и все? Зато юзера если сломал - рута сломать легче, попарсить баш хистори, + можно найти кучу локальных дыр. А юзера сломать легче, так как он может быть задействован в различных сервисах (ftp, email и т.п.)
Усложняется брутфорс. Вначале нужно "отгадать" имя пользователя, потом подобрать пароль и только потом уже что-то с рутом делать. Примера ради выстави машину с внешним IP в интернет и посмотри где-нить через неделю логи ;) поймешь почему нельзя руту давать доступ сразу по ssh ;)
зря вы так - учил, просто хочется поразмышлять спокойно, без всяких нервов :)
вот смотрите сами, рутом входит только один человек (брутфорс не возможен так как пароль сложный), а юзерами входит много людей - и пароли у них могут быть простейшие - их не проконтролируешь. Так как в этом случае гласит теория вероятности?
> вот смотрите сами, рутом входит только один человек (брутфорс не возможен так как пароль сложный), а юзерами входит много людей - и пароли у них могут быть простейшие - их не проконтролируешь.
1. Имена пользователей - не являются стандартными. Их еще нужно угадать (о чём уже говорили).
2. Хорошая программа для смены паролей (напр. passwd) проверяет вводимый пользователем пароль на стойкость. Пароли минимальной длины, а также словарные слова вызывают сообщение об ошибке.
3. Аутентификацию пользователей можно вести по ключу, что является предпочтительным. Пользователь тогда имеет только парольную фразу, расшифровывающую ключ + сам ключ, который выдает ему админ.
4. Даже взломанный пользовательский аккаунт - еще не самое страшное. Многие системы все равно окажутся стойкими в этом случае. Это справедливо, скажем, для дистрибутива с включенным SELinux. Согласно статистике нескольких последних лет, _ни_один_ локальный эксплойт не сработал на таких системах. Став root, можно отключить это препятствие сразу.
По-моему, достаточно причин к тому, чтобы не позволять суперпользователю логиниться удаленно.
> скажите, а что в данное время предпочтительнее:SELinux или ядро с GRSEC?
Я не могу сказать, не специалист в безопасности.
Мне концептуально нравилось больше RSBAC, который довольно давно считается стабильным, но является отдельным патчем к ядру и при современных темпах его обновления нужно держать целую команду кернельхакеров. Одному админу, даже высоколассному потянуть трудно, а дистрибутивов с интегрированным мало и они не очень распространены.
SELinux, по крайней мере тянет RedHat, что существенно упрощает его использование, котя сам по себе он какой-то... трудный. Впрочем, повторю, это мнение неспециалиста.
Это что-то иррациональное. Это не базируется на разумных соображениях. Ослу (изучавшему теорвер) понятно, что два аккаунта, которые надо взломать последовательно перебором паролей, менее стойки, чем один с паролем — объединением этих двух. Однако так далеко мысль обычно не заходит, чаще всего последователи PermitRootLogin no вообще тупо делают юзера с таким же паролем, что у рута, и науке неизвестно, какой мыслительный процесс при этом происходит в их головах.
У меня есть ощущение, что среди русскоязычных админов эту ересь в основном поддерживает портал opennet.ru.
Есть ещё одно неочевидное преимущество, не связанное со взломом: сразу становится ясно, кто из юзеров в данный момент шурует на серваке. И если что-то он делает не так, знаешь, кого пинать. А так придётся всех опрашивать: КТООО ЗАХОДИЛ ПОД РУУТООООМ С МТСОВСКОГО ЖОПОРЕЗА СЕГОДНДЯ В ПОООЛНОЧЬ И АПГРЕЙДИЛ ПОСТГРЕС???
>Есть ещё одно неочевидное преимущество, не связанное со взломом: сразу становится ясно, кто из юзеров в данный момент шурует на серваке. И если что-то он делает не так, знаешь, кого пинать. А так придётся всех опрашивать: КТООО ЗАХОДИЛ ПОД РУУТООООМ С МТСОВСКОГО ЖОПОРЕЗА СЕГОДНДЯ В ПОООЛНОЧЬ И АПГРЕЙДИЛ ПОСТГРЕС???
Представь что ты брутом ломаешь пароль, а теперь скажи на какого юзера ты его подбирать будешь? верно это рут, так как какие там ещё в системе есть ты ХЗ, плюс когда пытаешься зайти под рутом даже если логин под ним запрещён ты никогда об этом не узнаешь, ибо ссш попросит пароль и не в зависимости от правильности ввода спустя пару секунд скажет что он не верный.
Да и кстати это реально эфективно так как 99% врагов сисадмина это 15летние придурки которые скачивают брутфорсы и эксплойты после чего даже не подозревая как это работает считают себя тру хацкерами и пытаются это доказать чтобы поднять свою самооценку. Перехвата пакета с паролем можно не бояться расшифровать его ОЧЕНЬ трудно И ДОЛГО, так что советую ещё и пароли переодически менять, я лично знаю тока один способ сломать ссш наверняка и то он очень устарел: раньше можно было при получении приглашения залогиться послать бинарный пакет переполняющий стёк и без ввода пароля получить оболочку, но подное быстро фиксят, так что лучше не забывать обновляться почаще.