最近、root ユーザーのシェルを /bin/bash の代わりに /sbin/nologin に設定し、sudo 権限を持つ root 以外のユーザーを使用して root ログインを無効にするのが良いアイデアだと思いました。
私は今私のサーバーでこれを行っていますが、ログには多くのログイン試行が表示されます。したがって、rootとしてログインするのではなく、root以外のユーザーとしてログインし、必要に応じてsudoを使用します。
これはどのように安全ですか?どちらの場合も、誰かがパスワードを復号化すると、すべてのコマンドを実行できます。
ベストアンサー1
sudo提供して安全性/安全性を向上責任と特権の分離。
複数の人が管理作業を行うシステムを想像してみてください。ログインアカウントが有効になっていると、rootシステムはどの人が特定の操作を行ったかを記録/記録しません。ログにはroot責任者だけが表示されるだけで、root当時はその人が誰だったのか今は正確にはわからないからだ。
OTOH、誰もが一般ユーザーとしてログインし、sudo権限を昇格する必要がある場合は、システムに記録が残ります。ユーザーアカウント操作が行われた。さらに、この特別な特権はユーザーアカウントsudoersファイルとして管理および配布できます。
これであなたの質問に答えると、1つのユーザーアカウントを損傷したハッカーは、そのアカウントに割り当てられた権限のみを取得します。さらに、システムログには(希望的に)次の記録があります。どのユーザーアカウントが盗まれました。 OTOH、ファイルの権限が(たとえば)sudoersに設定された単純なシングルユーザーシステムの場合、利点は次のとおりです。ALL%sudo ALL=(ALL:ALL) ALL責任と特権の分離効果的に中性化されました。
最後に、知識sudo豊富なハッカーがログファイルなどを削除して自分の痕跡を隠すこともできるという点はsudo確かに万病痛歯磨きではありません。最終的に私たちが用意した他の多くの保護はsudo正直な人々を正直に保つのに役立ちますが、不正直な人々を防ぐのにはあまり効果的ではないと思います。