标签: login

我知道您为保护服务器所做的第一件事就是禁止远程 root 登录。

密码非常脆弱；人们认为只允许通过 ssh 密钥或其他无密码方法进行 root 登录。

哪些方法最好？只是不冒险是不是更好？使用辅助帐户进行 ssh-ing 并使用su -真的增加了任何安全性吗？

serverfault.com 上的人如何访问远程服务器上的 root 用户？

我正在寻求一些关于加速和升级我们的登录系统的建议，以使其更加强大和快速。

我继承了一个旧的登录系统，它最初是从 Novell Netware 迁移过来的。我们目前运行的是 Windows Server 2008 R2，但域版本仍然是 Windows 2000（理论上，如果它没有坏，就不要修复它）。我们希望最终升级到 Windows 7，但至少在几年内我们将混合使用 Windows 7 和 Windows XP SP3。我们有一些 SP2 机器，但如果无法升级到 SP3，我们有能力更换它们。

目前，我们主要依赖登录脚本，大部分是用 Kixtart 编写的，但也有一些是用 VBScript 编写的，并使用 Windows BAT 包装器。登录脚本映射驱动器和打印机，在没有官方补丁的情况下安装安全问题或小错误的快速解决方法（如最近的 winhelp.exe 安全问题），安装软件，并执行杂项任务，如备份一些设置，如 IE 收藏夹以防万一机器需要重新成像。

我们还启用了少量组策略。那些实现了一些安全设置，主要是。我曾尝试使用 GPO 安装软件，但我发现这并不实用。我们的太多软件不使用 MSI，而且我尝试进行 MSI 捕获所花费的时间在我尝试过的情况下并没有回报。简单地使用脚本进行无人值守安装最终变得更容易。更重要的是，维护是一种痛苦，如果机器关闭时间过长，处理延迟启动也是一种痛苦。我不介意重新审视这个，但似乎脚本运行良好，所以我从来没有被迫在这方面投入更多时间。

我们的系统运行正常，但有点不灵活。它旨在将每次登录的信息以每个登录 ID 为基础记录到一个集中存储的文件中，并且权限问题（例如使用一个用户名同时登录）时常会引起此问题。我们依靠标志来确定以前是否安装过软件，这可能很脆弱，有时会导致不必要的安装（例如，如果新用户登录到工作站）。有点慢，尤其是组策略方面。我尝试做一个配置文件，我认为这需要大约 300 秒（可能有点偏离）。一个典型的用户会应用大约 8 个小策略。我们有大约 12 个 OU，但对一些组策略使用了 WMI 过滤。

我们映射了大约 8 个共享驱动器（基于组成员身份，而不是 OU）和大约 20 台打印机（每个人都有每台打印机，但每个站点都有不同的打印服务器）。软件需求主要基于 OU，差异很大，但 OU 之外的一些人可能也需要该软件。

我的问题：

1. 部署 GPP 有多难？鉴于 Windows XP 本身不支持这一点，对吗？我们需要安装客户端扩展吗？
2. GPP 在 Windows XP SP3 上可靠吗？谷歌搜索，我发现了一些关于错误和性能缓慢的参考。这是否符合该产品的当前状态？
3. 与使用 kixtart 或 vbscript 进行映射驱动器和安装打印机等操作相比，GPP 的性能/开销如何？ …

客户要求我计算机器和用户的平均登录时间。到目前为止，我发现该事件记录了一些启动时间比在以下位置找到的键设置的阈值更长的时间：

HKLM\Software\Microsoft\Windows\CurrentVersion\Diagnostics\Performance\Boot

但是这些键似乎被锁定，因此我无法编辑它们以降低阈值以确保记录每次启动。是否有任何方法可以为每次登录查找登录时间，该方法足够详细以告诉正在登录的用户以及可能的更详细信息，这也需要足够轻以在每次登录时运行，并且不会对用户造成明显影响.

我已经在我的服务器中安装了Webmin。我的 Unix 服务器的用户必须能够更改他们的密码。因此，为此，他们使用Usermin。但是用户无法登录 Usermin 模块。我总是收到这条消息：

登录失败。请再试一次。

这种行为的原因是什么？如何向我的用户授予对 Usermin 的访问权限？

在查看“当前登录会话”->“切换到 Usermin 用户：”时，我可以以任何用户身份登录，使用 Admin 用户。

可能的重复：
阻止失败的登录尝试是否值得努力每天进行数百次闯入尝试
是否正常？

我在不同的数据中心管理着许多完全不同的根服务器，我注意到其中大多数失败的 SSH 登录尝试次数相当多。这是过去三天的快照：

没有规律的模式，但通常我每天记录几百次尝试。对我来说，这似乎是僵尸网络随机尝试进入外国服务器。我使用相当安全的密码，但仍然：我应该担心还是对此做些什么？

最好的方法可能是更改 SSH 端口，但这并非在所有情况下都是可行的。

无论如何，这正常吗？

注意：公钥登录符合预期。

Windows 启动时，默认情况下会运行userinit.exe。这个程序究竟是做什么的？

我知道它的一般作用 - 例如，启动登录脚本 - 但我正在寻找它所采取的所有步骤的完整细节。

我试图找出运行 cron 作业的非 root 用户的问题的根源，但我偶然发现了/etc/security/access.conf. 我有一些问题：

• 什么服务读取这个文件？
• 编辑后我需要重新启动任何东西吗？
• 我怎么知道它正在被使用？

谢谢

我想为我的 Web 应用程序购买专用服务器。但我担心我的应用程序代码的安全性以及谁可以访问我的服务器甚至专用服务器。由于托管服务提供商为我提供了预安装的操作系统，我担心托管服务提供商的访问到我的服务器，即使我更改了密码。

在任何情况下，是否有机会通过托管服务提供商访问我的服务器？

我一直在尝试诊断我的域登录缓慢。我的第一站之一是域登录非常慢 10+ 分钟。

到目前为止，我已经知道它与我的策略有关，即应用文件夹重定向并以管理方式分配脱机文件。启用此策略会可靠地增加 30 - 90 秒的登录时间。

即使在重定向文件夹中只有 20 兆字节的配置文件上也会发生这种情况。

我浏览了许多文章，包括使用 procmon 查看是否发生挂断的建议。我确实发现并修复了旧计划任务的几秒钟挂断，但没有什么能解释这么长的延迟。

我还查看了一些活跃的安装程序建议 - 例如邮件应用程序。

在突破 Wireshark 之前，我还可以/应该检查什么？

编辑问题：

1. 每次登录都会发生这种情况。软件设置/等应该保持不变。混合中没有临时的、强制性的等配置文件。
2. 我通过 procmon 看到活动，但没有任何迹象表明存在差距。没有间隔事件时间，没有延长持续时间的过程。
3. 我之前在文件重定向日志中调高了详细程度。根据文件夹重定向操作日志，处理策略所需的时间不到 1 秒（事件 1000 到事件 1001）
4. 组策略操作日志显示了我的几个更复杂的策略，每个策略大约 1 秒。

我已禁用PermitRootLogin且无法通过 登录服务器root，但用户要求输入密码：

这样对吗？或者这里有什么我想念的东西？为什么在不允许时询问密码？！