Kirjoittaja Aihe: sudo salasana ? [Ratkaistu]  (Luettu 2628 kertaa)

Mistofelees

  • Käyttäjä
  • Viestejä: 663
    • Profiili
sudo salasana ? [Ratkaistu]
« : 12.10.19 - klo:11.46 »
Onko mahdollista asettaa sudo:lle eri salasana, kuin normaalisti käyttämäni ?

Selitys:
- Jos joku vieras, mahdollisesti vihamielinen taho, pääsee kirjautumaan normaalilla käyttäjätunnuksellani, hän pääsee myös root-asemaan tietäessään salasanani.
- Olen estänyt root-tunnuksen käytön kirjautumisessa antamalla root:lle 240 merkkiä pitkän salasanan, jota en tiedä itsekään.
Mieluiten ampuisin koko rootin ja sen tilalle pistäisin itse keksityn käyttäjätunnuksen, vaikkapa 'karjalatakaisinvaikkapullokerrallaan'.

On rasittavaa, kun joku Kim tai Mao takoo kotiserveriä koko ajan. Pahimmillaan useita ssh-login yrityksiä sekunnissa. Kun fail2ban  estää yritykset yhdestä osoitteesta, pommitus alkaa seuraavasta. Yrittäjä tietää koneen olevan Linux, joten pommitetaan root-käyttäjää. (vastaavasti edellistä reititintä pommittiin admin-käyttäjänä)
« Viimeksi muokattu: 13.10.19 - klo:13.04 kirjoittanut Mistofelees »

kamara

  • Käyttäjä
  • Viestejä: 3032
    • Profiili
Vs: sudo salasana ?
« Vastaus #1 : 12.10.19 - klo:14.35 »
Onko mahdollista asettaa sudo:lle eri salasana, kuin normaalisti käyttämäni ?

Luo sudo-käyttäjä, ja poista itsesi sudo-ryhmästä.

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: sudo salasana ?
« Vastaus #2 : 12.10.19 - klo:14.42 »
Onko mahdollista asettaa sudo:lle eri salasana, kuin normaalisti käyttämäni ?

Jos asetat root-käyttäjälle tunnetun salasanan, voit asettaa sudon käyttämään sitä oman salasanasi sijaan. Se tapahtuu muokkaamalla sudoers-tiedostoa visudo-komennolla:
Koodia: [Valitse]
sudo visudoja lisäämällä rivin:
Koodia: [Valitse]
Defaults rootpwLopuksi tallenna ja poistu editorista.

Lisää ohjeita ja vaihtoehtoja on sudoers-tiedoston man-sivulla (man sudoers).

Mieluiten ampuisin koko rootin ja sen tilalle pistäisin itse keksityn käyttäjätunnuksen, vaikkapa 'karjalatakaisinvaikkapullokerrallaan'.

On rasittavaa, kun joku Kim tai Mao takoo kotiserveriä koko ajan. Pahimmillaan useita ssh-login yrityksiä sekunnissa. Kun fail2ban  estää yritykset yhdestä osoitteesta, pommitus alkaa seuraavasta. Yrittäjä tietää koneen olevan Linux, joten pommitetaan root-käyttäjää. (vastaavasti edellistä reititintä pommittiin admin-käyttäjänä)

Voit estää kirjautumisen root-käyttäjänä SSH:n kautta, jolloin tuo salasanan arvaaminen on turhaa: Linux.fi - SSH-turvatoimet - Pääkäyttäjänä kirjautumisen estäminen

Henkilökohtaisesti suosittelen estämään muutenkin salasanakirjautumisen ja käyttämään sen sijaan avainparia:
Linux.fi - SSH-turvatoimet - Salasanalla kirjautumisen estäminen
Linux.fi - SSH - Tunnistaminen avainparilla
Tällöin salasanojen arvailu on täysin turhaa. Muutenkin avainparin käyttäminen on turvallisempaa, koska salasanan tietäminen ei enää riitä etänä kirjautumiseen.

Itse käytän yleensä palvelimien hallinointiin juurikin root-käyttäjää siten, että olen sallinut root-käyttäjälle vain avainparikirjautumisen. Omilla koneillani olen tehnyt root-käyttäjäksi kirjautumiseen erillisen avainparin, jolle en käytä agenttia, jolloin kyseistä avainta ei muisteta ensinkään ja avainparin salasanaa kysytään jokaisella kirjautumisella.
« Viimeksi muokattu: 12.10.19 - klo:14.48 kirjoittanut Tomin »
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

Mistofelees

  • Käyttäjä
  • Viestejä: 663
    • Profiili
Vs: sudo salasana ?
« Vastaus #3 : 13.10.19 - klo:13.03 »
Kiitos. Hyviä vastauksia !
Avaimia en viitsi ottaa käyttöön täysmääräisesti.
Tulee kirjauduttua niin monilta koneilta, että se tuo hankaluuksia