SSH Acceso a Personal Server sudo vs su

4

Tengo un servidor que ejecuta Debian, que está en la web, y tiene poco tráfico (lo uso esencialmente para algunos archivos, calendarios, etc. para mí). En un intento por asegurar su acceso, hice lo siguiente en la configuración de ssh:

  • iniciar sesión solo con claves SSH,
  • no se permite el inicio de sesión de root.

Luego inicio sesión como mi usuario principal (y esencialmente solo), y uso su para cambiar a root cuando sean necesarias operaciones administrativas.

Navegando por el sitio, obtuve que sudo derechos para el usuario es una opción preferida. Pero el principal argumento común para ello, es cuando se comparten derechos administrativos. Lo que no es un problema para mí. Puedo ver lo siguiente

  • su > sudo : se requieren dos contraseñas: la clave ssh para ingresar como usuario y luego la contraseña de root. Así que alguna forma de doble protección.
  • sudo > su : si sudo se establece con NOPASSWD , entonces no se transmite ninguna contraseña a través de Internet, y además, no se ingresa ninguna contraseña, lo que anula a los keyloggers.
  • Dirija la clave SSH a root : facilite la copia de seguridad remota, la auditoría, etc. Pero parece menos seguro ya que se conoce el nombre de usuario raíz y se requiere una sola contraseña (ssh-key).

¿Cuál es la forma más segura de realizar tareas administrativas en mi propio servidor?

¿Debo suponer que la protección de SSH-Keys me deja solo para elegir entre el robo de ssh-key o el registro de teclas? ¿Y cuál es el más común de esos? Si eso es relevante, solo me conecto a él directamente desde la computadora de mi casa o desde mi teléfono móvil a través de otro servidor (para que la clave ssh no esté almacenada en mi teléfono).

    
pregunta bilbo_pingouin 02.12.2015 - 15:54
fuente

1 respuesta

1

Bueno, si está utilizando sudo, puede usar el archivo sudo (solo editable por quienes tienen permisos) para controlar lo que su usuario puede hacer, por ejemplo, podría convertir a su propio usuario en una raíz con sudo -s o podría permitir ellos solo usan ciertos comandos e incluso los parámetros que les permites en el archivo sudo, así que si estoy entendiendo correctamente (alguien me corrige si estoy equivocado)

La mejor opción es sudo y bloquear / abrir ciertas reglas para su usuario para que pueda realizar ciertas tareas, solo debe usar root como último recurso para la seguridad de su propio sistema.

Olvidé agregar, tener una contraseña es la mejor manera de hacerlo si cambias constantemente de máquina, aunque esto te deja abierto a ataques de fuerza bruta. a menos que, obviamente, utilice un fail2ban y, a menudo, gire las contraseñas.

La mejor opción es usar una clave y una contraseña, pero eso significa que todos los dispositivos que uses necesitarán esta clave.

    
respondido por el TheHidden 02.12.2015 - 15:57
fuente

Lea otras preguntas en las etiquetas