LINUX.ORG.RU

НИКОГДА, запомни, НИКОГДА не оставляй доступ rootу по ssh. root ДОЛЖЕН быть закрыт первым делом.

P=`ssh user@server df -h`

invy ★★★★★ ()
Последнее исправление: invy (всего исправлений: 1)
$ read a b c d e f < <(ssh root@IP df -h /tmp | tail -1)
$ echo "$a $b $c $d $e $f"
justAmoment ★★★★★ ()
Ответ на: комментарий от invy

НИКОГДА, запомни, НИКОГДА не оставляй доступ rootу по ssh.

Why? Аутентификация по открытому ключу, и всё в порядке.

ТС, тебе на выбор

P=`command`
P=$(command)

tiandrey ★★★★★ ()
Ответ на: комментарий от invy

НИКОГДА, запомни, НИКОГДА не оставляй доступ rootу по ssh. root ДОЛЖЕН быть закрыт первым делом.

Это еще с какого? Хотя если у тебя зузероутер с дефолтными настройками и пароль из слова «пароль» - то да.

devl547 ★★★★★ ()
Ответ на: комментарий от devl547

Это еще с какого?

на моём vps root'а (и ещё пару стандартных пользователей) брутфорсят постоянно (пришлось fail2ban ставить). И намного спокойнее спать, если знаешь, что рутом зайти по ssh принципиально не возможно.

Why? Аутентификация по открытому ключу, и всё в порядке.

лучше две защиты чем одна (в том числе от себя). зашёл обычным юзверем (используя аутентификацию по ключу), а если надо что-то по администрировать, то есть sudo/su.

invy ★★★★★ ()
Ответ на: комментарий от invy

на моём vps root'а (и ещё пару стандартных пользователей) брутфорсят постоянно (пришлось fail2ban ставить). И намного спокойнее спать, если знаешь, что рутом зайти по ssh принципиально не возможно.

openvpn

DALDON ★★★★★ ()
Ответ на: комментарий от invy

я, честно говоря, тоже не вижу смысла оставлять рута на сервере, который в интернете публично отовсюду виден

Jaga ★★★ ()
Ответ на: комментарий от devl547

НИКОГДА, запомни, НИКОГДА не оставляй доступ rootу по ssh. root ДОЛЖЕН быть закрыт первым делом.

Это еще с какого?

с такого, что это одна из самых удачных атак. Да, я сам удивлён, но это так. А пароль в 80% «123», а в остальных 20% берётся из словаря на 100 слов.

drBatty ★★ ()
Ответ на: комментарий от drBatty

Зачем руту пароль то вообще? Я ничего не пойму... В чём сложность у рута пароль отобрать, и сделать только по publickey?

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

в чём сложность ВООБЩЕ запретить вход с правами рута?

Я ничего не пойму...

если с А ты имеешь доступ к Б, то машина Б считай уже взломана. А если доступ ограничен, то Б не так уязвима, даже если враг сломал А.

drBatty ★★ ()
Ответ на: комментарий от Jaga

на самом деле руки не дойдут honeypot поставить, интересно какие пароли подбирать пытаются :)

ещё делали как-то port-knocking :)

invy ★★★★★ ()
Ответ на: комментарий от devl547

Ты про grsec и прочее слышал? Там запрет на запрете и оба запрещены. Лохи делали?

anonymous ()
Ответ на: комментарий от calm_girl

как один из вариантов думал, но что-то он слишком много возможностей даёт, оно боком вылезти может (кулхацкер его может тоже для своей деятельности использовать)

invy ★★★★★ ()
Ответ на: комментарий от invy

зашёл обычным юзверем (используя аутентификацию по ключу), а если надо что-то по администрировать

Зачем вообще заходить на сервер, кроме как чего-то поадминистрировать?

harm ()
Ответ на: комментарий от DALDON

нет. просто работать.

