SSH Accesso a Personal Server sudo vs su

Naviga le tue risposte
4

Ho un server su cui gira Debian, che è sul web, e ha poco traffico (lo uso essenzialmente per alcuni server, calendari, ecc. per me). Nel tentativo di proteggere il suo accesso, ho fatto quanto segue nella configurazione ssh:

  • accedi con SSH-Keys solo,
  • non è consentito l'accesso root.

Quindi accedo come utente principale (e essenzialmente solo) e uso su per passare a root quando sono necessarie operazioni amministrative.

Navigando nel sito, ho rilevato che sudo di diritti per l'utente è un'opzione preferita. Ma la principale argomentazione comune per questo è quando si condividono i diritti amministrativi. Quale non è un problema per me. Riesco a vedere il seguente

  • su > sudo : due password richieste: la chiave ssh per entrare come utente e quindi la password di root. Quindi qualche forma di doppia protezione.
  • sudo > su : se sudo è impostato con NOPASSWD , nessuna password viene trasmessa su Internet e non è stata inserita alcuna password, in modo da sconfiggere i keylogger.
  • Chiave SSH diretta a root : facilita il backup remoto, il controllo, ecc. Ma sembra meno sicuro dato che il nome utente root è noto e una singola password (ssh-key) è richiesta.

Qual è il modo più sicuro per eseguire attività amministrative sul mio server?

Dovrei supporre che la protezione SSH-Keys mi lasci solo per scegliere tra ssh-key theft o keylogging? E qual è il più comune di quelli? Se ciò è rilevante, mi collego solo ad esso direttamente dal mio computer di casa o, dal mio cellulare tramite un altro server (in modo che il codice ssh-key non sia memorizzato sul mio telefono).

    
posta bilbo_pingouin 02.12.2015 - 15:54
fonte

1 risposta

1

Bene Se stai usando sudo puoi usare il file sudo (solo modificabile da quelli con permessi) per controllare cosa può fare l'utente, ad esempio puoi trasformare il tuo utente in una radice con sudo -s o puoi consentire per usare solo determinati comandi e anche i parametri a cui li si consente di accedere al file sudo, quindi se sto capendo correttamente (qualcuno mi correggerà se ho torto)

La scelta migliore è sudo e bloccare / aprire determinate regole per l'utente in modo che possa eseguire determinate attività, dovresti usare sempre root come ultima risorsa per la sicurezza del tuo sistema.

Ho dimenticato di aggiungere, avere una password è il modo migliore per andare se si cambiano continuamente le macchine, anche se questo lascia aperto agli attacchi di forza bruta. a meno che non si usi ovviamente fail2ban e spesso ruoti le password.

L'utilizzo di una chiave e di una password è l'opzione migliore ma significa che ogni dispositivo che utilizzi avrà bisogno di questa chiave.

    
risposta data 02.12.2015 - 15:57
fonte

Leggi altre domande sui tag

Firma UID che non appartengono a una persona RL con nome e cognome Viene generato un altro indirizzo MAC quando viene creato un wireless utilizzando lo stesso dispositivo per LAN?