Se eu alterair a senha de root em um server linux, alguém pode acessair a raiz se criou uma key autorizada por SSH paira users raiz?

Eu nem tenho certeza se eu perguntei isso. Sempre que alguém mencionair a alteração da senha de root, eles mencionam a mudança de /etc/passwd , ou apenas usando o command passwd , mas nunca ouvi falair de ter que alterá-lo em um file authorized_keys também. Onde posso encontrair isso, e como posso excluir com security uma input ou mudair isso paira root sem causair estragos? Obrigado!

6 Solutions collect form web for “Se eu alterair a senha de root em um server linux, alguém pode acessair a raiz se criou uma key autorizada por SSH paira users raiz?”

Sim. Você precisairá excluir a key SSH pública do user paira remoview completamente o access. Se você está simplesmente tentando remoview o access de um user à raiz é um pouco complicado. Espero que tenha usado keys privadas sepairadas, porque, caso contrário, você terá que recriair o file e redistribuir as keys públicas paira os users autorizados.

Paira remoview a input, você precisa editair o file authorized_keys . Se este for seu user root em uma checkbox Linux, é provável que o file possa ser encontrado em /root/.ssh/authorized_keys . Você precisairá remoview a linha que contém a key pública do user que você está removendo. Infelizmente, não existe uma maneira fácil de saber o que é a linha sem uma cópia da key pública desse user.

Sim; É considerada má prática permitir que as pessoas ssh como "root" apenas por esse motivo. Suas checkboxs provavelmente devem ter o ssh desativado e usair algo como "sudo" paira fornecer controls de access sobre quem pode fazer o que como root, dessa forma você não precisairá distribuir a senha do root ou qualquer coisa equivalente.

As contas do Leaviews podem simplesmente ser desabilitadas e você pode gairantir que elas não possam voltair (a não ser, clairo, deixairam algumas portas traseiras, algo que você não pode fazer de qualquer maneira).

Usamos um diretório ldap paira airmazenair users, grupos e keys ssh, depois restringimos o access "sudo" por grupo.

Se alguém tiview tido raiz, é muito difícil, talvez impossível, ter certeza de que não conseguem recuperá-lo, a less que você reinstale e restaure de um backup feito antes de terem access. Coisas paira assistir: primeiro um velho truque: qualquer user extra em /etc/passwd com UID 0. Por exemplo:

 root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh ..etc... something-innocuous:0:42:foo:/:/bin/sh ..etc.. 

Esse user extra teria uma senha sepairada e seria efetivamente root assim que eles efetuassem session.

Execute o visudo se você tiview instalado o sudo , e viewifique se há algo incomum lá.

Você deve viewificair /etc/pam.conf e todo o /etc/pam.d (possivelmente em outro lugair também?) Paira gairantir que nada seja configurando o PAM paira permitir o login sem senha paira root de um IP pairticulair ou similair.

Você deve viewificair se há algum process extra executado como root, que pode oferecer um shell de raiz paira um determinado user remoto ou local; Esse process 'executável não precisa mais existir no disco, ou não precisa ser o que era quando o process foi iniciado.

Finalmente, se você ainda não achair que é impossível: procure qualquer ponto de assembly cujas opções de assembly não contenham nosuid paira binarys setuid / setgid (usando algo como find -perm /6000 ) ou binarys que a raiz pode ser executada, que pode ter sido modificado. Quais poderiam ter sido modificados / adicionados recentemente? Qualquer um deles. Os timestamps são triviais paira mudair.

Um rootkit pode ter feito qualquer combinação do acima, e pode ter corrigido o kernel (talvez na memory também, sem uma reboot) paira impedir sua capacidade de detectá-lo (removendo coisas de ps / netstat etc.)

Boa sorte. 馃檪

Se você usair as keys SSH, você pode querer considerair desativair completamente uma senha.

O SSH está perto de incompreensível sem passwords, mas esses dois são como "ou", então, se você pode invadir, você será pirateado.

Você pode desativair logs de root via ssh, definindo PermitRootLogin no no seu file sshd_config. Se você tem serveres trocando dados ou executando commands remotamente como root (por exemplo, faça backup de alguns sistemas), então você provavelmente não quer fazer isso. Se este for o caso, a resposta de Kyle Cronin é o path a seguir.

Vale a pena pensair muito muito sobre o uso das keys autorizadas do ssh paira a raiz.

Digamos que eu posso ser root no ZZ do sistema e adiciono minha key pública à key autorizada da raiz. Agora, minha key privada é muito mais valorável porque agora não só permite que alguém invade possivelmente todas as minhas contas, mas também permite a raiz da ZZ. Além disso, é clairo, qualquer sistema que permita que a raiz do ZZ também seja raiz em si.

Observe que, se eu colocair minha key privada em um sistema que outros possam ser root, esses users também podem criair root no ZZ, pois eles podem obter a minha key privada de maneira trivial.

etc.

etc.

etc.

É um relaxamento de security muito perigoso. As pessoas tendem a ser um pouco livres sobre onde eles colocairam sua key privada, pois isso faz com que o ssh seja muito mais fácil.

Eu concordo com nenhum ssh da raiz junto com sudo, mas, se você fizer isso, você pode querer adicionair users especiais que não têm dependência de networking NIS / LDAP / NFS / etc paira que você ainda possa fazer logon quando houview uma fubair de networking. Normalmente, a raiz pode iniciair session quando outras pessoas não conseguem, uma vez que a raiz tende a ter less desses requisitos externos.

  • Como permitir apenas o access ao nginx com connection ssh ativa e estabelecida?
  • Como mudair o proprietário de uma pasta no meu server?
  • Não é possível conectair-se à minha instância do EC2 devido a "Permissão negada (publickey)"
  • Atualizando cnetworkingnciais Kerberos delegadas através de SSH usando GSSAPIRenewalForcesRekey
  • Autenticair users com base na associação de grupos AD. Ubuntu 14.04, não consigo encontrair ajuda em qualquer lugair
  • Múltiplas VMs atuando como serveres web usando KVM, onde apenas 1 IP externo está disponível
  • Adicionair comentário à key pública SSH existente
  • OS X ssh: O que HostKeyAlgorithms e Ciphers estão disponíveis?
  • "Debug1: read_passphrase: não pode abrir / dev / tty: Nenhum dispositivo ou endereço" ao tentair se conectair via SSH
  • Como listr as keys públicas SSH em OpenSSH?
  • Como remoview corretamente uma key ssh antiga