在某些领域,我逐渐习惯了 Linux,但在其他领域(比如这个领域),我仍然是 99% 的菜鸟。作为 XP 难民,我使用过 Mint,现在使用 18 Sarah。
我并不担心如何保护机器免受我的笨手笨脚的攻击,我从不以 root 身份登录。我也不担心如何保护机器免受我家里其他人的攻击,我信任他们。我担心的是让机器 24/7 一直开着,连接到网络,访问论坛,使用传输,并受到来自外部的攻击。
Mint 默认安装使第一个帐户成为 sudoer,而 sudo 需要与帐户相同的密码。因此,使用我容易猜到的用户名,只需要一个密码就可以操控机器。
在尝试设置 NFS/Samba/SSH 等时,我读到了各种(危言耸听?)有关安全性的警告。许多改进都涉及诸如压缩 root 权限之类的事情,因此在获得远程操控机器的能力之前,需要猜测两个密码而不是一个。这听起来不错。
我发现在 sudoers 中放入 'Defaults rootpw' 行会使 sudo 需要 root 密码而不是用户密码。这显然提高了管理员需要两个密码的安全性。
然而,机器上仍然有一个名为“root”的帐户,这个帐户很容易被猜到,只需要一个密码就可以造成损害。
ubuntu 中禁用 root 帐户的参数就是为了解决这一缺陷而设计的。一个 Ubuntu 网站说,如果您不小心启用了 root,可以使用 sudo passwd -dl root 再次禁用它。
这听起来不错,但是这是否会删除 Defaults rootpw 现在所需的 root 密码,从而提高 root 帐户的安全性,但会降低用户/sudoer 帐户的安全性,使其只需要一个密码?
当我设置了默认 rootpw 时,我不愿意尝试禁用 root,我不想冒险锯掉我所在的分支,即使我刚刚进行了完整备份。
Mint 是否总是有一个只有一个密码需要猜测的帐户,或者是否有办法将两个密码放在外部攻击者的面前,就像 Defaults rootpw 似乎可以做到的那样,但实际上却不能。
答案1
虽然您说的有一定道理,但值得注意的是,不应该直接以 root 身份登录。
实际上,这涉及 中的一行sshd_config,即。如果您想提高安全性,PermitRootLogin则不应将其简单地设置为。yes
我记得,在 mint、其他 Linux 发行版以及 FreeBSD 上,通常的做法都是以普通用户身份登录,然后sudo使用suroot 帐户。
将此与您自己的研究(Defaults rootpw)结合起来,结果是虽然两个用户名都很容易知道,但需要两个密码。
就默认行为而言,Mint 18 允许 root 通过 SSH 登录,但只能通过无密码身份验证,如该PermitRootLogin prohibit-password行所示。这启用了私钥/公钥等登录方法,并禁用了任何暴力破解 root 密码的能力。