Ποια παράμετρος και τιμή χρησιμοποιείται για να επιτρέπεται η σύνδεση SSH ως ρίζα του διακομιστή OpenSSH Long User εισέρχεται στον κωδικό πρόσβασης;

Η παράμετρος στο αρχείο διαμόρφωσης του διακομιστή OpenSSH (`/etc/ssh/sshd_config`) που ελέγχει εάν επιτρέπεται η σύνδεση root με τον έλεγχο ταυτότητας κωδικού πρόσβασης είναι` permitrootlogin`.

Για να επιτρέψετε τη σύνδεση root με έναν κωδικό πρόσβασης, θα το ορίσατε σε `ναι ':

`` `

Permitrootlogin Ναι

`` `

Ωστόσο, αποθαρρύνεται έντονα να επιτρέπεται η σύνδεση root με έλεγχο ταυτότητας κωδικού πρόσβασης για λόγους ασφαλείας. Κάνει τον διακομιστή σας πολύ πιο ευάλωτο στις επιθέσεις Brute-Force. Είναι καλύτερη πρακτική για:

1. Απενεργοποιήστε τον έλεγχο ταυτότητας κωδικού πρόσβασης εξ ολοκλήρου (`Passwordauthentication no ')

2. Χρησιμοποιήστε πλήκτρα SSH για έλεγχο ταυτότητας

3. Εάν πρέπει να επιτρέψετε root login, χρησιμοποιήστε `permitrootlogin pass-password` . Αυτό επιτρέπει μόνο τη ρίζα σύνδεσης * με πλήκτρα SSH, αλλά το απενεργοποιεί με κωδικούς πρόσβασης.

Ακολουθεί μια ανάλυση των συνιστώμενων ρυθμίσεων:

* Βέλτιστη πρακτική (πιο ασφαλής):

`` `

Permitrootlogin απαγόρευση-password # ή "όχι"

Passwordauthentication no # Απενεργοποιήστε τον κωδικό πρόσβασης γενικά

`` `

* Εάν * πραγματικά * χρειάζεστε κωδικό πρόσβασης για root (δεν συνιστάται):

`` `

Permitrootlogin Ναι

Passwordauthentication Ναι

`` `

Αφού πραγματοποιήσετε αλλαγές στο `sshd_config`, πρέπει να κάνετε επανεκκίνηση της υπηρεσίας SSH για να τεθούν σε ισχύ οι αλλαγές:

`` `bash

Sudo SystemCTL Επανεκκίνηση SSHD # στα συστήματα SystemD (τα περισσότερα σύγχρονα Linux)

Sudo Service SSH RESTART # σε παλαιότερα συστήματα Sysvinit

`` `

Σημαντικές εκτιμήσεις ασφαλείας:

* επιθέσεις Brute-Force: Η ενεργοποίηση του ελέγχου ταυτότητας κωδικού πρόσβασης για τη ρίζα καθιστά τον διακομιστή σας έναν εύκολο στόχο για αυτοματοποιημένες επιθέσεις που προσπαθούν να μαντέψουν τον κωδικό πρόσβασης ρίζας.

* πλήκτρα SSH: Τα κλειδιά SSH παρέχουν έναν πολύ πιο ασφαλή τρόπο επαλήθευσης. Είναι κρυπτογραφικά ισχυροί και σχεδόν αδύνατο να φουσκώσουν.

* sudo: Μια καλύτερη εναλλακτική λύση για την άμεση σύνδεση root είναι να συνδεθείτε ως κανονικό χρήστη και να χρησιμοποιήσετε το `sudo` για να εκτελέσετε εντολές που απαιτούν προνόμια ρίζας. Αυτό παρέχει ένα μονοπάτι ελέγχου και περιορίζει την πιθανή ζημιά εάν ένας εισβολέας συμβιβάζει τον λογαριασμό χρήστη.

Συνοπτικά, ενώ το `permitrootlogin Ναι, επιτρέπει τεχνικά την σύνδεση root με έναν κωδικό πρόσβασης, θα πρέπει να αποφύγετε να το χρησιμοποιήσετε και να δώσετε προτεραιότητα στη χρήση πλήκτρων SSH και απενεργοποιώντας τον έλεγχο ταυτότητας κωδικού πρόσβασης. Εάν πρέπει να επιτρέψετε τη σύνδεση root, χρησιμοποιήστε το `permitrootlogin pascit-password` για να επιβάλει τη χρήση μόνο των πλήκτρων SSH.