SV: Varför är defaultinställningen att root kan logga in i openssh-server?

HenrikAn · Inlägg av **HenrikAn** » 05 apr 2007, 10:04

Som jag nämner i min utförliga och nogsamt konstruerade rubrik... varför vill man att root ,som man i normala fall inte känner till lösenordet för, ska kunna ssh:a in?
Jag är kanske paranoid (okey då, jag ÄR paranoid), men för det första ger det ju möjlighet att göra intrångsförsöken på ett konto som en cracker vet finns.
För det andra kan man alltså logga in på ett rootkonto med ett lösenord som jag inte har någon kontroll över hur det genererats. Inte för att jag misstror Canonical men skulle det finnas brister i lösenordsgenereringen så sitter man där med skägget i brevlådan...

Vad är det jag missuppfattat?

Okänd · Inlägg av **Okänd** » 05 apr 2007, 10:15

Varför är det så ...

Ingen aning...

Hursomhelst så ska rootaccessen tas bort "bums"...

http://linux.go2linux.org/node/42

Skälet till detta är ju att just port 22 är bomarderad av
diverse sniffers, automagiskt eller manuellt av nån "slyngel"....

http://isc.sans.org/port.html?port=22

HenrikAn · Inlägg av **HenrikAn** » 05 apr 2007, 10:18

Ja, hos mig kan inte root logga in och jag kör inte på standardport, men att köra port 22 som default är väl okey.

Brute force-ssh:ning verkar vara den stora fritidssysslan i asien nu för tiden...

<edit>
Verkar inte vara någon fara: https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/91114, men det känns ändå onödigt...
</edit>

Okänd · Inlägg av **Okänd** » 05 apr 2007, 14:50

HenrikAn skrev: Ja, hos mig kan inte root logga in och jag kör inte på standardport, men att köra port 22 som default är väl okey.

Brute force-ssh:ning verkar vara den stora fritidssysslan i asien nu för tiden...

<edit>
Verkar inte vara någon fara: https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/91114, men det känns ändå onödigt...
</edit>

Yup.....siffrorna från Sans är då från deras D-Shield med en massa rapportörer jorden runt.

http://www.dshield.org/indexd.html

Men det är ju mycket svårare att försöka brute forca både
användarnamn och password.

The bad guys eller slynglarna väljer ju root burkar...

Hela listan på "ökenportar" inkl överlevnadstid för en skyddad/opatchad Windowz burk...
4 minuter...

Unix har då som känt några "känsliga" hål.... (efter överlevnadsdiagrammet)

http://isc.sans.org/survivaltime.html

Emil.s · Inlägg av **Emil.s** » 05 apr 2007, 20:04

Jo riktigt dumt. Men det är ju i allafall lätt att fixa, men det kanske inte alla nybörjare tänker på...

Men annars så löser "fail2ban" alla problem.

Okänd · Inlägg av **Okänd** » 05 apr 2007, 20:27

Emil.s skrev: Jo riktigt dumt. Men det är ju i allafall lätt att fixa, men det kanske inte alla nybörjare tänker på...

Men annars så löser "fail2ban" alla problem.

Njau... Ubuntu måste nog fundera kring det här...inte bra...många "newbies" kör
ju också med password som är mycket lättknäckta..

En till sak är det här med att knäpper man på sin share via Samba o NFS
så delas hela Home ut som default....

Elementär miss som mS lärde sig med Windows 95..

Emil.s · Inlägg av **Emil.s** » 06 apr 2007, 14:37

plun skrev:
Emil.s skrev: Jo riktigt dumt. Men det är ju i allafall lätt att fixa, men det kanske inte alla nybörjare tänker på...

Men annars så löser "fail2ban" alla problem.
Njau... Ubuntu måste nog fundera kring det här...inte bra...många "newbies" kör
ju också med password som är mycket lättknäckta..

En till sak är det här med att knäpper man på sin share via Samba o NFS
så delas hela Home ut som default....

Elementär miss som mS lärde sig med Windows 95..

Jo, "ls -l /home/" på ett standardsystem gör mig ledsen... $:-\$
Hur tänkte de egentligen?