почему не принято в ssh входить рутом?

хотябы потому что надо сначала юзера поломать, а потом уже рута. т.е. двойная работа

и все? Зато юзера если сломал - рута сломать легче, попарсить баш хистори, + можно найти кучу локальных дыр. А юзера сломать легче, так как он может быть задействован в различных сервисах (ftp, email и т.п.)

Зато есть время, можно заметить необычную активность/необычное время и место, откуда происходит вход. А сломали рута все, все бастионы пали.

Теорию вероятности ты не учил, это ясно. Просто подумай над своими словами, а?

Усложняется брутфорс. Вначале нужно "отгадать" имя пользователя, потом подобрать пароль и только потом уже что-то с рутом делать. Примера ради выстави машину с внешним IP в интернет и посмотри где-нить через неделю логи ;) поймешь почему нельзя руту давать доступ сразу по ssh ;)

2sdio:

зря вы так - учил, просто хочется поразмышлять спокойно, без всяких нервов :)

вот смотрите сами, рутом входит только один человек (брутфорс не возможен так как пароль сложный), а юзерами входит много людей - и пароли у них могут быть простейшие - их не проконтролируешь. Так как в этом случае гласит теория вероятности?

да, и лучше еще изменить стандартный порт на котором sshd слушает.

Юзеры уже есть, а ты к ним добавил еще одного -- root'a
Т.о. увеличил вероятность взлома системы.

> вот смотрите сами, рутом входит только один человек (брутфорс не возможен так как пароль сложный), а юзерами входит много людей - и пароли у них могут быть простейшие - их не проконтролируешь.

1. Имена пользователей - не являются стандартными. Их еще нужно угадать (о чём уже говорили).

2. Хорошая программа для смены паролей (напр. passwd) проверяет вводимый пользователем пароль на стойкость. Пароли минимальной длины, а также словарные слова вызывают сообщение об ошибке.

3. Аутентификацию пользователей можно вести по ключу, что является предпочтительным. Пользователь тогда имеет только парольную фразу, расшифровывающую ключ + сам ключ, который выдает ему админ.

4. Даже взломанный пользовательский аккаунт - еще не самое страшное. Многие системы все равно окажутся стойкими в этом случае. Это справедливо, скажем, для дистрибутива с включенным SELinux. Согласно статистике нескольких последних лет, _ни_один_ локальный эксплойт не сработал на таких системах. Став root, можно отключить это препятствие сразу.

По-моему, достаточно причин к тому, чтобы не позволять суперпользователю логиниться удаленно.

скажите, а что в данное время предпочтительнее:SELinux или ядро с GRSEC?

> скажите, а что в данное время предпочтительнее:SELinux или ядро с GRSEC?

Я не могу сказать, не специалист в безопасности.

Мне концептуально нравилось больше RSBAC, который довольно давно считается стабильным, но является отдельным патчем к ядру и при современных темпах его обновления нужно держать целую команду кернельхакеров. Одному админу, даже высоколассному потянуть трудно, а дистрибутивов с интегрированным мало и они не очень распространены.

SELinux, по крайней мере тянет RedHat, что существенно упрощает его использование, котя сам по себе он какой-то... трудный. Впрочем, повторю, это мнение неспециалиста.

просто сейчас стоит GRSEC - вопрос в том нужно ли переходить на SELinux...

Первое правило админа какое? Правильно: "работает - не трогай!"

а еще лучше отключить паролюную авторизацию по ssh нафиг.

Это что-то иррациональное. Это не базируется на разумных соображениях. Ослу (изучавшему теорвер) понятно, что два аккаунта, которые надо взломать последовательно перебором паролей, менее стойки, чем один с паролем — объединением этих двух. Однако так далеко мысль обычно не заходит, чаще всего последователи PermitRootLogin no вообще тупо делают юзера с таким же паролем, что у рута, и науке неизвестно, какой мыслительный процесс при этом происходит в их головах.

У меня есть ощущение, что среди русскоязычных админов эту ересь в основном поддерживает портал opennet.ru.

Есть ещё одно неочевидное преимущество, не связанное со взломом: сразу становится ясно, кто из юзеров в данный момент шурует на серваке. И если что-то он делает не так, знаешь, кого пинать. А так придётся всех опрашивать: КТООО ЗАХОДИЛ ПОД РУУТООООМ С МТСОВСКОГО ЖОПОРЕЗА СЕГОДНДЯ В ПОООЛНОЧЬ И АПГРЕЙДИЛ ПОСТГРЕС???

>Есть ещё одно неочевидное преимущество, не связанное со взломом: сразу становится ясно, кто из юзеров в данный момент шурует на серваке. И если что-то он делает не так, знаешь, кого пинать. А так придётся всех опрашивать: КТООО ЗАХОДИЛ ПОД РУУТООООМ С МТСОВСКОГО ЖОПОРЕЗА СЕГОДНДЯ В ПОООЛНОЧЬ И АПГРЕЙДИЛ ПОСТГРЕС???

+1 буквально на днях это мне помогло )

Представь что ты брутом ломаешь пароль, а теперь скажи на какого юзера ты его подбирать будешь? верно это рут, так как какие там ещё в системе есть ты ХЗ, плюс когда пытаешься зайти под рутом даже если логин под ним запрещён ты никогда об этом не узнаешь, ибо ссш попросит пароль и не в зависимости от правильности ввода спустя пару секунд скажет что он не верный.

Да и кстати это реально эфективно так как 99% врагов сисадмина это 15летние придурки которые скачивают брутфорсы и эксплойты после чего даже не подозревая как это работает считают себя тру хацкерами и пытаются это доказать чтобы поднять свою самооценку. Перехвата пакета с паролем можно не бояться расшифровать его ОЧЕНЬ трудно И ДОЛГО, так что советую ещё и пароли переодически менять, я лично знаю тока один способ сломать ссш наверняка и то он очень устарел: раньше можно было при получении приглашения залогиться послать бинарный пакет переполняющий стёк и без ввода пароля получить оболочку, но подное быстро фиксят, так что лучше не забывать обновляться почаще.