Protegendo conta admin do sistema

Navegue suas respostas
4

Como é bem conhecido, é recomendável que o administrador do sistema faça o login no sistema usando um usuário normal (não-raiz). Quando o administrador precisa realizar tarefas privilegiadas, sudo pode ser usado para se tornar superusuário. Antes de obter os privilégios solicitados, o administrador será solicitado a inserir a senha do SAME usada no primeiro login.

Eu queria saber se é possível configurar o sistema para solicitar ao usuário uma senha diferente ao fazer sudo . Então, o usuário terá duas senhas. A primeira senha fornecerá acesso à sessão SSH. A outra senha (não a mesma) será usada para obter privilégios de administrador (root).

Isso é possível? Eu acho que isso irá adicionar mais segurança ao sistema. Você concorda?

BTW, isso será semelhante ao controle de acesso usado pelos dispositivos Cisco. Primeiro, o login do administrador usando uma senha. Então, acessar o modo "enabled" (privilegiado) requer outra senha (pode ser senha diferente ou igual).

    
por Khaled 28.11.2010 / 14:12

2 respostas

8

O SSH por meio de uma senha é menos seguro que o SSH com um certificado DSA / RSA. Crie um certificado com uma senha. Então, dê à conta de administrador do sistema uma senha diferente.

Você só poderá fazer o login via SSH se tiver o certificado E souber a senha associada a ele.

Você pode então usar uma senha diferente para executar o sudo (a senha do usuário).

Isso lhe dá muito mais segurança!

Lembre-se de usar frases secretas e não senhas também. A diferença sendo uma frase secreta é composta de muitas palavras (mais de 20 caracteres). Quanto mais longa for a senha, mais tempo levaria para interromper os ataques de dicionário.

Para criar um certificado:

  • digite ssh-keygen em um terminal e siga as instruções (fornecendo um nome de arquivo exclusivo e digite sua senha)
  • copie a chave pública no servidor que você está administrando usando ssh-copy-id -i caminho / para / your / sshkey.pub
  • Agora, faça logon no servidor e desative a autenticação de senha em / etc / ssh / sshd_config e reinicie o serviço sshd
por tommed 28.11.2010 / 14:44
0

Você pode querer usar su root em vez de sudo , mas recomendo seguir a resposta que o tommed forneceu.

    
por hudolejev 28.11.2010 / 15:14

Tags

Definir o navegador padrão para o navegador OPEN Como disparar manualmente o fsync ()?