на моём vps root'а (и ещё пару стандартных пользователей) брутфорсят постоянно (пришлось fail2ban ставить). И намного спокойнее спать, если знаешь, что рутом зайти по ssh принципиально не возможно.
Why? Аутентификация по открытому ключу, и всё в порядке.
лучше две защиты чем одна (в том числе от себя). зашёл обычным юзверем (используя аутентификацию по ключу), а если надо что-то по администрировать, то есть sudo/su.
на моём vps root'а (и ещё пару стандартных пользователей) брутфорсят постоянно (пришлось fail2ban ставить). И намного спокойнее спать, если знаешь, что рутом зайти по ssh принципиально не возможно.
как один из вариантов думал, но что-то он слишком много возможностей даёт, оно боком вылезти может (кулхацкер его может тоже для своей деятельности использовать)
можешь рассказать, что за сервер, и что ты там одминишь? Просто факт в том, что права рута нужны _только_ для того, что-бы пользователям права раздавать. ВСЁ остальное могут делать эти пользователи.
HP-UX 11, FreeBSD 6.X, Ubuntu. - Пользователи на сервере мне нах не нужны - права мне там некому раздавать. Мне важны лишь сервисы которые там крутятся, они при установке сами создают кого надо, и рабочие процессы потом запускаются от кого надо...
Дык подобные дыры в безопасности можно в любом алгоритме аутентификации найти. А как утекли приватные ключи, так и пароли могут утечь. Приватный ключ хотя бы можно на специальном устройстве хранить, чтобы его в открытом виде вообще за пределы этого устройства не передавать.
Ну вот смотри: у тебя есть ноут А, с которого ты админишь сервер Б. Если ты пользуешься беспарольным ключом на A, то злоумышленнику необходимо и достаточно хоть на минутку получить доступ к этому А, дабы скопировать себе ~/.ssh. А вот если на Б имеется user, то злоумышленник получит лишь доступ к user@Б. В котором НИЧЕГО не сможет сделать. Ведь пароля он не знает, и узнать не может. Даже если пароль 123Z, то подобрать его нет никакой возможности (в /etc/shadow есть хеш, но никакой user читать его не может, потому брутфорс отпадает)
Это конечно не абсолютная защита, а всего лишь более жёсткая мера безопасности.
Так пароль от su постоянно набирать нужно... Серверов то не три штуки. Пароли то сгенерированные все... Что я буду всякую муть набирать на клавиатуре?
не ной. Не всё так трагично: как я уже говорил, пароль в данном случае не должен быть сложным. Ну и sudo его умеет запоминать, т.ч. вбивать его каждый раз не обязательно. Достаточно один разок. К тому-же, если у тебя вправду много серверов, то вряд-ли ты туда каждый день ходишь, да ещё и с целью что-то подправить (мониторинг возможен и без прав рута).
Ну так там всё в эмуляторе же. Все стандартные бинарники, которые запускает кулхацкер — фиктивные.
Да и забавно потом анализировать лог деятельности горе-взломщика (который обычно и не живой человек, а написанный этим «хакером» скрипт).