Я - ленивый пользователь linux и часто использую очень короткие пароли для моей основной учетной записи пользователя.
Теперь, надеюсь, мой брандмауэр позаботится о блокировке большинства нежелательных попыток доступа, а ОС (насколько это возможно) справится с атаками эксплойтов.
Во всяком случае, я хочу иметь удаленный доступ по SSH, когда я на улице. Так что мне делать?
Я отключаю всех пользователей для ssh, включая мою основную учетную запись, и разрешаю одному пользователю ssh с супер-паролем.
Это хорошая практика? почему бы и нет}?
Так вот вопрос ... учитывая , что это доброжелательное действие, я хотел бы, чтобы в дальнейшем отключить все команды для этого пользователя SSH (Ls, компакта - диска, и т.д.) , за исключением одного> Суд или су.
(конечно же, учетная запись root также имеет удивительно длинный и причудливый квантовый пароль пришельцев).
Конечно, все, что нужно сделать, это купить какое-то время (нужно будет угадать / узнать другое имя пользователя с помощью ленивого пароля, а затем сделать еще одну атаку «радуга / грубое насилие»), однако это может или могло бы заставить меня заметить, что кто-то плохая девочка
Кто-то может сказать .. пожалуйста, используйте мега-пароль для allaccounts, но, как я уже сказал ... Я выполняю так много команд sudo и т.д. В течение дня администратора. Я ленюсь...
Любые другие идеи или практические советы или способы уменьшения поверхности атаки для Linux-машин (серверы / клиенты) приветствуются.
РЕДАКТИРОВАТЬ: О, вы ... схема коротких паролей здесь, игнорирует физические атаки входа в систему ... это чисто по сети.
EDIT2: возможно, bash-скрипт, который прослушивает стандартный ввод имени пользователя ... который затем запускает su $ 1 и выполняет usermod -s script.sh ssh_user? или это вводит другие опасности?
Для тех, кто может быть заинтересован .. Я написал простой не многословный скрипт, который ожидает специального рукопожатия перед запуском su my_lazy_user и указал его как оболочку входа в систему.
Кажется, достаточно хорошо для меня. Если это приводит к другим методам атаки ... пожалуйста, кричите.
(Я доволен обработкой ошибок скрипта, которая, если не задействованы атаки кучи, стека или буфера, должна быть в порядке).
Благодарю.