Tentando entender a segurança de uma instalação padrão do Mint

1

Eu algumas áreas, estou gradualmente me acostumando ao linux, mas em outros (como este) eu ainda estou 99% noob. Como refugiado do XP, usei o Mint e agora estou no 18 Sarah.

Eu não estou preocupado em proteger a máquina dos meus dedos gordos, nunca faço login como root. Não estou preocupado em proteger a máquina de outras pessoas em minha casa, confio nelas. Estou preocupado em deixar a máquina ligada 24 horas por dia, conectada à rede, visitando fóruns, usando transmissão e sendo atacada de fora.

A instalação padrão do Mint faz com que a primeira conta seja sudoer, e o sudo requer a mesma senha que a conta. Então, com o meu nome de usuário fácil de adivinhar, apenas uma senha é necessária para mexer com a máquina.

Ao tentar configurar o NFS / Samba / SSH etc, li vários avisos (alarmistas?) sobre segurança. Muitas das melhorias envolvem coisas como o squashing root, o que requer a adivinhação de duas senhas em vez de uma antes de se conseguir mexer remotamente com uma máquina. O que soa bem.

Descobri que colocar a linha 'Defaults rootpw' em sudoers faz com que o sudo exija a senha do root em vez da senha do usuário. Isso aparentemente melhora a segurança ao precisar de duas senhas para material administrativo.

No entanto, ainda existe uma conta na máquina com o nome fácil de adivinhar 'root' que requer apenas uma senha para causar danos.

O argumento do ubuntu para uma conta raiz desativada é projetado para resolver apenas essa falha. Um site do Ubuntu diz que se você ativou o root acidentalmente, desative-o novamente usando sudo passwd -dl root.

O que soa bem, exceto que isso não removeria a senha de root que o Defaults rootpw requer agora, melhorando a segurança da conta raiz, mas degradando a conta do usuário / sudoer de volta para exigir apenas uma senha?

Estou relutante em experimentar a desabilitação do root enquanto estiver com o conjunto padrão Defaults rootpw, não quero arriscar serrar o galho em que estou sentado, mesmo que tenha acabado de fazer um backup completo.

É o caso do Mint sempre ter uma conta com apenas uma única senha para adivinhar, ou existe uma maneira de colocar duas senhas no caminho de um invasor externo, como Defaults rootpw parece fazer, mas não faz.

    
por Neil_UK 28.11.2016 / 18:45

1 resposta

0

Embora haja alguma verdade no que você está dizendo, é importante notar que não se deve fazer login como root diretamente.

Na prática, isso está relacionado a uma linha em sshd_config , ou seja, PermitRootLogin . Isso não deve ser simplesmente definido como yes se você quiser melhorar a segurança.

Por tanto tempo quanto me lembro tanto na mint, outras distribuições linux, quanto no FreeBSD, A prática usual é logar como um usuário normal, então sudo ou su para usar a conta root.

Combine isso com sua própria pesquisa ( Defaults rootpw ), e o resultado é que, embora ambos os nomes de usuários sejam facilmente conhecidos, duas senhas são necessárias.

Quando se trata de comportamento padrão, o Mint 18 permite o login root via SSH, mas somente via autenticação sem pasword, conforme indicado pela linha PermitRootLogin prohibit-password . Isso ativa métodos de login, como chaves privadas / públicas, e desativa qualquer capacidade de forçar a senha do root.

    
por 28.11.2016 / 21:17