这是一个创建于 2593 天前的主题,其中的信息可能已经有所发展或是发生改变。
如果 SSH 仅允许密钥登录,单从防止破解入侵方面的安全性来说,有必要禁用 ROOT 登录吗?
请各位大佬解惑
第 1 条附言 2018-11-24 22:09:27 +08:00
我的意思是只允许密钥登录,那么用 root+密钥 登录相对 禁用 ROOT+密钥 登录来说足够安全么?
 | 1 honeycomb 2018-11-24 21:37:02 +08:00 via Android 有需要的话就做,因为两者不是同一个方面的保护 |
 | 2 shangfabao 2018-11-24 21:38:53 +08:00 via Android 不相干的,密钥用户权限一般都是 ROOT |
| 3 shangfabao 2018-11-24 21:43:24 +08:00 @shangfabao 不相干的,密钥用户权限一般都不是 ROOT |
 | 4 lfzyx 2018-11-24 21:46:32 +08:00 没必要 |
 | 5 likuku 2018-11-24 21:54:04 +08:00 你能保证 迷钥 绝对不会外泄么?世上没有绝对的安全。 |
 | 7 cnfzv OP @shangfabao 我意思是说只允许密钥登录,那么用 ROOT 登录单从防止破解入侵方面来说足够安全么 |
 | 8 dot2017 2018-11-24 22:11:58 +08:00 我觉得没必要 |
 | 9 xiaqi 2018-11-24 22:15:17 +08:00 via Android  1 之前有 v 友说来着,对于安全防护,从来都不要嫌多。因为,你如何确保 root 登录验证部分始终没有漏洞?也许是还有的没有被人发现?就想当年的 bash 漏洞,谁会想到,这玩意竟然有漏洞? 另外,如果是 root 直接登录然后不切换普通用户就执行软件命令的更加需要禁止 root 登录了。 |
| 10 shangfabao 2018-11-24 22:16:06 +08:00 1 @cnfzv 没有完全的安全,但是允许 root 登录过不了安全检测这一关,另外禁用 root 就是你什么用户登录你自己的账户干自己的事,上去就是 ROOT 用户,万一 RM -RF 了呢? |
 | 11 xpresslink 2018-11-24 22:16:43 +08:00 1 理念上说就不应该直接用 root 账号来操作,应该建一个其它账号授给必要的 sudo 权限。 把 root 登录禁用肯定会更安全一些,其它账号就很难猜出来。 从我们生产的运维实践来说,通常为了安全要设置防火墙用 IP 白名单来限制访问。 |
 | 12 Tink PRO 从来不用 root 登陆 |
| 13 likuku 2018-11-24 22:29:21 +08:00 |
 | 14 nosay 2018-11-24 22:32:15 +08:00 一般来说,通过修改端口,禁 ROOT,强密码,在应对破解这方面就已经够用了。 而通过密钥登陆,虽然安全性得到进一步提升,但是却失去了密码的便利。如果在讨论是否禁用 ROOT 带来更大的提升,就有些执念了。 所以最终我选择了堡垒机.... |
| 15 likuku 2018-11-24 22:33:41 +08:00 @shangfabao 想起还有常见的状况: 一些人开了终端登陆到服务器上,终端不关闭,也不锁屏,就离开工位作其它事, 若你是 root 登陆的,此时任何人在电脑前都可以直接用终端以 root 身份作一切事情了。 |
| 16 likuku 2018-11-24 22:37:33 +08:00 再次感慨 aws 的 ec2 主机,假若用 AMI ( Amazon 自己作的系统镜像) 初始化的, 只提供密钥登陆,只提供一个非 root 账户 (主机运行前根本不提供你开设其它账户的功能) |
 | 17 rogwan 2018-11-24 22:38:47 +08:00 via iPhone root + 16 位密码,和 4 为用户名 **** + 12 位密码。被破解的概率是一样的吗? |
| 18 rogwan 2018-11-24 22:39:11 +08:00 via iPhone 位 |
| 19 likuku 2018-11-24 22:46:51 +08:00 |
 | 20 liuxu 2018-11-24 22:58:13 +08:00 via Android 既然大家这么在意安全,是不是该把你们的 selinux 设置好 我的服务器是 root 加秘钥,禁止密码登录 |
