我一直在研究我的 OpsWorks 实例,刚刚意识到它们似乎都配置了PermitRootLogin without-password。虽然这比PermitRootLogin yes我真正想在某些特定实例上完全禁用它更安全。我无法在文档或通过常规研究方法找到有关此主题或 ROOT ssh 访问的任何具体细节。
这个设置必需的由 AWS、OpsWorks 或其他服务或实用程序提供?
答案1
基本上,如果你知道你的/root/.ssh/authorized_keys文件是空的并且也是全局的(/etc/security/authorized_keys- 不确定是否始终启用和使用,可能不是),行为是相同好像有PermitRootLogin no,直到具有 root 权限的人会将他的密钥放入此文件中。但凭借这样的权限,某人可以做很多更恶劣的事情。
另外,如果你搞砸了你的sudoers文件,将一些备用密钥放在安全的地方以便你可以修复它是很有用的(但我认为总是有通过网络控制台或类似的东西的方法,所以这种情况并不是什么大的威胁)。
关于这个要求,我看不出有什么理由这么做。