访问服务器控制台的唯一方法是使用密钥通过 ssh。也可以通过利用服务器正在运行的各种服务。
我的管理帐户(属于 sudo 组)没有密码,但 root 有。
这算是不安全的吗?
答案1
“这是否被认为是不安全的?”根据提供的信息。我不得不说是的。以下是一些我会担心的事情:
如何防止某人进入服务器位置、连接监视器、将服务器置于单用户模式并重置 root 密码?
您的 ssh 密钥是如何存储的?它们是存储在未加密的笔记本电脑、闪存驱动器或其他可能被盗或放错的磁盘上吗?
服务器上是否存在 drac 或 ilo 连接,其默认或弱密码是否会授予某人控制台访问权限?
控制台是否已注销?我发现许多服务器在访问控制台时,root 用户仍处于上次访问时的登录状态。
无论如何利用,没有密码但拥有 sudo 访问权限的用户都是一个巨大的安全漏洞。
您是否只允许基于密钥的身份验证?如果不行,我会编辑 ssh 配置,以防止有人无意中发现您未受保护的用户帐户时尝试密码身份验证。
配置您的用户帐户的密码只需两秒钟,只需这样做。
答案2
总而言之,您有一个不受保护的管理员用户,其唯一的保护是用户名不常见(可能)。从此帐户,您可以sudo无需密码,因此任何设法以您的管理用户身份运行的人本质上都是 root。
/etc/passwd每个人都可以读取,这使得找出用户名变得相当简单,因此您的管理员帐户基本上没有安全性。
与大多数系统一样,它不设计为供管理员以外的任何人访问。不幸的是,与大多数系统一样,您的服务暴露在外部世界,这使得您的服务器容易受到许多您(以及世界上大多数人)可能不知道的潜在攻击。
当然,如果您没有其他用户,风险会降低,但仍然允许su进入您的管理员帐户,而该帐户又能够在没有保护的情况下运行 root 命令,这至少可以说是粗心大意。如果您真的无法忍受输入密码的麻烦sudo,请考虑使用密码保护您的管理员用户,并删除 中针对您的用户的密码提示/etc/sudoers。
这仍然不是很好的安全性,但至少您的管理员帐户不会那么容易被访问。