 | 21 bellchu 2018-11-24 23:33:39 +08:00 passwd root -l 难道不是每次做好系统的第一步吗? |
 | 22 brotherlegend 2018-11-24 23:53:36 +08:00 via Android 就怕你自己 rm /* -rf |
 | 23 ETiV 2018-11-25 00:23:06 +08:00 redis 漏洞了解一下~ 如果没禁止 root 登录,可以通过这个漏洞加 key,进而完成登录 |
 | 24 hzwjz 2018-11-25 02:39:57 +08:00 via Android 如无必要,完全不用 root 登录,实在不行,那就 sudo -i 切过去也行 |
 | 25 radc 2018-11-25 02:52:48 +08:00 root 的意义不单单是防止暴力破解, root 的意义在于, 任何一台服务器上, 都有一个叫做 root 的用户 不禁止的话 可以用这个 *已知的* 用户名暴力破解 诚然 key 登录基本没有可能暴力破解, 但是都设置 key 了, 改一下 sshd 配置不好吗?每天看着 log 里尝试登录的错误报告也不好吧.... |
 | 26 wwhc 2018-11-25 03:13:11 +08:00 一定要禁止 root 登录,即使使用密钥登录,也应许可普通帐号密码登录,而且也一定要改用非默认端口 |
 | 27 t6attack 2018-11-25 03:46:57 +08:00 按我自己的习惯,低权限操作碍手碍脚,不能忍。 我的配置方法是:比如我想以 t6attack 为名登录. win 服务器:把 administrator 改名为 t6attack,另外新建个 administrator,给 guest 权限。远程桌面只允许 t6attack 登录。 linux 服务器:新建个用户 t6attack,将其等同于 root 权限,相当于 root 的别名。ssh 只允许这个用户名登录。禁止 root 登录。centos 5/6 都能做到,7 还没研究过。 这样登进去,既是最高权限,又不是用原名,有效防止暴破。 |
 | 28 jorneyr 2018-11-25 07:28:55 +08:00 我们不管啥都是 root 登录, 运维给的, 嘎嘎 |
 | 29 msg7086 2018-11-25 07:34:58 +08:00 现在所有的服务器都是 root 登录,root 权限做所有的操作。 我登录服务器本来就是上去管理的,所有的操作都是特权操作,用普通账号登录以后再 sudo 和直接 root 登录没有一毛钱的区别,就不多给自己添堵了。 @radc 设置成禁止密码登录以后,暴力破解连输密码的机会都没有,根本无法尝试爆破,也不会留下密码错误的报告。 |
 | 31 lrh3321 2018-11-25 07:58:07 +08:00 via Android 配置好以后就不使用 root 用户了。 |
 | 32 isCyan 2018-11-25 08:02:24 +08:00 via Android 一个人使用的话,root 也无妨,毕竟只有一个超级管理员。 但是密钥登录一定要上 |
 | 34 zealzz 2018-11-25 08:36:32 +08:00 via Android 直接禁用密码登陆,只允许公钥登陆。并且登陆的是非 root 用户,顺便把 22 端口也改了。暴力破解概率为 0。公钥就算公布给别人也没啥影响。 |
 | 35 BOYPT 2018-11-25 13:14:36 +08:00 PermitRootLogin without-passwor 能默写的配置 |
 | 36 realpg PRO 允许 root 和不允许 root 的安全风险不取决于密码泄露什么的 主要是不允许 root 首先你获取用户名就有难度了…… |
 | 37 Dk2014 2018-11-25 17:59:18 +08:00 取决于你服务器上东西的价值 像我这种上面基本没啥重要的,最多改个只允许密钥登录 |
 | 38 wizardoz 2018-11-26 09:36:17 +08:00 两回事! 就算禁用了远程登录,你也不应该用 root 登录。 很多软件发现是 root 用户,直接不予启动,IRC 发现用户名是 root 会直接把你踢掉。这就是在提醒大家不要直接使用 root 用户! |
Select Language