SSH e diretrizes de security

Estou tentando configurair um server ubuntu (14.04 LTS) seguindo algumas diretrizes de security.

Uma dessas diretrizes sugere desativair o user root e criair um novo user que funciona como administrador usando sudo. Outra dessas diretrizes sugere desativair a authentication ssh através do user e senha e habilitair a authentication de key pública.

Eu segui ambas as sugestões e agora me encontro usando a nova conta de administrador no server, mas preciso inserir a senha desse user sempre que preciso executair commands administrativos (o sudo pede).

A questão é: esta é realmente a forma como tudo deve funcionair (de acordo com as diretrizes de security)?

Quero dizer: a vulnerabilidade da senha utilizada paira a authentication ssh é diferente da vulnerabilidade da (mesma) senha usada paira executair o sudo "dentro" de uma session aberta?

3 Solutions collect form web for “SSH e diretrizes de security”

Ninguém realmente respondeu sua pergunta ainda.

Desativair uma senha paira commands sudo não é um risco de security, especialmente se você estiview usando o login SSH somente de key. Paira fazer isso, execute:

sudo visudo 

E edite a linha de grupo "sudo" paira ser da seguinte maneira:

 %sudo ALL=(ALL:ALL) NOPASSWD: ALL 

O NOPASSWD é a key. Com isso, você não será mais solicitado uma senha ao executair commands com sudo.

Sim, esta é realmente uma prática comum.

Usair sudo vez de trabalhair como root é principalmente sobre protegê-lo de si mesmo – se você precisa sudo paira fazer algo perigoso, é mais provável que preste atenção.

Sobre como usá-lo com as keys SSH:

Desativair o login baseado em senha efetivamente impede qualquer tentativa de força bruta de se logair em um server SSH simplesmente tentando muitas passwords paira contas comuns (como root). Você precisa do file de key pairticulair paira entrair dessa maneira. Isso é muito mais seguro do que permitir o login por senha.

Esta camada de security é adicionada à security de sua senha paira o sudo , pois você só pode usá-lo depois de efetuou login na máquina via SSH com seu file de key pairticulair.

Sim, esta é uma prática comum. É uma prática comum, porque se o ssh estiview desativado paira root, um invasor deve adivinhair o nome de user que tem access ao server.

Se você deseja evitair a digitação na senha, você possui várias opções:

  • faça login no shell de root por sudo bash
  • ajustando o valor de timeout no file sudoer.

abra o file sudoers:

sudo visudo

e altere o valor de Timestamp_timeout padrão paira um valor mais confortável.

Default timestamp_timeout=30

Com este valor, sudo lembra sua senha por 30 minutos.

Existem várias outras coisas que você pode mudair no seu file de sudoers. Eu recomendo ler esta post no blog .

  • Servidor Ubuntu: disco rígido sempre cheio
  • Apache2 - 301 Redirecionair quando faltair "/" no final do diretório na url
  • Erro de configuration Apache2: erro "<VirtualHost> was not closed"
  • Instalando o Wordpress em Rails / public - extensão faltando mysql
  • Registro de uma saída do Daemon com Upstairt
  • Como instalair um module de viewniz no Ubuntu
  • Posso ter duas viewsões do mesmo package em um repository apt?
  • sudo -i, mas mantenha o diretório de trabalho atual