SSH e diretrizes de segurança

1

Estou tentando configurar um servidor Ubuntu (14.04 LTS) seguindo algumas diretrizes de segurança.

Uma dessas diretrizes sugere desativar o usuário root e criar um novo usuário que trabalhe como administrador usando o sudo. Outra dessas diretrizes sugere desabilitar a autenticação do ssh através de usuário e senha e habilitar a autenticação da chave pública.

Eu segui as duas sugestões e agora me vejo usando a nova conta de administrador no servidor, mas precisando inserir a senha para esse usuário toda vez que eu precisar executar comandos administrativos (o sudo pergunta por ele).

A pergunta é: é realmente assim que tudo deve funcionar (de acordo com as diretrizes de segurança)?

Quero dizer: a vulnerabilidade da senha usada para a autenticação ssh é diferente da vulnerabilidade da (mesma) senha usada para executar o sudo "dentro" de uma sessão aberta?

    
por Roger 71 21.08.2015 / 11:59

3 respostas

1

Ninguém realmente respondeu à sua pergunta ainda.

Desativar uma senha para comandos sudo não é um grande risco de segurança, especialmente se você estiver usando o login SSH somente de chave. Para fazer isso, execute:

sudo visudo

Edite a linha do grupo "sudo" da seguinte forma:

%sudo  ALL=(ALL:ALL) NOPASSWD: ALL

O NOPASSWD é a chave. Com isso, você não receberá mais uma senha ao executar comandos com o sudo.

    
por 21.08.2015 / 17:46
1

Sim, esta é realmente uma prática comum.

Usar sudo em vez de trabalhar como root é basicamente proteger você de você mesmo - se você tiver que usar sudo para fazer algo perigoso, é mais provável que você preste atenção.

Sobre usá-lo com chaves SSH:

Desativar o login baseado em senha impede efetivamente qualquer tentativa de força bruta de fazer login em um servidor SSH, simplesmente tentando várias senhas para contas comuns (como o root). Você precisa do arquivo de chave privada para fazer o login dessa maneira. Isso é muito mais seguro do que permitir o login por senha.

Esta camada de segurança é adicionada à segurança da sua senha para sudo , já que você só pode usá-la depois de efetuar login na máquina via SSH com seu arquivo de chave privada.

    
por 21.08.2015 / 12:37
0

Sim, esta é uma prática comum. É uma prática comum, porque se o ssh estiver desabilitado para o root, um invasor terá que adivinhar o nome de usuário que tem acesso ao servidor.

Se você quiser evitar digitar a senha, você tem várias opções:

  • faça login no shell raiz por sudo bash
  • aprimorando o valor de tempo limite no arquivo sudoer.

abra o arquivo sudoers:

sudo visudo

e altere o valor de timestamp_timeout padrão para um valor mais confortável.

Default timestamp_timeout=30

Com esse valor, sudo lembre sua senha por 30 minutos.

Existem várias outras coisas que você pode alterar em seu arquivo sudoers. Eu recomendo ler esta postagem no blog .

    
por 21.08.2015 / 12:52