Γιατί είναι μια τρομερή ιδέα:
* μαζική ευπάθεια ασφαλείας: Εάν ορίσετε έναν προεπιλεγμένο κωδικό πρόσβασης, οποιοσδήποτε γνωρίζει ότι μπορεί να συνδεθεί αμέσως και να πάρει τον έλεγχο του συστήματος. Αυτό περιλαμβάνει κακόβουλους ηθοποιούς στο δίκτυό σας ή στο ευρύτερο Διαδίκτυο.
* Εύκολα εκμεταλλευτικά: Οι χάκερ σαρώνουν ενεργά για συστήματα με προεπιλεγμένα διαπιστευτήρια. Είναι συχνά το πρώτο πράγμα που προσπαθούν.
* Παραβίαση πολιτικών ασφαλείας: Οι περισσότεροι οργανισμοί έχουν αυστηρούς κανόνες έναντι προεπιλεγμένων κωδικών πρόσβασης. Πιθανότατα παραβιάζετε τις πολιτικές εταιρικής ασφάλειας.
* Λειτουργία δεδομένων: Μόλις ένας εισβολέας είναι μέσα, μπορούν να κλέψουν, να τροποποιήσουν ή να διαγράψουν ευαίσθητα δεδομένα.
* Λοίμωξη συστήματος: Ένα συμβιβασμένο σύστημα μπορεί να χρησιμοποιηθεί ως εκτόξευση για επιθέσεις σε άλλα συστήματα.
Πώς είναι * τεχνικά * πιθανό (αλλά μην το κάνετε αυτό για τα συστήματα παραγωγής):
1.
Αυτό χρησιμοποιείται συχνά σε αυτοματοποιημένες εγκαταστάσεις συστήματος ή kickstart εγκαταστάσεις. Θα μπορούσατε να συμπεριλάβετε ένα σενάριο που χρησιμοποιεί το `passwd` με την επιλογή` --stdin 'για να ορίσετε έναν κωδικό πρόσβασης.
`` `bash
echo "default_password" | passwd --stdin user_account
`` `
* Αντικαταστήστε το `default_password` με τον πραγματικό κωδικό πρόσβασης που (ανόητα) θέλετε να χρησιμοποιήσετε.
* Αντικαταστήστε το `user_account` με το όνομα του χρήστη που θέλετε να αντιστοιχίσετε τον κωδικό πρόσβασης σε (π.χ. root ').
ΣΗΜΑΝΤΙΚΟ:Αυτό * πρέπει να γίνει * κατά τη διάρκεια της αρχικής ρύθμισης του συστήματος * πριν * το σύστημα είναι συνδεδεμένο σε οποιοδήποτε δίκτυο. Αλλάξτε αμέσως τον κωδικό πρόσβασης σε έναν ισχυρό, μοναδικό κωδικό πρόσβασης * μετά από * την πρώτη σύνδεση.
2. Τροποποίηση `/etc/shadow` (χειρισμός άμεσου κωδικού πρόσβασης):
Αυτή είναι η * πιο επικίνδυνη και περίπλοκη μέθοδος. Θα χρειαστεί να:
* Δημιουργήστε το hash κωδικού πρόσβασης (χρησιμοποιώντας το `openssl passwd` ή ένα παρόμοιο εργαλείο).
* Επεξεργαστείτε απευθείας το αρχείο `/etc/shadow` (θα χρειαστείτε προνόμια ρίζας). Αυτό το αρχείο περιέχει τους κρυπτογραφημένους hashes κωδικού πρόσβασης και άλλα στοιχεία λογαριασμού.
* Η εσφαλμένη επεξεργασία του `/etc/shadow` μπορεί να σας κλειδώσει εξ ολοκλήρου από το σύστημα.
Αυτό δεν συνιστάται υπό οποιεσδήποτε συνθήκες, εκτός εάν ασχολείστε με ένα σπασμένο σύστημα και πρέπει να ανακτήσετε την πρόσβαση. Ακόμα και τότε, να είστε εξαιρετικά προσεκτικοί.
