Názor ke zprávičce Pět tipů jak zabezpečit svůj SSH server od Franta <xkucf03/> - Dejme tomu, že má někdo uživatelské jméno „pacient“...

Dejme tomu, že má někdo uživatelské jméno „pacient“ a heslo „nbusr123“ a pak se přepíná na roota pomocí su a hesla „kalousek456“.

Útočník musí uhodnout jméno (tam nemusí používat bruteforce, ale může ho odvodit) a dvě hesla.

Srovnej to se situací, kdy je povoleno přihlašování roota a jeho heslo je „pacientnbusr123ka­lousek456“.

Uhodnout toto složené heslo je výrazně složitější než uhodnout postupně jednotlivé jeho složky (když v prvním případě uhodne „nbusr123“, hledá už jen druhou část hesla a nemusí zkoušet tolik kombinací).

Navíc po napadení účtu běžného uživatele může přidat třeba alias pro příkaz su – obalit ho skriptem, který zadané heslo odešle útočníkovi.

Takže nakonec může zákaz přímého přihlášení roota bezpečnost paradoxně snižovat – člověk by si na běžný uživatelský účet musel dávat úplně stejný pozor, jako by to byl účet roota…

P.S. Mnohem důležitější je zákaz hesel a používání klíčů, případně jednorázových hesel.