SSH jen root
Karel Salavec
karels na pc163.gr.ph.ct.cz
Čtvrtek Duben 25 12:28:19 CEST 2002
Dne čt 25. duben 2002 11:29 jste napsal(a):
> On Thu, 25 Apr 2002, Zdenek Mazanec wrote:
> > > BTW: vytvorte si bezny uzivatelsky ucet, pro ktery si povolite pristup
> > > pres ssh a prihlasovani roota zakazte. Pokud se budete chtit prihlasit
> > > na roota, pouzijete 'su'.
> >
> > DP,
> > u stanice bych tenhle nazor pochopil, ale je pro tento postup rozumny
> > duvod i na serveru (tento pripad) kde se evidentne predpoklada, ze se
> > dotycny hlasi kvuli tomu, aby administroval?
>
> No ja toto pravidlo aplikuji prave jenom na serverech, ale musim se
> priznat, ze uz to je pro mne pouze pravidlo :-(. Vim, ze mi to
> bylo durazne doporucovano, ale zapomel jsem proc a kdyz o tom nyni
> premyslim, tak mne moc duvodu nenapada. Mohl by to nekdo prosim vysvetlit?
> Pripadne vyvratit?
Videl bych tri duvody:
1. V pripade nejake implementacni chybky (a ze to tu uz bylo) se utocnik
nedostane primo na roota, ale jen na nizsiho uzivatele
2. Moznost vyuzivani onetime hesel (root byva u vetsich systemu sdileny-
uzivany vetsim pocet spravcu) kuprikladu generovanych pres nejakou smart kartu
3. Jednodussi dohledavani z logu. Kdyz je vynuceno su, snadno zjistite, kdo
ho udelal. IP adresa nemusi byt jednoznacna - jsem na cestach a prihlasuji se
z ciziho pocitace, ...
Karel
Další informace o konferenci Linux