πολύ καλύτερες εναλλακτικές λύσεις (χρησιμοποιήστε αυτά τα!):
* για τις αυτοματοποιημένες δημιουργίες συστήματος (Kickstart, JumpStart):
* Δημιουργία τυχαίων κωδικών πρόσβασης: Χρησιμοποιήστε ένα σενάριο για να δημιουργήσετε έναν ισχυρό, τυχαίο κωδικό πρόσβασης για κάθε σύστημα. Αποθηκεύστε με ασφάλεια τους κωδικούς πρόσβασης (κρυπτογραφημένοι) και διανείμετε τους σε εξουσιοδοτημένο προσωπικό.
* Πρώτο σενάριο εκκίνησης για να αναγκάσει την αλλαγή κωδικού πρόσβασης: Δημιουργήστε ένα σενάριο που εκτελείται στην πρώτη εκκίνηση του συστήματος. Αυτό το σενάριο πρέπει να * αναγκάσει * τον χρήστη (ειδικά `root ') για να αλλάξει τον κωδικό πρόσβασής του αμέσως. Αυτή είναι μια κοινή και αποτελεσματική πρακτική.
* Έλεγχος ταυτότητας δημόσιου κλειδιού (πλήκτρα SSH): Αντί για κωδικούς πρόσβασης, χρησιμοποιήστε πλήκτρα SSH. Αυτό είναι σημαντικά πιο ασφαλές. Μπορείτε να αναπτύξετε δημόσια κλειδιά στο αρχείο `urityized_keys` των λογαριασμών χρηστών κατά τη διάρκεια της δημιουργίας του συστήματος.
* για μεμονωμένα συστήματα:
* Ισχυροί, μοναδικοί κωδικοί πρόσβασης: Επιλέξτε ισχυρούς κωδικούς πρόσβασης (μακρύς, σύνθετος, τυχαίων) που είναι * μοναδικοί * για κάθε σύστημα. Χρησιμοποιήστε έναν διαχειριστή κωδικού πρόσβασης για να σας βοηθήσει να δημιουργήσετε και να αποθηκεύσετε τους κωδικούς πρόσβασης με ασφάλεια.
* Κανονικές αλλαγές κωδικού πρόσβασης: Εφαρμόστε μια πολιτική τακτικών αλλαγών κωδικού πρόσβασης (π.χ. κάθε 90 ημέρες).
* Έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA): Όποτε είναι δυνατόν, ενεργοποιήστε το MFA (π.χ., χρησιμοποιώντας μια εφαρμογή TOTP όπως το Google Authenticator ή το Authy). Αυτό προσθέτει ένα επιπλέον στρώμα ασφάλειας πέρα από τους κωδικούς πρόσβασης.
* Απενεργοποιήστε την σύνδεση SSH με βάση τον κωδικό πρόσβασης (εάν χρησιμοποιείτε πλήκτρα SSH): Μόλις ρυθμίσετε τα πλήκτρα SSH, απενεργοποιήστε τις συνδέσεις με βάση τον κωδικό πρόσβασης σε `/etc/ssh/sshd_config` ρυθμίζοντας` passwordauthentication no '. Αυτό εμποδίζει τους επιτιθέμενους να προσπαθούν να βρουν τους κωδικούς πρόσβασης.
Παράδειγμα δημιουργίας τυχαίου κωδικού πρόσβασης σε ένα σενάριο:
`` `bash
#!/bin/bash
Κωδικός πρόσβασης =$ (OpenSSL RAND -BASE64 16)
echo "$ κωδικός" | passwd -sstdin newuser
Echo "Δημιουργημένος κωδικός πρόσβασης για το Newuser:$ Password"
`` `
Key Takeaways:
* Ποτέ, χρησιμοποιείτε ποτέ έναν προεπιλεγμένο κωδικό πρόσβασης σε ένα σύστημα που θα συνδεθεί σε ένα δίκτυο.
* Προτεραιότητα στην ασφάλεια μέσω της ευκολίας.
* Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης, πλήκτρα SSH και MFA όποτε είναι δυνατόν.
* Αυτοματοποιήστε την παραγωγή κωδικού πρόσβασης και τη διανομή κατά τη διάρκεια της δημιουργίας του συστήματος.
* Αλλαγές κωδικού πρόσβασης δύναμης στην πρώτη σύνδεση.
Εάν περιγράψετε * γιατί * νομίζετε ότι χρειάζεστε έναν προεπιλεγμένο κωδικό πρόσβασης, μπορώ να σας δώσω πιο συγκεκριμένες και ασφαλείς λύσεις.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα