরবর্তী টেম্পার-প্রুফ লগগুলির সাথে কনফিগার করা থাকে তবে সর্বদা আপনি অনুসন্ধান করতে পারবেন যে সর্বশেষে কে সুডো চালিয়েছে (বা যার অ্যাকাউন্টে আপস করা হয়েছিল) তবে কনসোলে কে রুট পাসওয়ার্ড টাইপ করেছেন তা আপনি জানেন না।

আমি সন্দেহ করি যে উবুন্টুর সিদ্ধান্তটি আংশিক সরলতার (শুধুমাত্র একটি পাসওয়ার্ড মনে রাখার স্বার্থে) এবং আংশিক সুরক্ষার স্বার্থে এবং ভাগ করা মেশিনে (ব্যবসায় বা পরিবার) শংসাপত্র বিতরণে স্বাচ্ছন্দ্যে ছিল suspect

প্রমাণীকরণের জন্য লিনাক্সের কোনও সুরক্ষিত মনোযোগ কী বা অন্যান্য সুরক্ষিত ব্যবহারকারী ইন্টারফেস নেই। যতদূর আমি জানি এমনকি ওপেনবিএসডি-তেও কিছু নেই। যদি আপনি রুট অ্যাক্সেস সম্পর্কে উদ্বিগ্ন হন তবে আপনি চলমান সিস্টেম থেকে সম্পূর্ণরূপে রুট অ্যাক্সেস অক্ষম করতে পারেন: আপনি যদি রুট হতে চান তবে আপনাকে বুটলোডার প্রম্পটে কিছু টাইপ করতে হবে। এটি স্পষ্টতই সমস্ত ব্যবহারের ক্ষেত্রে উপযুক্ত নয়। (* বিএসডি-র সুরক্ষিত কাজটি এটির মতো কাজ করে: উচ্চ সুরক্ষিত অংশে, এমন কিছু জিনিস রয়েছে যা আপনি রিবুট না করেই পারবেন না, যেমন নিরাপদলেভ কমিয়ে দেওয়া বা সরাসরি মাউন্ট করা কাঁচা ডিভাইসগুলি অ্যাক্সেস করা))

যেভাবে কোনও ব্যক্তি রুট হয়ে উঠতে পারে সেগুলি সীমাবদ্ধ করা সুরক্ষার পক্ষে সর্বদা লাভ নয়। সুরক্ষা ত্রিয়ার তৃতীয় সদস্য মনে রাখবেন : গোপনীয়তা , অখণ্ডতা , প্রাপ্যতা । নিজেকে আপনার সিস্টেম থেকে লক করা আপনাকে কোনও ঘটনার প্রতিক্রিয়া জানাতে বাধা দিতে পারে।

সুরক্ষিত ওপেনওয়াল জিএনইউ / * / লিনাক্স ডিস্ট্রোর ডিজাইনাররা su(মূল হওয়ার জন্য) এবং সম্পর্কেও সমালোচনা মতামত প্রকাশ করেছেন sudo। আপনি এই থ্রেডটি পড়তে আগ্রহী হতে পারেন:

... দুর্ভাগ্যক্রমে সু এবং সুডো উভয়ই সূক্ষ্মভাবে তবে মৌলিকভাবে ত্রুটিযুক্ত।

ত্রুটি suএবং অন্যান্য বিষয়গুলি নিয়ে আলোচনা করা ছাড়াও সোলার ডিজাইনার ব্যবহারের জন্য একটি নির্দিষ্ট কারণকে লক্ষ্য করে su:

হ্যাঁ, এটি রুট হিসাবে লগইন না করে "সু রুট" এর সাধারণ সিসাদমিন জ্ঞান হিসাবে ব্যবহৃত হত। যাদেরকে জিজ্ঞাসা করা হয়েছিল, তারা আসলে এই পছন্দটির জন্য একটি বৈধ কারণ নিয়ে আসতে পারে তারা এই পদ্ধতির মাধ্যমে অর্জিত উত্তম জবাবদিহিতা উল্লেখ করবে। হ্যাঁ, এই পদ্ধতির পক্ষে সত্যই এটি একটি ভাল কারণ। তবে এটিও একমাত্র। ... (আরও পড়ুন)

তাদের ডিস্ট্রোতে তারা "ডিফল্ট ইনস্টলটিতে SID মূল প্রোগ্রামগুলি থেকে সম্পূর্ণ মুক্তি পেয়েছে" (যেমন, সহ su; এবং তারা এর জন্য ক্ষমতা ব্যবহার করে না):

সার্ভারগুলির জন্য, আমি মনে করি লোকেরা পুনর্বিবেচনা করা উচিত এবং বেশিরভাগ ক্ষেত্রে ব্যবহারকারীদের দ্বারা su এবং sudo রচনাকে অস্বীকার করে। পুরানো "অ-রুট হিসাবে লগইন থেকে কোনও সুরক্ষিত নেই, তারপরে সু বা সুডোকে" সিসাদমিন "জ্ঞান" থেকে রুট করতে হবে, নন-রুট এবং সরাসরি রুট হিসাবে লগ ইন করার তুলনায় (দুটি পৃথক সেশন)। বিপরীতে, সুরক্ষা দৃষ্টিকোণ থেকে পরবর্তী দিকটিই একমাত্র সঠিক:

http://www.openwall.com/lists/owl-users/2004/10/20/6

(একাধিক সিসাদমিনের জবাবদিহিতার জন্য, আউলের মতো সিস্টেমে একাধিক রুট-সুবিধাযুক্ত অ্যাকাউন্ট থাকা সমর্থন করতে হবে))

(এক্স সহ ডেস্কটপগুলির জন্য, এটি আরও জটিলতর হয়))

আপনি একেবারে মোকাবেলা করতে হবে ...

BTW, তারা প্রতিস্থাপন ছিল suloginসঙ্গে msuloginএকাধিক রুট অ্যাকাউন্টের সাথে সেটআপ করার অনুমতি: msuloginএক ব্যবহারকারীর নামটি দিয়ে লেখা যখন একক ব্যবহারকারী মোডে যাচ্ছে না (এবং "জবাবদিহিতা" সংরক্ষণ) (এই তথ্য থেকে আসে পারবেন মধ্যে রাশিয়ান এই আলোচনা ) ।

আপনি ধরে নিচ্ছেন বলে মনে হয় যে sudoসর্বদা ব্যবহার করা পরিবেশের পরিবর্তনশীলগুলি সংরক্ষণ করে তবে এটি সর্বদা ক্ষেত্রে হয় না। সুডো ম্যানপেজের একটি অংশ এখানে দেওয়া হয়েছে:

পরিবেশের ভেরিয়েবলগুলি মোকাবেলার জন্য দুটি স্বতন্ত্র উপায় রয়েছে। ডিফল্টরূপে, env_reset sudoers বিকল্প সক্ষম করা আছে। এটি কমান্ডগুলির দ্বারা এনআইভি_চেক এবং এনভি_কিপ সুডোর বিকল্পগুলির দ্বারা অনুমোদিত ইনভোকেটিং প্রক্রিয়াটি থেকে ভেরিয়েবলের পাশাপাশি TERM, PATH, হোম, শেল, LOGNAME, ব্যবহারকারীর এবং ব্যবহারকারী নামক একটি ন্যূনতম পরিবেশ সহ কার্যকর করা হবে। পরিবেশের ভেরিয়েবলের কার্যকরভাবে একটি শ্বেত তালিকা রয়েছে।

তবে, env_reset বিকল্পটি sudoers এ অক্ষম করা থাকলে, env_check দ্বারা env_check এবং env_delete বিকল্পগুলি উত্তোলনকারী প্রক্রিয়া থেকে উত্তরাধিকার সূত্রে প্রাপ্ত কোনও ভেরিয়েবল স্পষ্টভাবে অস্বীকার করা হয়নি। এই ক্ষেত্রে, env_check এবং env_delete একটি কালো তালিকার মতো আচরণ করে। যেহেতু সমস্ত সম্ভাব্য বিপজ্জনক পরিবেশের ভেরিয়েবলগুলি কালো তালিকাভুক্ত করা সম্ভব নয়, তাই ডিফল্ট env_reset ব্যবহারের জন্য উত্সাহ দেওয়া হয়।

সব ক্ষেত্রে, () দিয়ে শুরু হওয়া মানগুলির সাথে পরিবেশের ভেরিয়েবলগুলি মুছে ফেলা হয় কারণ এগুলি ব্যাশ ফাংশন হিসাবে ব্যাখ্যা করা যেতে পারে। রুট হিসাবে চালানো হলে sudo -V এর আউটপুটটিতে sudo মঞ্জুরি দেয় বা অস্বীকার করে এমন এনভায়রনমেন্ট ভেরিয়েবলের তালিকা।

সুতরাং যদি env_resetসক্ষম (ডিফল্ট) হয়ে থাকে তবে আক্রমণকারী আপনার PATHবা অন্য পরিবেশের ভেরিয়েবলগুলিকে ওভাররাইড করতে পারে না (যদি না আপনি সেগুলি ভেরিয়েবলের একটি শ্বেত তালিকায় সংরক্ষণ করেন যা সংরক্ষণ করা উচিত)।

সবচেয়ে নিরাপদ পদ্ধতিটি কী সংরক্ষণ করার জন্য একটি শারীরিক ডিভাইস ব্যবহার করে (কমপক্ষে) 2048 লম্বা কী (পাসওয়ার্ড লগইন অক্ষম সহ) ব্যবহার করে ssh লগইন করা হয়।

আমি কেবল কিছুটা সামান্য বিষয় যুক্ত করতে চাই। (বিষয়টির জন্য প্রথমে '/ বিন / সু -' পরে এখানে দেখুন)

আমি মনে করি যে উপরোক্ত "সুরক্ষা "টিকেও আমরা যে সুরক্ষিত করতে চাইছি তার সাথে যুক্ত করা উচিত।

এটি সুরক্ষিত রাখতে চাইলে এটি পৃথক হওয়া উচিত: আমার_ডেটা, আমার_কম্পনি_ডাটা, মাই_কম্পানি_নেট ওয়ার্ক।

সাধারণত, আমি সুরক্ষা সম্পর্কে কথা বললে আমি "ডেটা সুরক্ষা" এবং ব্যাকআপ সম্পর্কেও কথা বলি। আমরা ত্রুটি-সহনশীল সিস্টেম এবং এর মতোও যুক্ত করতে পারি।

এটি দেওয়া, আমি মনে করি যে সামগ্রিকভাবে সুরক্ষা ব্যবহারযোগ্যতা, "ডেটা সুরক্ষা" এবং একটি সুরক্ষিত সিস্টেম বাস্তবায়নের প্রয়োজনীয় প্রয়াসের মধ্যে একটি ভারসাম্য।

উবুন্টুর লক্ষ্য ছিল, এবং বেশিরভাগটি এখনও চূড়ান্ত ব্যবহারকারী: সুডো ডিফল্ট।

ফেডোরা হ'ল রেডহ্যাটের বিনামূল্যে সংস্করণ যা আরও বেশি সার্ভার ওরিয়েন্টেড হয়: সুডো অক্ষম থাকত।

অন্যান্য বিতরণের জন্য আমার কাছে সরাসরি কোনও তথ্য নেই।

আমি এখনই ব্যবহার করছি, বেশিরভাগই ফেডোরা। এবং একটি পুরানো শৈলীর ব্যবহারকারী হিসাবে আমি কখনই 'su' টাইপ করি না। তবে আমি খুব স্বল্প সময়ে "/ বিন / স -" টাইপ করতে পারি যদিও আমি ঠিক টাইপবাদক নাও হই। PATH ভেরিয়েবল .. কোনও সমস্যা হওয়া উচিত নয় (আমি পথটি টাইপ করি)। এছাড়াও "-" (বিয়োগ) নীতিগতভাবে আমার ব্যবহারকারীর পরিবেশের পরিবর্তনশীলগুলি সরিয়ে ফেলতে হবে এবং কেবলমাত্র মূলগুলি লোড করা উচিত। অর্থাত্ কিছু অতিরিক্ত সম্ভাব্য ঝামেলা এড়ানো। সম্ভবত এলএস_প্রেলওডও।

বাকীগুলির জন্য আমি অনুমান করি যে @ মেটডেম বেশ সুনির্দিষ্ট ছিল।

তবে এটি সঠিক বাক্সে রাখি। ধরে নিন যে একটি স্ক্রিপ্টিং স্মার্ট কিট আমার ডেটাতে অ্যাক্সেস পেয়েছে। সে কী করতেছে বলে আপনি মনে করেন? - আমার ছবি প্রকাশ করবেন? আমার? - আমার গার্লফ্রেন্ডের নাম সন্ধান করার চেষ্টা করে তাকে বলব যে আমি পর্ণ সাইটগুলি পরিদর্শন করি?

একক ব্যবহারকারীর ছবিতে দুটি খারাপ পরিস্থিতি হ'ল: - বাচ্চা আমার সমস্ত ডেটা মুছে দেয়: মজা করার জন্য বা ভুল করে - বাচ্চাটি আমার যন্ত্রটি অন্য কোনও সত্তার উপর আরও আক্রমণ তৈরি করতে ব্যবহার করে। বা অনুরূপ লক্ষ্যগুলি

প্রথম ক্ষেত্রে, আমি উপরে উল্লেখ করেছি, নেটওয়ার্ক সুরক্ষার চেয়ে ব্যাকআপে চেষ্টা করা আরও ভাল। হ্যাঁ, আপনি সংরক্ষণ করছেন। মানে একটি হার্ডওয়্যার ক্রাশ এর চেয়ে আলাদা নয়।

দ্বিতীয় কেসটি আরও সূক্ষ্ম। কিন্তু এই ক্রিয়াকলাপ সম্পর্কে সংকেত আছে। যাই হোক না কেন, আপনি সম্ভবটি করতে পারেন, তবে আমি আমার হোম পিসি একটি সন্ত্রাসবাদী আক্রমণ থেকে রক্ষা করার জন্য কনফিগার করব না!

অন্যান্য পরিস্থিতিতে আমি এড়িয়ে যাব।

চিয়ার্স এফ

যদি উদ্বেগের বিষয়টি হ'ল কোনও আপোস করা ব্যবহারকারীর অ্যাকাউন্টটি ব্যবহার করা পাসওয়ার্ড শোঁকার জন্য sudoবা তার জন্য ব্যবহার করা যেতে পারে এবং suতারপরে sudoএবং এর জন্য ওয়ান-টাইম পাসকোড ব্যবহার করুন su।

আপনি রিমোট ব্যবহারকারীদের জন্য কী ব্যবহার করতে বাধ্য করতে পারেন, তবে এটি সম্মতিমূলক উদ্দেশ্যে মस्टरকে পাস করতে পারে না। এটি কোনও এসএসএইচ গেটওয়ে বাক্স সেটআপ করা আরও কার্যকর হতে পারে যার জন্য দ্বি-গুণক প্রমাণ দরকার হয়, তারপরে সেখান থেকে কী ব্যবহারের অনুমতি দিন। এই জাতীয় সেটআপের জন্য এখানে ডক: আপনার এসএসএইচ স্থাপনাকে উইকআইডিআইডি দ্বি-গুণক প্রমাণীকরণের মাধ্যমে সুরক্ষিত করুন ।

আপনি প্রাইভেসিআইডিএও একবার দেখে নিতে পারেন , যা আপনাকে কেবল মেশিনে লগইন করার জন্য (বা su / sudo করার জন্য) ওটিপি ব্যবহারের সম্ভাবনা সরবরাহ করে না তবে এটি ওটিপি অফলাইনেও করতে পারে।

তদতিরিক্ত এটি আপনার এসএসএইচ কী পরিচালনা করতে সক্ষম। অর্থাৎ আপনার যদি অনেকগুলি মেশিন এবং বেশ কয়েকটি রুট ব্যবহারকারী থাকে তবে সমস্ত এসএসএইচ কীগুলি কেন্দ্রীয়ভাবে সংরক্ষণ করা হয়। সুতরাং কোনও এসএসএইচ কীটি "প্রত্যাহার" / মুছে ফেলা সহজ, যদি কীটি আর বিশ্বাস করা না যায়।

অবশ্যই সিস্টেমকে সুরক্ষিত করার জন্য সাংগঠনিক কাজ এবং কর্মপ্রবাহ রয়েছে।