velis Asked: 2017-05-09 02:35:19 +0800 CST2017-05-09 02:35:19 +0800 CST 2017-05-09 02:35:19 +0800 CST 具有无密码 sudoers 帐户的无头 linux 服务器有多安全 772 访问服务器控制台的唯一方法是通过 ssh,使用密钥。此外,通过利用服务器正在运行的各种服务。 我的管理帐户(属于 sudo 组)没有密码,但 root 有。 这被认为是不安全的吗? linux 2 个回答 Voted Best Answer sd40 2017-05-09T07:04:15+08:002017-05-09T07:04:15+08:00 “这被认为是不安全的吗?” 根据提供的信息。我不得不说是的。以下是我会担心的一些事情: 什么可以防止有人进入服务器位置、连接监视器、将服务器置于单用户模式以及重置 root 密码? 您的 ssh 密钥是如何存储的?它们是否位于未加密的笔记本电脑、闪存驱动器或其他容易被盗或放错位置的磁盘上? 服务器上是否存在具有默认密码或弱密码的 drac 或 iLO 连接,可以授予某人控制台访问权限? 控制台是否已注销?我发现许多服务器在访问控制台时,root 用户仍然从上次访问时登录。 拥有一个没有密码且具有 sudo 访问权限的用户,无论其如何被利用,都是一个巨大的安全漏洞。 您只允许基于密钥的身份验证吗?如果没有,我会编辑 ssh 配置以防止密码验证尝试,以防有人偶然发现您未受保护的用户帐户。 为您的用户帐户配置密码需要两秒钟,只需执行此操作即可。 Ginnungagap 2017-05-09T03:47:55+08:002017-05-09T03:47:55+08:00 总而言之,您有一个未受保护的管理员用户,其唯一保护是用户名不常见(可能)。使用此帐户,您sudo无需密码即可,因此任何设法在您的管理用户下运行的人基本上都是 root。 /etc/passwd每个人都可以阅读,这使得查找用户名相当简单,因此您的管理员帐户基本上没有安全性。 与大多数系统一样,它的设计目的是供管理员以外的任何人访问。不幸的是,像大多数系统一样,您的服务暴露于外部世界,这使您的服务器容易受到您(以及世界其他大部分地区)可能没有意识到的许多潜在攻击。 当然,如果您没有其他用户,它会降低风险,但仍然允许su您的管理员帐户能够在没有保护的情况下运行 root 命令,这至少可以说是粗心的。如果您实在无法忍受输入sudo密码的麻烦,请考虑使用密码保护您的管理员用户,并在/etc/sudoers. 这仍然不是很好的安全性,但至少您的管理员帐户不会那么容易访问。
“这被认为是不安全的吗?” 根据提供的信息。我不得不说是的。以下是我会担心的一些事情:
什么可以防止有人进入服务器位置、连接监视器、将服务器置于单用户模式以及重置 root 密码?
您的 ssh 密钥是如何存储的?它们是否位于未加密的笔记本电脑、闪存驱动器或其他容易被盗或放错位置的磁盘上?
服务器上是否存在具有默认密码或弱密码的 drac 或 iLO 连接,可以授予某人控制台访问权限?
控制台是否已注销?我发现许多服务器在访问控制台时,root 用户仍然从上次访问时登录。
拥有一个没有密码且具有 sudo 访问权限的用户,无论其如何被利用,都是一个巨大的安全漏洞。
您只允许基于密钥的身份验证吗?如果没有,我会编辑 ssh 配置以防止密码验证尝试,以防有人偶然发现您未受保护的用户帐户。
为您的用户帐户配置密码需要两秒钟,只需执行此操作即可。
总而言之,您有一个未受保护的管理员用户,其唯一保护是用户名不常见(可能)。使用此帐户,您
sudo
无需密码即可,因此任何设法在您的管理用户下运行的人基本上都是 root。/etc/passwd
每个人都可以阅读,这使得查找用户名相当简单,因此您的管理员帐户基本上没有安全性。与大多数系统一样,它的设计目的是供管理员以外的任何人访问。不幸的是,像大多数系统一样,您的服务暴露于外部世界,这使您的服务器容易受到您(以及世界其他大部分地区)可能没有意识到的许多潜在攻击。
当然,如果您没有其他用户,它会降低风险,但仍然允许
su
您的管理员帐户能够在没有保护的情况下运行 root 命令,这至少可以说是粗心的。如果您实在无法忍受输入sudo
密码的麻烦,请考虑使用密码保护您的管理员用户,并在/etc/sudoers
.这仍然不是很好的安全性,但至少您的管理员帐户不会那么容易访问。