¿Por qué la cuenta de administrador o superusuario nunca se bloquea, independientemente del número de intentos de inicio de sesión incorrectos?
¿Qué se debe hacer para alertar al personal sobre el intento de intrusión?
¿Por qué la cuenta de administrador o superusuario nunca se bloquea, independientemente del número de intentos de inicio de sesión incorrectos?
¿Qué se debe hacer para alertar al personal sobre el intento de intrusión?
La mayoría de las veces se bloquea. No en el sentido de bloquear la cuenta, pero bloquear la IP que intentó conectarse.
Yo uso OSSEC. Si alguien intenta iniciar sesión en CUALQUIER cuenta erróneamente más de 5 veces, se bloqueará la IP de conexión y recibiré un correo electrónico con la IP que intentó iniciar sesión.
Para evitar que se bloquee, puede agregar a la lista blanca algunas direcciones IP que nunca se bloquearán.
Superusuario en Unix / Linux aka. La raíz no debe tener una contraseña en primer lugar o solo debe aceptarse desde la consola física. Exactamente por esta razón. Es una mala práctica iniciar sesión como root, es mejor iniciar sesión como usuario normal y luego sudo a root.
Lea otras preguntas en las etiquetas authentication unix intrusion