Servus Dennis, Am Freitag, 17. Oktober 2003 20:47 schrieb Dennis Stosberg:
Am Fr, den 17.10.2003 schrieb Martin Mewes um 20:00:
Wobei sich mir grundsätzlich die Frage stellt, ob das Einloggen als $user mit anschliessendem "su -" sicherer ist, als direkt mit root einzuloggen.
Vier Argumente für diese Variante sind offensichtlich:
(1) Eine Brute-Force-Attacke, um überhaupt einen Account einzunehmen ist schwieriger, weil nicht nur ein Kennwort zu einem bekannten existierenden Account, sondern auch ein gültiger Benutzername erraten werden muss.
Stimmt natürlich, muss zuerst den User "xyz" erraten, zusätzlich das passwort!
(2) Für einen Angreifer ohne Account sind zwei Hürden bis zum Root-Account zu nehmen.
Zwei? Drei: einen Usernamen erraten, dessen Passwort und das root-Passwort! [snip]
(4) Bei einem groben Fehler in OpenSSH wären ersteinmal nur die normalen Accounts gefährdet.
Na, und bei OpenSSh waren wir in letzter Zeit ja gesegnet mit Updates ;-).
Den SSH-Login für Root zu verbieten, ist sicher kein Wundermittel, aber es macht ein paar Angriffsszenarios schwieriger.
Ja, das war auch meine Überlegung. Die für einen Hack a la "Brute Force" benötigte Zeit müsste sich ja quadrieren -> grosse Chance durch Auswerten der logfiles was zu bemerken und den Rechner vom Netz zu nehmen.
MfG, Dennis
Gruss Michael