Features/PermitRootLoginNo: различия между версиями

Материал из ALT Linux Wiki
(Import from freesource.info)
 
Нет описания правки
 
Строка 1: Строка 1:
{{MovedFromFreesourceInfo|AltLinux/Features/PermitRootLoginNo}}
{{MovedFromFreesourceInfo|AltLinux/Features/PermitRootLoginNo}}
== PermitRootLogin no ==
== PermitRootLogin no ==
-- это выдержка из <tt>/etc/openssh/sshd_config</tt>, действующая "из коробки" в дистрибутивах ALT Linux до 3.0 включительно; начиная с 4.0 hardcoded default стал <tt>[http://git.altlinux.org/people/ldv/packages/?p=openssh.git;a=blob_plain;f=alt/README.ALT without-password]</tt> (бишь по ключу можно, по паролю -- нет, даже если он известен).
-- это выдержка из <tt>/etc/openssh/sshd_config</tt>, действующая "из коробки" в дистрибутивах ALT Linux до 3.0 включительно; начиная с 4.0 hardcoded default стал <tt>[http://git.altlinux.org/people/ldv/packages/?p=openssh.git;a=blob_plain;f=alt/README.ALT without-password]</tt> (бишь по ключу можно, по паролю -- нет, даже если он известен).
Строка 27: Строка 26:


Считайте, что вас предупредили.
Считайте, что вас предупредили.
{{Category navigation|title=Features|category=Features|sortkey={{SUBPAGENAME}}}}

Текущая версия от 05:57, 24 декабря 2008

Freesource-logo.png Blue Glass Arrow.svg MediaWiki logo.png
Эта страница была перемещена с freesource.info.
Эта страница наверняка требует чистки и улучшения — смело правьте разметку и ссылки.
Просьба по окончанию убрать этот шаблон со страницы.

PermitRootLogin no

-- это выдержка из /etc/openssh/sshd_config, действующая "из коробки" в дистрибутивах ALT Linux до 3.0 включительно; начиная с 4.0 hardcoded default стал without-password (бишь по ключу можно, по паролю -- нет, даже если он известен).

Обоснованием такого умолчания является:

  • анонимность административного аккаунта root -- невозможно точно установить, где и как "утёк" пароль или ключ, если им владели несколько человек;
  • большой интерес любителей пытаться подобрать пароли оптом именно к этому заранее известному логину.

Рекомендованной для одобряющих подобные дефолты конфигурацией имени raorn@ является: 

Protocol 2
PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
AllowGroups sshusers

с добавлением в группу sshusers пользователей, которым разрешён удалённый вход по ssh.

Если не ошибаюсь, разработчиками OpenSSH не рекомендовано использование scp; предлагается rsync -e ssh (штатный транспорт был сменён в rsync с rsh на ssh уже довольно давно).

Если всё это невостребовано (например, на кластере или при иной осознанной необходимости вроде бэкапа по ssh), возможно скорректировать этот параметр и выполнить 

service sshd reload

для актуализации изменений.

Но наиболее правильным является следующее решение: создаётся специальный пользователь su-user и помещается в группу wheel. Тем самым исключается компрометация user->root через su.

Считайте, что вас предупредили.


Features