LINUX.ORG.RU
ФорумAdmin

ssh root login


0

1

как при конекте по ssh сразу обладать рутом ? что где поковырять ? и не вводить постоянно sudo -s )))))))))))))))


«PermitRootLogin yes» в /etc/ssh/sshd_config

и логинится под рутом

genesis_error
()

/etc/ssh/sshd_config:

PermitRootLogin yes

x0r ★★★★★
()

Почитать man sshd_config на предмет опций, в которые входит логин суперпользователя. Но раз ты о таком спрашиваешь, то тебе, скорее всего, лучше не трогать ничего, иначе тебя выломают как ребёнка.

Нормальные адекватные люди админы (даже локалхоста) никогда не разрешают удалённый логин рута.

adriano32 ★★★
()

логиниться рутом
если не получается: админ хоста умней тебя и понимает, что это ппц что за дыра
если админ той машинки ты, то ковыряй конфиг sshd
а вообще - никогда так не делай!

megabaks ★★★★
()
Ответ на: комментарий от CyberDx

Все закрываю тему, наверно загнался, логичнее не заходить под рутом.

CyberDx
() автор топика

Правильно умные люди советуют, не надо логиниться под root!

static ★★
()

Можно настроить аутентификацию по ключу для любого пользователя, да и безопаснее чем по паролю.

fedkoff
()

ну ты понел что теперь тебя можно брутить на рута, да?

Sonsee
()
Ответ на: комментарий от megabaks

> если не получается: админ хоста умней тебя и понимает, что это ппц что за дыра

Не то, чтобы это была вот прямо дыра. Просто на один пароль меньше подбирать, чем если поломать пользователя. А уж если пользователю sudo su доступен, то, и вовсе, без разницы. Основное удобство в нехождении под root - это если админов более одного, можно понять, кто что где делал, если разбор полётов нужен. А дыра - это возможность перебора паролей по ssh, как таковая. Всего-то надо recent задействовать в iptables, это если нельзя доступ по ip ограничить.

AS ★★★★★
()
Ответ на: комментарий от AS

sudo - дыра!
потому не место ему на нормальной машине
su - от него профита ноль
после логина юзера весь трафик шифруется
если кому хоца разбираться в этом - пусть - тут ни ключи ни запреты тогда не спасут

megabaks ★★★★
()
Ответ на: комментарий от megabaks

Категоричность это хорошо. Всегда набираете /bin/su - ?

после логина юзера весь трафик шифруется

Только после? А во время логина?

mky ★★★★★
()
Ответ на: комментарий от mky

во время логина (без ключа) трафик прямым текстом идёт
если это не изменили сейчас

megabaks ★★★★
()
Ответ на: комментарий от adriano32

я бы банил

а мы выдвигали тебя в модеры =) сам не захотел =)

alikhantara
()

Вот же, блин, люди пошли: одним подавай автологин в gdm на рута, другим - рута по ssh...

Эдак с вами, господа бубунтофилы, скоро в линухах вирусни будет не меньше, чем в мастдае...

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от AS

Просто на один пароль меньше подбирать, чем если поломать пользователя.

Для начала еще логин угадать надо :)

А уж если пользователю sudo su доступен, то, и вовсе, без разницы.

Хватит sudo bash с тем же паролем, что у пользователя, а не рута. Поэтому, как всегда, повторю: криво настроенное sudo - отличная дырища в системе. Лучше его вообще не ставить. Физически. Хватит su.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от adriano32

Ни к чему.

Объяснили человеку, как рутовый логин разрешить - дальше само. Гггг.

// Ещё надо двадцать второй порт выставить, конечно.

Hoodoo ★★★★★
()
Ответ на: комментарий от Eddy_Em

а как его можно криво настроить? дать всем выполнять все?
у меня например все кто в группе WHEEL могут выполнять любые команды от рута без пароля. но кого-попало в эту группу я не включаю =)

Komintern ★★★★★
()
Ответ на: комментарий от Komintern

а как его можно криво настроить?

Например, прописать кому-нибудь ALL=(ALL) NOPASSWD: ALL, или прописать ALL=(ALL) ALL, не указав, что в качестве пароля должен использоваться пароль рута, а не пользователя.

И вообще, по-человечески, sudo нафиг не нужен: если какой-то программкой (например, mount) должны пользоваться непривилегированные пользователи, достаточно или найти ей замену (fuse и т.п.), или поставить suid-бит.

у меня например все кто в группе WHEEL могут выполнять любые команды от рута без пароля.

Ааааааааааааа...

Eddy_Em ☆☆☆☆☆
()
  • Настроить аутентификацию по ключам
  • Научиться использовать screen или tmux
  • Открыть необходимые «вкладки» в screen'е, например, r00t, sh, log и т.д.
  • Осилить .ssh/config
  • Для подключения к хосту использовать ssh -t pbx 'screen -rd'
  • Опционально настроить
    -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit

Как правильно заметили выше, рут логин это не такая уж большая дыра при правильной настройке фильтрации и pwgen -s 12 1. Это скорее плохой тон )

anton_jugatsu ★★★★
()
Ответ на: комментарий от fedkoff

А еще лучше

авторизация по ключу с паролем, просто подобрать пароль не получится, еси нету ключа. Если кто то спер ключ, надо знать пароль к нему.

Все кто не дает логиниться руту удаленно... параноики. Все можно только надо понимать что как и зачем.

alex_sim ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.