Gleichzeitig hat man die Sicherheit, dass man sich nicht als root anmelden kann.
... die worin besteht? Das ist wieder mal nur Phrasendrescherei. Wenn Dir das sudo-Konzept gefällt: nutze es.
(Themenstarter)
Anmeldungsdatum: Beiträge: 1833 |
... die worin besteht? Das ist wieder mal nur Phrasendrescherei. Wenn Dir das sudo-Konzept gefällt: nutze es. |
Anmeldungsdatum: Beiträge: Zähle... |
Das ist richtig, aber komplette Sätze zu hashen muss man auch erstmal schaffen, denn allein Hashing von Wörtern selbst geht tierisch in Speicher und Zeit und daraus dann noch Sätze in allen möglichen Varianten ... Viel Spaß 😀 Dass alles irgendwie knackbar ist, weiß ich selbst. Ich will nur drauf hinaus, dass sudo mit Sicherheit nicht dazu verleitet billige Passwörter zu nutzen und wer Passwörter mit max. 6 Zeichen verwendet, ist dann auch irgendwo selbst schuld, denn sogar wenn es Kauderwelsch ist, das hält keinem Bruteforce-Angriff lange stand und Hashes bekommt man für so kurze Dinger mit nahezu allen Kombinationen auch im Netz, muss man nicht mal lange suchen und das sagt jemand, der überhaupt nicht in der Untergrundszene unterwegs ist. Was die Cracks da alles drauf haben und bewerkstelligen vermögen, kann ich nicht mal erahnen. Darum ist es gerade bei Servern umso wichtiger, dass man sich da nen Kopf drum macht und das eine oder andere an Sicherheit in Erwägung zieht statt es auf die leichte Schulter zu nehmen, und Passwörter sind nunmal die erste Anlaufstelle dafür. |
Supporter
Anmeldungsdatum: Beiträge: 53625 Wohnort: Berlin |
Darin, dass man sich nicht als Root anmelden kann. Klingt logisch, ist aber so. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 1833 |
Wieder mal eine typische, sinnlose Aussage - reine Phrasendrescherei. |
Supporter
Anmeldungsdatum: Beiträge: 53625 Wohnort: Berlin |
Nein, eine Tatsache. Die meisten Angriffe auf Server laufen auf den Benutzer Hatten wir aber schonmal in diesem Thread. Wenn du das nicht begreifen kannst oder willst ist das eben so. |
Anmeldungsdatum: Beiträge: 6244 Wohnort: Berlin |
Ich würde vermuten, dass |
Anmeldungsdatum: Beiträge: 63 |
http://blog.sucuri.net/2013/07/ssh-brute-force-the-10-year-old-attack-that-still-persists.html Nur so als beispielhaften Anhaltspunkt ... |
Anmeldungsdatum: Beiträge: 6244 Wohnort: Berlin |
Danke. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 1833 |
Nochmals: man muß root-Login ja nicht erlauben. Dazu sehe ich keine Notwendigkeit. Das heißt aber nicht, daß das sudo-Konzept sicherer ist, als ein gesetztes, sicheres root-Passwort. Wenn in dem von Akeshihiro verlinktes Szenario der geknackte User in den sudoers ware, wäre der Eindringling sofort root. Ich beleibe dabei: normaler Account zum Einloggen und Arbeiten ohne sudo-Rechte + seperater root-Account mit eigenem Passwort, wobei sich root nicht übers Netz einloggen darf, ist sicherer. |
Anmeldungsdatum: Beiträge: 4101 |
Und was hält dich davon ab für sudo ein seperates Passwort zu verwenden? Deaktivierst du den root-Account, so fällt schon einmal ein Angriffsvektor weg. Der Zugang via SSH sollte sowieso via PKI funktionieren, d.h. auch hier fällt ein Angriffsvektor weg. Den Private Key sicherst du via Passwort und für die root-Rechte via sudo kannst du noch einmal ein eigenes Passwort setzen. |
Anmeldungsdatum: Beiträge: 6244 Wohnort: Berlin |
Wie geht das bitte? |
Anmeldungsdatum: Beiträge: 4101 |
Das geht über die targetpw-Option in /etc/sudoers. Allerdings wird dann versucht, sich als root anzumelden. D.h. das muss man dann noch entsprechend auf einen weiteren Account umbiegen, sonst hat man davon keinen Vorteil. |