n.baensch schrieb:
[…] Ich nutze gerne andere accounts als zb root um angriffe um einen weiteren (wenn auch minimalen) Punkt komplexer zu machen.
Wenn Du Dein System über einen anderen Benutzer verwalten möchtest, musst Du diesem anderen Benutzer die universellen Rechte wie root
geben. Damit ist aus Sicht der Systemsicherheit nichts gewonnen. Zwar muss nun ein Angreifer erst einmal den anderen Benutzernamen erraten, aber nun gibt es im System zwei Allmächtige, welche ein Angreifer missbrauchen kann.
Der von Dir angestrebte zweifelhafte Schutz durch „Sicherheit durch Obskurität“ kann auch einfach durch Umbenennen von root
auf einen von Dir geheim gehaltenen Namen Namen erreicht werden.
Root darf sich auf meinen Systemen eben nicht mehr per SSH anmelden.
Das ist normalerweise eine gute Idee, wenn auf dem System keine Fernwartung erforderlich ist oder diese Fernwartung über den Sudo-Mechanismus durch einen anderen Benutzer geleistet werden kann. In den Fällen, wenn dieser Mechanismus zu umständlich ist, spricht aber nichts gegen eine gut abgesicherte Anmeldung als root
per ssh. „Gut abgesichert“ bedeutet:
eben keine Authentifizierung per Passwort, sondern nur über kryptografische Zertifikate
niemals per WLAN
ggf. Einschränkung auf bestimmte Gegenstellen (z.B. nur LAN, nicht Internet)
ggf. Einschränkung der zulässigen Anmeldezeiten
Brute-Force-Angriffe erschweren durch Begrenzung der Rate für Anmeldeversuche
…