¿Es mejor usar una contraseña de root o usar 'sudo bash'?

5

Cuando hago muchas operaciones de sudo, me gusta generar un shell bash desde sudo para que las operaciones sean más rápidas. Estoy en contra de asignar una contraseña de root porque no me gusta la cuenta de root habilitada porque es un objetivo fácil para los hackers.

También tengo un par de problemas de seguridad con el uso de sudo bash , pero para mí, parece más seguro que simplemente habilitar al usuario root.

¿Qué opción es más segura? ¿Usar sudo bash para obtener un shell de nivel root como usuario normal, o simplemente habilitar la cuenta de root y usar su root para obtener acceso de root?

    
pregunta John 31.07.2014 - 10:24
fuente

3 respuestas

14

Para un sistema de un solo usuario, no hay mucha diferencia entre los dos desde una perspectiva de seguridad: en cualquier caso, el atacante debe adivinar una contraseña para obtener privilegios de superusuario.

La gran diferencia aparece en una situación en la que tienes varios administradores. En ese caso, el requerimiento de sudo crea una pista de auditoría de exactamente quién realizó qué acción administrativa.

    
respondido por el Mark 31.07.2014 - 10:45
fuente
10

¿A quién le preocupa?

Ataques desde Internet, por ejemplo, SSH? Puede prevenirlos en SSH , o limitar los inicios de sesión de root a los TTY locales. Consulte la Documentación de Red Hat para sugerencias .

¿Ataques de familiares y amigos? Entonces, debe recordar que sudo deja su cuenta raíz accesible sin contraseña durante unos minutos, por lo que podrían sudo su y luego passwd . ¡Es posible que aún quieras controlar tu cuenta de root si vives con personas a quienes les gusta hacer bromas!

¿Ataques de malware que se ejecutan en tu sesión? Entonces su única forma de mantenerse seguro es iniciar sesión como root solo en un TTY y sin utilizar sudo en absoluto. Cualquier cosa que escriba en su sesión X11 (la contraseña de root o la suya propia con sudo o gksudo o kdesu ) puede ser robada por cualquier proceso (visible o no visible) a través de la API de X, y los comandos pueden luego se debe inyectar de forma trivial en el terminal con una raíz acceso. El registro de teclas durante toda la sesión también es trivial.

    
respondido por el Steve DL 31.07.2014 - 11:22
fuente
1

No asignaría una contraseña a la cuenta raíz, lo que hace que sea muy fácil adivinar los nombres de usuario. Resolví este "problema" asignando mi cuenta a un grupo de administradores y le di a su grupo derechos de sudo sin el uso de una contraseña. Una vez que haya creado un grupo y se haya agregado, use visudo para modificar el archivo sudoers y añada la siguiente línea: %GROUPNAME ALL=NOPASSWD: ALL

Ahora puedes usar sudo sin tener que ingresar tu contraseña cada vez.

    
respondido por el BadSkillz 31.07.2014 - 10:42
fuente

Lea otras preguntas en las etiquetas