¿Deshabilitar el inicio de sesión raíz mejora la seguridad?

Recientemente encontré un argumento en contra de deshabilitar el inicio de sesión de un usuario root en Linux en http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html

Supongo que, si todos usan una autenticación de clave pública, no hay riesgo de perder la contraseña de root.

¿Siempre es mejor deshabilitar el inicio de sesión raíz a través de ssh?

La respuesta corta es que cuanto más pequeño sea su perfil de ataque, mejor. Siempre. Si no lo necesita o puede usar una alternativa como sudo o su, no habilite el inicio de sesión raíz.

Un gran argumento a favor de deshabilitar root y usar sudo / su es que puedes rastrear quién está haciendo qué. Un usuario: un inicio de sesión. Nunca comparta cuentas.

El argumento en ese enlace parece ser específico para el inicio de sesión local, en lugar de ssh.

Secundo el punto de Dennis, más:

Permitir el inicio de sesión de root a través de SSH también significa que se puede atacar a root mediante conjeturas de contraseña de fuerza bruta.

Debido a que la raíz siempre está ahí, y la recompensa es tan alta, es un objetivo prioritario. El nombre de usuario tendría que adivinarse primero, lo que agrega algunos órdenes de magnitud a la dificultad del problema.

Nunca deshabilite la cuenta raíz si no tiene acceso a la consola. Si su sistema de archivos se llena y el arranque falla mientras se crea / etc / nologin, solo la cuenta raíz podrá iniciar sesión en la máquina.

Dicho esto, si tiene acceso a la consola para hacer frente a estas situaciones, cerrar la cuenta raíz puede ahorrarle algunos dolores de cabeza, ya que nadie podrá acceder a la cuenta raíz mediante un ataque de diccionario (mi experiencia es que estos son constantes en estos días: alguien siempre lo intenta). Otras cosas que podrías pensar hacer:

• Instale un programa como fail2ban que cierre automáticamente el acceso a una dirección IP si falla la autenticación varias veces (para proteger activamente contra ataques de diccionario).
• Solo use las teclas ssh.
• Si administra muchas máquinas, use cfengine u otro para administrar las claves públicas que autoriza a ingresar a una máquina (o de lo contrario las obtendrá desactualizadas con bastante rapidez).

Saludos cordiales,
João Miguel Neves

Siempre es mejor deshabilitar el inicio de sesión raíz a través de SSH.

Hay sistemas PKI (por ejemplo, claves públicas con SSH) que se han visto comprometidos. SSH ya ha tenido fallas de autenticación remota anteriormente que permitieron que ocurriera un compromiso de raíz. Las PKI de software son notoriamente más débiles que las PKI basadas en hardware ... si su computadora host se ve comprometida, el servidor de destino también podría caerse fácilmente. O podría haber nuevos defectos encontrados en SSH. Al limitar el inicio de sesión raíz, también puede extender el período de tiempo que necesita un atacante para realizar la escalada de privilegios.

Históricamente, muchos administradores usaban hosts de bastión (básicamente puertas de enlace) para ingresar a una red y luego saltar a los cuadros. El uso de una distribución de alta seguridad (por ejemplo, OpenBSD) como host de bastión, junto con diferentes sistemas operativos, proporciona defensa en profundidad y defensa en diversidad (una vulnerabilidad menos probable que comprometa toda la red).

Considere también tener una conexión fuera de banda a su red, como un concentrador en serie, un conmutador en serie u otro. Esto proporcionará disponibilidad de respaldo de su interfaz administrativa si es necesario.

Debido a que estoy paranoico y en seguridad, sería más probable que use una VPN IPSEC o una VPN Tipo 1, y luego ejecute SSH además de eso, sin exposición a Internet de SSH en absoluto. Poner la VPN en su hardware de red puede simplificar dramáticamente esto en la implementación.

Deberíamos examinar esta pregunta desde diferentes puntos.

Ubuntu deshabilita la cuenta raíz de forma predeterminada, lo que significa que no puede iniciar sesión a través de SSH con root. Pero permite que cualquier persona con un CD de Ubuntu pueda arrancar y obtener acceso de root.

Creo que el mejor compromiso es habilitar la cuenta raíz con acceso SSH deshabilitado. Si necesita acceso root con SSH, inicie sesión con un usuario normal y use sudo. De esta manera, asegura el acceso a la caja, sin comprometer la seguridad remota.

Yo diría que sí, el inicio de sesión como root debería estar deshabilitado para auditabilidad. Si usted es el único administrador del sistema en esta máquina, es trivial determinar quién hizo qué a quién, pero si diez personas están autorizadas para administrar la caja y todas conocen la contraseña de root, tenemos un problema.

Independientemente de si la raíz está habilitada o no, ni a la raíz ni a ningún otro usuario se les debe permitir iniciar sesión de forma remota con una contraseña. fail2ban no hará nada contra una botnet lenta de fuerza bruta, y no funciona en absoluto con IPv6. (La versión 1 del protocolo ssh y las implementaciones anteriores de la versión 2 eran vulnerables a los ataques de adivinación de contraseñas contra las solicitudes de contraseña interactivas dentro de la sesión ssh, pero parece que ya no es el caso con una implementación ssh lo suficientemente reciente).