我知道我可以使用 /etc/ssh/sshd_config 阻止 root 通过 ssh 登录,但审计员也希望在 /etc/security/access.conf 中看到此操作。
这似乎可行,但我无法确定正确的语法或顺序?
为了测试,我允许 root 登录 /etc/ssh/sshd_config,然后尝试通过 ssh 登录。
答案1
当有人登录时,将扫描文件 access.conf 以查找匹配的第一个条目...应拒绝用户 root 从所有其他来源获取访问权限。
- : root : ALL
我认为这是错误的。当用户可以物理访问该框时,绝对应该允许 root 用户登录。
我确实将 IPMI 视为物理访问,如果您不想拔掉电缆,这是确保您必须站在盒子前面才能获得相当于物理访问的唯一方法。在某些环境中,我甚至倾向于让根终端运行而无需登录——前提是对该设施进行了适当的访问控制。
原因:sudo 可能会失败,而将 root 密码提供给一群人以便他们登录只会产生问题,在较大的团队中,您必须经常更改密码,因为密码总是会发生变化。使用“开放”的 root 终端,无需担心密码问题——所有这些都假设存在适当的访问控制,并且 IPMI 访问也通过个性化帐户得到保护
(不要因此而反对我,我可以想象有很多反对的理由,但我发现这是一个更好的——更实用的——解决方案,而不是为 root 设置一个迟早会被遗忘的密码策略。如果你确实需要 root 访问权限,你必须跳转到方框中获取“当天的密码”)
答案2
难道 securetty 不是实现这一目的的明显方法吗?(access.conf 取决于是否通过 SSH 使用 PAM,但可能不是。)