ルートアクセス監視

tag-icon tag-icon ssh security root
ルートアクセス監視

インターネット上の誰もがルートログインを無効にすることをお勧めします。SSHこれは、システムの悪い習慣であり、セキュリティホールであるためです。しかし、なぜこれが起こるのか誰も説明しません。

ルートログインを有効にする(特にパスワードログインを無効にする)リスクは何ですか?

パスワード認証が許可されている場合、セキュリティの観点からX表記法のユーザー名とY表記法のパスワード、またはルートユーザー名とX + Y表記法のパスワードの違いは何ですか?

ベストアンサー1

SSHによるルーティングが悪い理由

SSH経由でコンピュータにログインしようとする多くのボットがあります。このロボットの動作方法は次のとおりです。

同様の操作を行いssh root@$IP、「root」や「password123」などの標準パスワードを試してください。正しいパスワードが見つかるまで、できるだけ長くこれを行います。グローバルにアクセス可能なサーバーでは、ログファイルに多数のログエントリを表示できます。 1分間に最大20個以上を獲得できます。

攻撃者が幸運(または十分な時間)でパスワードを見つけると、rootアクセス権があり、これは問題に直面することを意味します。

ただし、SSHを介してルートログインを無効にすると、ボットは最初にユーザー名を推測してから、一致するパスワードを推測する必要があります。したがって、合理的なパスワードリストにはN項目があり、合理的なユーザーリストにはM多くの項目があるとします。ボットにはテストするアイテムセットがあるため、N*Mサイズセットのみがある基本的なケースよりもボットが少し難しくなりますN

M一部の人々は、このアドインは実際にはセキュリティ上の利点ではないと言います。私はこれが小さなセキュリティの向上にすぎないことに同意します。しかし、私は本質的に安全ではありませんが、多くの人が簡単に入ることができないようにする小さなロックだと思います。もちろん、これはコンピュータに他の標準ユーザー名(torやapacheなど)がない場合にのみ機能します。

ルートを許可しないより良い理由は、ルートが通常のユーザーよりもコンピュータに多くのダメージを与える可能性があることです。したがって、幸運なことにパスワードを見つけるとシステム全体が失われ、標準ユーザーアカウントを使用するとそのユーザーのファイルのみを操作できます(まだ不便です)。

sudo一般ユーザーにもアクセス権があり、ユーザーのパスワードが推測されるとシステムが完全に失われるという意見がありました。

要約すると、攻撃者がどのユーザーのパスワードを見つけたかは問題ではないと言いたいと思います。彼らがパスワードを推測すると、もはやシステムを信頼できなくなります。攻撃者はユーザーの権限を使用してコマンドを実行したり、sudoシステムの弱点を悪用してルート権限を取得したりする可能性があります。攻撃者がシステムにアクセスできる場合、システムは信頼できなくなります。

ここで覚えておくべきことは、SSH経由でログインが許可されているシステムのすべてのユーザーが追加の脆弱性であることです。ルートを無効にすると、明らかな弱点がなくなります。

SSHでパスワードが悪いのはなぜですか?

パスワードを無効にする理由は非常に簡単です。

  • ユーザーが間違ったパスワードを選択しました!

パスワードを試すという全体的なアイデアは、パスワードを推測できる場合にのみ機能します。したがって、ユーザーが「pw123」というパスワードを持っていると、システムは安全になりません。人々が選ぶパスワードのもう一つの問題は、パスワードが覚えにくいので決してランダムではないということです。

また、ユーザーは自分のパスワードを再利用してFacebookやGmailアカウント、サーバーにログインする傾向があります。したがって、ハッカーがユーザーのFacebookアカウントのパスワードを調べると、そのユーザーのサーバーにアクセスできるようになります。ユーザーはフィッシングによって簡単に情報を失ったり、Facebookサーバーをハッキングしたりすることができます。

ただし、証明書を使用してログインすると、ユーザーは自分のパスワードを選択しません。証明書は、1024〜4096ビット(約128〜512文字のパスワード)の非常に長いランダム文字列に基づいています。また、この証明書は外部サービスではなくサーバーにログインするためにのみ使用されます。

ルートアクセス監視

さんのコメント@フィリップクーリン答えは次のとおりです。

管理上の理由でルートが無効になっています。商用サーバーでは、常に人々のアクセスを制御したいと思います。ルートは決して人ではありません。一部のユーザーがrootアクセスを許可していても、そのユーザーが自分のユーザーを介してログインするように強制し、su -またはsudo -iを使用して実際のログインを記録する必要があります。これにより、個人へのすべてのアクセス権を簡単に取り消すことができるため、rootパスワードがあってもそれを使用して何もできません。 ——フィリップ・クーリン

また、チームがこれを実施できると付け加えたいと思います。最小権限の原則、正しいsudo設定を使用します(ただし、作成する方が簡単です)。これにより、チームは城の鍵を引き渡すことなく、ミッションを無批判的かつより効果的に配布することができます。

リンク

http://bsdly.blogspot.de/2013/10/the-hail-mary-cloud-and-lessons-learned.html

この記事はコメントからのもので、SSHを介してログインしようとしているボットネットの問題、その実行方法、ログファイルの外観、および人々ができることについてさらに詳しく説明したので、より顕著な場所を提供したいと思いました。それらを防ぐためにそうします。著者はPeter Hansteenです。

おすすめ記事