Por que somos aconselhados a não entrar no SSH como Root [duplicate]?

Dois pontos: 1.) Como Raiz está sempre lá, e o ganho seria tão alto, é provável que um eventual ataque de força bruta ocorra contra a raiz. Para outros usuários, o nome de usuário teria que ser adivinhado primeiro. E então os usuários teriam que ter permissões. Fazer a força bruta simplesmente não vale o esforço.

2.) Ninguém deve logar como root, e você só deve usar o sudo para fazer comandos privilegiados. Portanto, não há motivo para efetuar login na raiz.

== > ganho provável, sem perda na raiz de desabilitação no ssh.

Há também o aspecto do registro. Quando você su ou sudo, ele irá registrar seu nome de usuário, enquanto se você registrar o ssh como root, apenas o seu endereço IP será registrado. Enquanto você normalmente será capaz de correlacionar um endereço IP com um determinado usuário, ainda é muito mais revelador ter o nome de usuário registrado.

O que a posipiet disse, mais: significa que dois conjuntos de informações confiáveis são necessários para obter acesso root, não apenas um; a senha raiz por si só se torna inútil e só pode ser aproveitada junto com uma conta de usuário comum (e se o acesso à su for restrito, somente ao lado de uma conta de usuário confiável).

bem, todo mundo sabe que 'root' (o nome de usuário) é o administrador da sua caixa, portanto, ao negar acesso remoto 'root' ao ssh em sua caixa, você está tornando um pouco mais difícil para os hackers entrarem em seu caixa desde agora eles terão que adivinhar um nome de usuário em sua caixa.

1. Como root, vi / etc / ssh / sshd_config

2. Lá, encontre (ou crie) uma linha que leia

Citação

PermitRootLogin no

A linha PermitRootLogin no é a mais importante. Note que não há # na frente dele.

3. Depois de ter feito essas alterações, salve o arquivo (esc: wq).

4. Reinicie o sshd (reinicialização do serviço sshd).

Com esta raiz de linha não pode ssh na caixa. Para se tornar root, ssh como usuário normal, use su - para se tornar root depois de logado.

O objetivo é duplo:

1. Ao desativar o SSH raiz, os invasores precisam agora adivinhar senhas e contas. (você também pode simplesmente desabilitar totalmente as senhas e confiar na PKI ...)
2. Ao desativar o SSH raiz, temos um método de identificação e registro mais strong. Portanto, se auditarmos o servidor após um ataque, poderemos ver não apenas qual IP está logado, mas com as credenciais de quem. Alguns locais até mesmo desativam o SU e exigem que os administradores usem o sudo, o que reduz as chances de as pessoas deixarem uma janela de terminal aberta a um ataque de passante e gera mais dados de registro sobre quem fez o quê.

"root" tem quase um status religioso no mundo da administração de servidores unix / linux quase inteiramente por causa do histórico de uso de sistemas operacionais como sistemas multiusuários . Quando a sua empresa, departamento ou faculdade tinha um servidor, o conceito de ser todo poderoso entre dezenas ou centenas significava algo.

Agora, especialmente em ambientes modernos de virtualização e / ou tipos de nuvem, seu medo é quase totalmente residual. Cada vez mais nossos servidores não são apenas usuários únicos, eles são aplicativos únicos, vinculados por meio de serviços de rede. Isto é especialmente verdadeiro em clusters da web, seus servidores apache são seus servidores apache, seus servidores mysql são seus servidores mysql, quase não importa se você os executou no modo de usuário único e tudo como root.