можешь рассказать, что за сервер, и что ты там одминишь? Просто факт в том, что права рута нужны _только_ для того, что-бы пользователям права раздавать. ВСЁ остальное могут делать эти пользователи.

drBatty ★★ ()
Ответ на: комментарий от drBatty

HP-UX 11, FreeBSD 6.X, Ubuntu. - Пользователи на сервере мне нах не нужны - права мне там некому раздавать. Мне важны лишь сервисы которые там крутятся, они при установке сами создают кого надо, и рабочие процессы потом запускаются от кого надо...

DALDON ★★★★★ ()
Ответ на: комментарий от kostian

Дык подобные дыры в безопасности можно в любом алгоритме аутентификации найти. А как утекли приватные ключи, так и пароли могут утечь. Приватный ключ хотя бы можно на специальном устройстве хранить, чтобы его в открытом виде вообще за пределы этого устройства не передавать.

tiandrey ★★★★★ ()
Ответ на: комментарий от harm

Администрировать можно свой сайт например. Для этого права root совершенно не нужны.

invy ★★★★★ ()
Ответ на: комментарий от DALDON

Мне важны лишь сервисы которые там крутятся, они при установке сами создают кого надо, и рабочие процессы потом запускаются от кого надо...

в таком случае, зачем ты туда вообще заходишь, да так часто, что тебе su нет времени набрать?

drBatty ★★ ()
Ответ на: комментарий от drBatty

Так пароль от su постоянно набирать нужно... Серверов то не три штуки. Пароли то сгенерированные все... Что я буду всякую муть набирать на клавиатуре?

DALDON ★★★★★ ()
Ответ на: комментарий от tiandrey

так и пароли могут утечь.

пароль сложнее достать, если ты его НАБИРАЕШЬ.

Ну вот смотри: у тебя есть ноут А, с которого ты админишь сервер Б. Если ты пользуешься беспарольным ключом на A, то злоумышленнику необходимо и достаточно хоть на минутку получить доступ к этому А, дабы скопировать себе ~/.ssh. А вот если на Б имеется user, то злоумышленник получит лишь доступ к user@Б. В котором НИЧЕГО не сможет сделать. Ведь пароля он не знает, и узнать не может. Даже если пароль 123Z, то подобрать его нет никакой возможности (в /etc/shadow есть хеш, но никакой user читать его не может, потому брутфорс отпадает)

Это конечно не абсолютная защита, а всего лишь более жёсткая мера безопасности.

drBatty ★★ ()
Ответ на: комментарий от DALDON

Так пароль от su постоянно набирать нужно... Серверов то не три штуки. Пароли то сгенерированные все... Что я буду всякую муть набирать на клавиатуре?

не ной. Не всё так трагично: как я уже говорил, пароль в данном случае не должен быть сложным. Ну и sudo его умеет запоминать, т.ч. вбивать его каждый раз не обязательно. Достаточно один разок. К тому-же, если у тебя вправду много серверов, то вряд-ли ты туда каждый день ходишь, да ещё и с целью что-то подправить (мониторинг возможен и без прав рута).

drBatty ★★ ()
Ответ на: комментарий от tiandrey

Это ты упорот: по твоим словам выходит, что раз абсолютной защиты не бывает, то и вообще никакая не нужна. Как в Windows 98.

drBatty ★★ ()
Ответ на: комментарий от tiandrey

Дык подобные дыры в безопасности можно в любом алгоритме аутентификации найти.

Да. И это реальный пример, почему оставлять открытый рут плохо, даже только по ключам.

А как утекли приватные ключи, так и пароли могут утечь.

Опять же, есть разница между утекшим юзерским и рутовым паролем/ключом.

Приватный ключ хотя бы можно на специальном устройстве хранить

В случае той дыры твой приватный ключ вообще не при делах был.

kostian ★★★★☆ ()
Ответ на: комментарий от tiandrey

Что мешает, получив доступ к пользовательскому аккаунту, дальше брутить рута?

Пойми разницу: зайти под юзером и брутить рута, или зайти сразу под рутом.

kostian ★★★★☆ ()
Ответ на: комментарий от invy

Ну так там всё в эмуляторе же. Все стандартные бинарники, которые запускает кулхацкер — фиктивные. Да и забавно потом анализировать лог деятельности горе-взломщика (который обычно и не живой человек, а написанный этим «хакером» скрипт).

calm_girl ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.