Features/PermitRootLoginNo

Материал из ALT Linux Wiki
< Features
Версия от 18:57, 28 июля 2008; DmitryLevin (обсуждение | вклад) (Import from freesource.info)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)
Freesource-logo.png Blue Glass Arrow.svg MediaWiki logo.png
Эта страница была перемещена с freesource.info.
Эта страница наверняка требует чистки и улучшения — смело правьте разметку и ссылки.
Просьба по окончанию убрать этот шаблон со страницы.


PermitRootLogin no

-- это выдержка из /etc/openssh/sshd_config, действующая "из коробки" в дистрибутивах ALT Linux до 3.0 включительно; начиная с 4.0 hardcoded default стал without-password (бишь по ключу можно, по паролю -- нет, даже если он известен).

Обоснованием такого умолчания является:

  • анонимность административного аккаунта root -- невозможно точно установить, где и как "утёк" пароль или ключ, если им владели несколько человек;
  • большой интерес любителей пытаться подобрать пароли оптом именно к этому заранее известному логину.

Рекомендованной для одобряющих подобные дефолты конфигурацией имени raorn@ является: 

Protocol 2
PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
AllowGroups sshusers

с добавлением в группу sshusers пользователей, которым разрешён удалённый вход по ssh.

Если не ошибаюсь, разработчиками OpenSSH не рекомендовано использование scp; предлагается rsync -e ssh (штатный транспорт был сменён в rsync с rsh на ssh уже довольно давно).

Если всё это невостребовано (например, на кластере или при иной осознанной необходимости вроде бэкапа по ssh), возможно скорректировать этот параметр и выполнить 

service sshd reload

для актуализации изменений.

Но наиболее правильным является следующее решение: создаётся специальный пользователь su-user и помещается в группу wheel. Тем самым исключается компрометация user->root через su.

Считайте, что вас предупредили.