[Comm] root & SSHd

[Alexey S. Kuznetsov]

Hello!

Friday, June 3, 2005, 4:24:03 AM, you wrote:

> On Thu, Jun 02, 2005 at 07:34:43PM +0400 Dmitry V. Levin wrote:
>> On Thu, Jun 02, 2005 at 11:24:05AM +0400, Ivanov Maxim wrote:
>> > Вы писали 2 июня 2005 г., 10:16:15:
>> > > В сообщении от 2 Июнь 2005 11:07 Ivanov Maxim написал(a):
>> > >>
>> > >> Уважаемые, подскажите, если кто знает:
>> > >> как  в  Мастере  реализовано  такая фича: удаленно по SSH подключиться
>> > >> сразу  рутом  нельзя,  можно  только пользователем, а потом через su -
>> > >> поднять свои привилегии до рутовых?
>> > >> Это  как-то  настраивается или реализовано как-то на уровне ядра? Я не
>> > >> хочу  угробить  эту  замечательную  вещь,  просто  интересно,  КАК это
>> > >> сделано?
>> > >>
>> > 
>> > > Не поверите: одна опция в настройках демона SSH.
>> > 
>> > > /etc/openssh/sshd_config, параметр PermitRootLogin (on/off)
>> > 
>> > Спасибо, это именно оно!
>> 
>> Помните, что подключение к сети сервера, у которого sshd запущен с
>> настройками "PermitRootLogin yes" и "PasswordAuthentication yes",
>> приведёт к тому, что этот сервер рано или поздно перейдёт в управление
>> посторонними.  Это экспериментально установленный факт.
>> 

> А каким образом посторонний получит ключ от root'а?

> Вообще, посоветуйте, пожалуйста, грамотные меры для
> обеспечения безопастного доступа по ssh.

запретить в фаерволе коннекты от неизвестных ИП, а также в
/etc/hosts.deny прописать на всякий случай SSHD: ALL
а в /etc/hosts.allow прописать разрешённые для ССХ ИП.


-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE