我们应该禁用root用户吗?
jld*_*ger 22 security linux login authentication root
我们是否应该删除 root 密码、禁用远程登录并基本上要求管理员使用 sudo 来执行管理操作?
Chr*_*ung 17
我所有的服务器都禁用了 root 帐户(sp_pwdp设置为*)。这是sudo所有 root 访问权限所必需的。 [1] 这样做的目的是审计所有超级用户活动,以便人们可以看到对系统做了什么。
对于更核心的选项,您可以sudo写入日志文件(而不是syslog),并使文件仅附加(chattr在 Linux 或chflagsBSD 上使用)。这样,之后没有人可以编辑审计。
[1] 我也有不运行 root shell 或从 root 进程执行 shell 转义的策略。(不过,可以sudo sh -c '...'用于执行管道或重定向。)
- “炮弹也不行!” 嗯,你知道有多少程序中有“drop to shell”命令吗?甚至*之前*您开始查看shell作业控制...... (3认同)
Mih*_*şan 16
我强烈建议不要禁用 root 用户。禁用或限制 root 登录(通过 securetty和通过 sshd_config和通过 PAM以及通过你有什么)如果你的系统允许,限制 root 的权限或拆分 root 角色(类似于RSBAC 的做法。)但是请,拜托,做不要通过删除密码来禁用root帐户,否则将无法通过 登录系统sulogin。sulogin在 fsck 报告严重错误的情况下,我知道的所有 initscript 都会使用它 - 这意味着如果根文件系统损坏,您将被锁定在系统之外。
澄清一下:“通过删除密码禁用 root 帐户”是指以 ! 或 /etc/shadow 的密码字段中的 * 或类似内容。我的意思不是“更改 root 登录机制,以免提示您输入密码”。
| 归档时间: |
|
| 查看次数: |
15881 次 |
| 最近记录: |