Sto eseguendo una VM su un laptop di riserva che abbiamo in ufficio e l'ho configurato per l'accesso SSH dalla mia workstation. Attualmente sto usando l'autenticazione utente / password, ma vorrei rimuovere la password con il flag NOPASSWD per rendere più semplice l'esecuzione di comandi sudo e per i miei colleghi di usarlo. La mia rete aziendale non consente l'accesso SSH dall'esterno della rete locale. È una cattiva idea?
In generale qualsiasi autenticazione con password vuota è una cattiva idea.
My office network doesn't allow SSH access from outside the local network.
SSH non è l'unico modo in cui un utente malintenzionato può accedere alla rete interna. Una password significa maggiore sicurezza e sicurezza significa che quando un sistema fallisce fallisce con garbo o almeno con la massima eleganza possibile. Se la VM non è progettata per essere un honeypot, in ogni altro caso è necessaria una password.
I would like to remove the password with the NOPASSWD flag to make it easier to run sudo commands and for my coworkers to use it.
Quindi considera l'utilizzo di ssh-keys per l'autenticazione, è considerato un modo più sicuro per accedere e non devi digitare la password ogni volta.
TLDR - Potrebbe essere una cattiva idea se pensi di avere qualcosa che non vuoi che gli altri vedano / modificino / cancellino.
Risposta lunga: -
Dipende dal rischio. Cerchiamo di valutarlo attraverso una sessione QnA.
Che cosa fai con la VM? un. Perché altre persone hanno bisogno di accedervi? b. Contiene dati di cui altri hanno bisogno? c. Che tipo di dati è quello? d. Va bene se le persone non identificate cambiano / vedi / cancellano?
La macchina virtuale o il computer host sono connessi a Internet? un. Se la risposta alla domanda precedente è "Sì", è possibile riconnettersi alla workstation dalla VM? Come ti connetti? La password è vuota anche in questo caso?
Hai l'abitudine di usare password vuote altrove sulla rete?
La risposta a queste domande ti aiuterà a capire i rischi per i tuoi dati a causa di questo debole controllo. Se c'è poco rischio, vai avanti e fallo.
Come persone di sicurezza piangiamo ogni volta che vediamo una password debole / vuota perché sappiamo che questo potrebbe creare un precedente e le persone inizieranno a usare password vuote ovunque senza contesto (cosa intendi per "password vuote sono cattive!"? Non mostrarmi quella faccia! Il tizio della sicurezza ci ha detto che va bene in quel caso 1. Ora non puoi essere un ipocrita e dimmi che non si può fare in questo caso 2. Le regole devono essere uguali per ogni persona / Astuccio!). Questo ci mette in una cattiva luce.
In realtà, il contesto è tutto e i controlli di sicurezza devono corrispondere alla criticità e alla sensibilità dei dati protetti. Non proteggeresti dati / macchine inutili con 2FA!