Strona 1 z 1
Jak wymusić logowanie na konto użytkownika a nie roota?
: 20 lutego 2009, 09:03
autor: xmaster
Witam.
Mam serwer na Debianie Etch. Łączę się z nim przez SSH.
Ze względów bezpieczeństwa chcę aby logowanie na konto roota było możliwe dopiero po zalogowaniu się na konto użytkownika.
Czyli najpierw loguję się na swoje konto, a potem na roota.
Po co mi to?
- Zwiększa bezpieczeństwo bo najpierw trzeba się włamać na konto z inną nazwą niż root.
: 20 lutego 2009, 09:49
autor: Rad
Przejrzyj konfig ssh, będziesz miał tam coś takiego jak PermitRootLogin, ustaw na no.
: 20 lutego 2009, 09:54
autor: lis6502
Nigdy czegoś takiego nie robiłem, ale wydaje mi się to bezcelowe. Dlaczego? Wyobraź sobie, że ktoś Ci skompromitował konto zwykłego użytkownika, powiedzmy zmienił hasło. Jak teraz wejdziesz na konto roota i odkręcisz to? Wydaje mi się, że w opcjach ssh można wyłączyć zdalne logowanie na konto roota ale też nie o to nam chodzi.
Osobiście wolałbym zastawić pułapkę, jak to się mówi; wyraz twarzy ,,hakiera'' gdy zorientuje się co się dzieje - bezcenne. Edytujesz /etc/passwd (zrób kopię zapasową) i jako powłokę ustaw jakiś wesoły program, albo chroot, albo rozłączenie delikwenta, tutaj pole do popisu dla Twojej wyobraźni. W każdym razie zmieniasz UID i GID na jakiś wyższy od 0.
Zakładasz za to nowego użytkownika, i tutaj bardzo ważna jest nic nie mówiąca nazwa, na przykład ,,owieczka'', ,,l2X9iuN4'' i w /etc/passwd ustaiwad jego UID i GID na... 0. Efekt? Konto roota można spokojnie przejąć.
: 20 lutego 2009, 10:05
autor: Yampress
Możesz jeszcze nadać uprawnienia logowania do serwera ssh tylko dla wybranych użytkowników, grup lub powiązania użytkownika z miejsca z jakiego się loguje w konfigu ssh.