1

Я - ленивый пользователь linux и часто использую очень короткие пароли для моей основной учетной записи пользователя.

Теперь, надеюсь, мой брандмауэр позаботится о блокировке большинства нежелательных попыток доступа, а ОС (насколько это возможно) справится с атаками эксплойтов.

Во всяком случае, я хочу иметь удаленный доступ по SSH, когда я на улице. Так что мне делать?

Я отключаю всех пользователей для ssh, включая мою основную учетную запись, и разрешаю одному пользователю ssh с супер-паролем.

Это хорошая практика? почему бы и нет}?

Так вот вопрос ... учитывая , что это доброжелательное действие, я хотел бы, чтобы в дальнейшем отключить все команды для этого пользователя SSH (Ls, компакта - диска, и т.д.) , за исключением одного> Суд или су.

(конечно же, учетная запись root также имеет удивительно длинный и причудливый квантовый пароль пришельцев).

Конечно, все, что нужно сделать, это купить какое-то время (нужно будет угадать / узнать другое имя пользователя с помощью ленивого пароля, а затем сделать еще одну атаку «радуга / грубое насилие»), однако это может или могло бы заставить меня заметить, что кто-то плохая девочка

Кто-то может сказать .. пожалуйста, используйте мега-пароль для allaccounts, но, как я уже сказал ... Я выполняю так много команд sudo и т.д. В течение дня администратора. Я ленюсь...

Любые другие идеи или практические советы или способы уменьшения поверхности атаки для Linux-машин (серверы / клиенты) приветствуются.

РЕДАКТИРОВАТЬ: О, вы ... схема коротких паролей здесь, игнорирует физические атаки входа в систему ... это чисто по сети.

EDIT2: возможно, bash-скрипт, который прослушивает стандартный ввод имени пользователя ... который затем запускает su $ 1 и выполняет usermod -s script.sh ssh_user? или это вводит другие опасности?

Для тех, кто может быть заинтересован .. Я написал простой не многословный скрипт, который ожидает специального рукопожатия перед запуском su my_lazy_user и указал его как оболочку входа в систему.

Кажется, достаточно хорошо для меня. Если это приводит к другим методам атаки ... пожалуйста, кричите.

(Я доволен обработкой ошибок скрипта, которая, если не задействованы атаки кучи, стека или буфера, должна быть в порядке).

Благодарю.

1 ответ1

1

Я полагаю, что самым простым вариантом было бы использовать chsh чтобы изменить оболочку для этого пользователя на скрипт, который выполняет команду su (потому что я не думаю, что вы можете настроить параметры для оболочки пользователя).

Используя стандартную оболочку и пытаясь запретить встроенные функции, такие как ls и cd ... не повезло с этим. Но поскольку то, что вы действительно хотите, намного проще, чем предполагает заголовок, это должно сработать. Вы даже можете попросить пользователя su в сценарии. Все должно быть безопасно, так как когда кто-то закрывает скрипт, это будет означать, что оболочка входа в систему была прервана, а соединение закрыто.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .