LINUX.ORG.RU
ФорумAdmin

ssh root login


0

1

как при конекте по ssh сразу обладать рутом ? что где поковырять ? и не вводить постоянно sudo -s )))))))))))))))

«PermitRootLogin yes» в /etc/ssh/sshd_config

и логинится под рутом

genesis_error ()

/etc/ssh/sshd_config:

PermitRootLogin yes

x0r ★★★★★ ()

Почитать man sshd_config на предмет опций, в которые входит логин суперпользователя. Но раз ты о таком спрашиваешь, то тебе, скорее всего, лучше не трогать ничего, иначе тебя выломают как ребёнка.

Нормальные адекватные люди админы (даже локалхоста) никогда не разрешают удалённый логин рута.

adriano32 ★★★ ()

логиниться рутом
если не получается: админ хоста умней тебя и понимает, что это ппц что за дыра
если админ той машинки ты, то ковыряй конфиг sshd
а вообще - никогда так не делай!

megabaks ★★★★ ()

И да, вот за это

)))))))))))))))

я бы банил

adriano32 ★★★ ()
Ответ на: комментарий от AITap
ssh root@blabla.org
root@blabla.org's password: 
Permission denied, please try again.

Не принимает пароль ?

CyberDx ()
Ответ на: комментарий от CyberDx

Все закрываю тему, наверно загнался, логичнее не заходить под рутом.

CyberDx ()

Правильно умные люди советуют, не надо логиниться под root!

static ()

Можно настроить аутентификацию по ключу для любого пользователя, да и безопаснее чем по паролю.

fedkoff ()

ну ты понел что теперь тебя можно брутить на рута, да?

Sonsee ()
Ответ на: комментарий от megabaks

> если не получается: админ хоста умней тебя и понимает, что это ппц что за дыра

Не то, чтобы это была вот прямо дыра. Просто на один пароль меньше подбирать, чем если поломать пользователя. А уж если пользователю sudo su доступен, то, и вовсе, без разницы. Основное удобство в нехождении под root - это если админов более одного, можно понять, кто что где делал, если разбор полётов нужен. А дыра - это возможность перебора паролей по ssh, как таковая. Всего-то надо recent задействовать в iptables, это если нельзя доступ по ip ограничить.

AS ★★★★★ ()
Ответ на: комментарий от AS

sudo - дыра!
потому не место ему на нормальной машине
su - от него профита ноль
после логина юзера весь трафик шифруется
если кому хоца разбираться в этом - пусть - тут ни ключи ни запреты тогда не спасут

megabaks ★★★★ ()
Ответ на: комментарий от megabaks

Категоричность это хорошо. Всегда набираете /bin/su - ?

после логина юзера весь трафик шифруется

Только после? А во время логина?

mky ★★★★★ ()
Ответ на: комментарий от mky

во время логина (без ключа) трафик прямым текстом идёт
если это не изменили сейчас

megabaks ★★★★ ()

Вот же, блин, люди пошли: одним подавай автологин в gdm на рута, другим - рута по ssh...

Эдак с вами, господа бубунтофилы, скоро в линухах вирусни будет не меньше, чем в мастдае...

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от AS

Просто на один пароль меньше подбирать, чем если поломать пользователя.

Для начала еще логин угадать надо :)

А уж если пользователю sudo su доступен, то, и вовсе, без разницы.

Хватит sudo bash с тем же паролем, что у пользователя, а не рута. Поэтому, как всегда, повторю: криво настроенное sudo - отличная дырища в системе. Лучше его вообще не ставить. Физически. Хватит su.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от adriano32

Ни к чему.

Объяснили человеку, как рутовый логин разрешить - дальше само. Гггг.

// Ещё надо двадцать второй порт выставить, конечно.

Hoodoo ★★★★★ ()
Ответ на: комментарий от Eddy_Em

а как его можно криво настроить? дать всем выполнять все?
у меня например все кто в группе WHEEL могут выполнять любые команды от рута без пароля. но кого-попало в эту группу я не включаю =)

Komintern ★★★★★ ()
Ответ на: комментарий от Komintern

а как его можно криво настроить?

Например, прописать кому-нибудь ALL=(ALL) NOPASSWD: ALL, или прописать ALL=(ALL) ALL, не указав, что в качестве пароля должен использоваться пароль рута, а не пользователя.

И вообще, по-человечески, sudo нафиг не нужен: если какой-то программкой (например, mount) должны пользоваться непривилегированные пользователи, достаточно или найти ей замену (fuse и т.п.), или поставить suid-бит.

у меня например все кто в группе WHEEL могут выполнять любые команды от рута без пароля.

Ааааааааааааа...

Eddy_Em ☆☆☆☆☆ ()
  • Настроить аутентификацию по ключам
  • Научиться использовать screen или tmux
  • Открыть необходимые «вкладки» в screen'е, например, r00t, sh, log и т.д.
  • Осилить .ssh/config
  • Для подключения к хосту использовать ssh -t pbx 'screen -rd'
  • Опционально настроить
    -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit

Как правильно заметили выше, рут логин это не такая уж большая дыра при правильной настройке фильтрации и pwgen -s 12 1. Это скорее плохой тон )

anton_jugatsu ★★★★ ()
Ответ на: комментарий от alikhantara

> fail2ban тоже помогает.

А если сам ошибёшься ? ;-)

AS ★★★★★ ()
Ответ на: комментарий от fedkoff

А еще лучше

авторизация по ключу с паролем, просто подобрать пароль не получится, еси нету ключа. Если кто то спер ключ, надо знать пароль к нему.

Все кто не дает логиниться руту удаленно... параноики. Все можно только надо понимать что как и зачем.

alex_sim ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.