我知道您为保护服务器所做的第一件事就是禁止远程 root 登录。
密码非常脆弱;人们认为只允许通过 ssh 密钥或其他无密码方法进行 root 登录。
哪些方法最好?只是不冒险是不是更好?使用辅助帐户进行 ssh-ing 并使用su -真的增加了任何安全性吗?
serverfault.com 上的人如何访问远程服务器上的 root 用户?
我似乎无法弄清楚为什么 supervisord 不会以非 root 用户身份运行。如果我在用户设置为 jason (pid 1000) 的情况下启动它,我会在日志文件中得到以下信息:
2010-05-24 08:53:32,143 CRIT Set uid to user 1000
2010-05-24 08:53:32,143 WARN Included extra file "/home/jason/src/tsched/celeryd.conf" during parsing
2010-05-24 08:53:32,189 INFO RPC interface 'supervisor' initialized
2010-05-24 08:53:32,189 WARN cElementTree not installed, using slower XML parser for XML-RPC
2010-05-24 08:53:32,189 CRIT Server 'unix_http_server' running without any HTTP authentication checking
2010-05-24 08:53:32,190 INFO daemonizing the supervisord process
2010-05-24 08:53:32,191 INFO supervisord started with pid 3444
...然后该过程因某种未知原因而终止。如果我在没有 sudo 的情况下启动它(在用户 jason 下),我会得到类似的输出:
2010-05-24 08:51:32,859 INFO supervisord …我正在调整 ubuntu 云版本默认设置,其中拒绝 root 登录。
尝试连接到这样的机器会产生:
maxim@maxim-desktop:~/workspace/integration/deployengine$ ssh root@ec2-204-236-252-95.compute-1.amazonaws.com
The authenticity of host 'ec2-204-236-252-95.compute-1.amazonaws.com (204.236.252.95)' can't be established.
RSA key fingerprint is 3f:96:f4:b3:b9:4b:4f:21:5f:00:38:2a:bb:41:19:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'ec2-204-236-252-95.compute-1.amazonaws.com' (RSA) to the list of known hosts.
Please login as the ubuntu user rather than root user.
Connection to ec2-204-236-252-95.compute-1.amazonaws.com closed.
我想知道在哪个配置文件中配置了通过 ssh 阻止根目录以及如何更改打印的消息?
我正在开发一个处理一些敏感数据的 Web 应用程序。我们在安全方面变得非常严格,并制定了政策来锁定对机器的访问,并出于技术审计目的记录所有内容。
我们不断回到这个问题:谁获得 root 权限?
我们的服务器实例将有一个 root 用户。该 root 用户将有一个密码。谁应该有权访问这个?是否有可能/希望拥有一台无人可以拥有 root 访问权限的机器?
我很感激你对这个主题的任何想法。
我需要一个简单的监控脚本,我不想以 root 身份运行它...
在尝试让远程 MySQL 工作时,我以某种方式设法使用 root 帐户将自己锁定。
通常,我会停止 MySQL 服务并使用 重新启动它/etc/init.d/mysql --init-file,但是当我尝试这样做时,它说脚本已转换为新贵作业并使用“service mysql”命令。不幸的是,据我所知,该service命令不支持该--init-file选项。
有没有其他方法可以为 root 用户重置主机?
为了方便起见,我想在我的服务器上启用 root 用户,人们反对这个想法的唯一原因(据我所知)是对 SSH 的蛮力攻击。
那么,SSH 中是否有一种方法可以为除 root 之外的所有用户启用密码访问,但允许 root 使用 ssh-key 访问?
操作系统: Ubuntu 服务器版 10.04 x86
SSH 版本: OpenSSH_5.3p1 Debian-3ubuntu7,OpenSSL 0.9.8k 2009 年 3 月 25 日
我需要将文件写入 Linux 文件系统,该文件系统随后不能被覆盖、附加、以任何方式更新或删除。不是 sudo-er、root 或任何人。我试图满足金融服务法规对记录保存的要求,FINRA 17A-4,它基本上要求将电子文档写入 WORM(一次写入,多次读取)设备。我非常希望避免使用 DVD 或昂贵的 EMC Centera 设备。
是否有 Linux 文件系统,或者 SELinux 能否支持在写入后立即(或至少很快)使文件完全不可变的要求?或者有人知道我可以使用 Linux 权限等在现有文件系统上强制执行此操作的方法吗?
我知道我可以设置只读权限和不可变属性。但当然,我希望 root 用户能够取消这些设置。
我考虑将数据存储到卸载的小卷中,然后以只读方式重新挂载,但后来我认为 root 仍然可以卸载并重新挂载为可写。
我正在寻找任何聪明的想法,在最坏的情况下,我愿意做一些编码来“增强”现有文件系统以提供此功能。假设有一个文件系统是一个很好的起点。并放置一个精心配置的 Linux 服务器作为这种类型的网络存储设备,什么都不做。
毕竟,对文件进行加密也很有用!
我必须管理大量主机,其中只有一个用户可以从 SSH 访问(我们称他为 foo),然后必须以 root 身份登录才能执行特权命令。
Foo 用户没有任何类型的 sudo 权限,因此我被迫以 root 身份登录以执行特权命令。我实际上正在使用一个期望脚本来完成这项工作(ssh 以 foo 身份登录,通过 su 以 root 身份登录)并且我想切换到 Ansible。我知道我可以创建一个新用户并授予他 sudo 权限或基本上授予 foo sudo 权限,但是是否可以使用 Ansible 做与 expect 相同的事情?
我想以 foo 身份进行 ssh 连接,然后以 root 身份执行剧本或任何类型的临时命令。我在 Ansible 文档中没有找到任何关于此的信息,所以我在这里询问是否有人已经接受过这种审讯。
基本上是标题。我的朋友提供了一个脚本来通过 Powershell 和 PuTTY 批量更改 RHEL 密码,但是当我尝试登录时,我输入的新密码不起作用。我认为问题是它没有转义一个特殊字符在新密码中,但我不知道新密码是什么。
我使用的“新密码”类似于:a1b2c3d"4e5f6g7
我尝试将安全字符串替换为常规字符串,或者使用 telnet 而不是 SSH 与数据包捕获来确定发送的究竟是什么,但到目前为止这些都没有奏效。
System.Management.Automation.PSCredential -argumentlist "root",$newrootPassword
$newrootPassword2 = Read-Host "Retype new root password" -AsSecureString
$newrootCredential2 = new-object -typename System.Management.Automation.PSCredential -argumentlist "root",$newrootPassword2
putty.exe -ssh -pw $oldrootCredential.GetNetworkCredential().Password root@$_
echo y | plink.exe -ssh -v -pw $oldrootCredential.GetNetworkCredential().Password root@$_ "echo root:'$newrootPassword' | chpasswd" 2>&1
我希望新密码是 a1b2c3d"4e5f6g7;但是,这在登录时不起作用。