Saya adalah pengguna linux yang malas dan sering menggunakan kata sandi yang sangat singkat untuk akun pengguna utama saya.
Sekarang, semoga firewall saya menangani pemblokiran sebagian besar upaya akses yang tidak diminta dan OS (sejauh mungkin) menangani serangan eksploitasi.
Bagaimanapun, saya berharap memiliki akses ssh jarak jauh untuk ketika saya keluar dan sekitar. Jadi apa yang saya lakukan?
Saya menonaktifkan semua pengguna untuk ssh, termasuk akun utama saya dan lebih memilih satu pengguna ssh tunggal dengan kata sandi super.
Apakah ini praktik yang baik? kenapa tidak}?
Jadi di sini adalah pertanyaan ... mengingat ini adalah tindakan yang baik, saya ingin menonaktifkan lebih lanjut semua perintah untuk pengguna ssh ini (ls, cd, dll) kecuali satu> sudo atau su.
(akun root tentu saja juga memiliki kata sandi asing yang disimpulkan dalam kuantum yang luar biasa panjang dan unik).
Tentu saja, semua ini akan dilakukan adalah meluangkan waktu (perlu menebak / mengetahui tentang nama pengguna lain dengan kata sandi malas, dan kemudian melakukan serangan pelangi / bruteforce lain), namun ini akan atau bisa diharapkan membuat saya melihat seseorang menjadi gadis nakal.
Seseorang dapat mengatakan .. tolong gunakan kata sandi mega untuk semua akun tetapi seperti yang saya katakan ... saya menjalankan begitu banyak perintah sudo dll selama hari admin .. saya malas ...
Banyak ide lain atau tips praktis atau cara mengurangi permukaan serangan untuk mesin linux (server / klien) sangat dihargai.
EDIT: Oh kamu ... skema kata sandi singkat di sini, tidak mengabaikan serangan login fisik ... ini murni terkait jaringan.
EDIT2: mungkin skrip bash yang mendengarkan stdin untuk nama pengguna ... yang kemudian menjalankan su $ 1 dan melakukan usermod -s script.sh ssh_user? atau apakah itu menimbulkan bahaya lain?
Bagi mereka yang mungkin tertarik .. Saya menulis skrip non-verbose sederhana yang mengharapkan jabat tangan khusus sebelum menjalankan su my_lazy_user dan mengarahkannya sebagai shell login.
Sepertinya cukup baik untukku. Jika ini mengarah ke metode serangan lain .. tolong berteriak.
(Saya puas dengan kesalahan penanganan skrip, yang, selama tidak ada heap, stack atau serangan buffer yang diaktifkan, harus baik-baik saja).
Terima kasih.
.bashrcatau sesuatu, lebih baik jangan lakukan itu. Anda bisa Ctrl-C jalan menuju kebebasan sebagai penyerang. Mengubah shell login seharusnya baik-baik saja, lihat jawaban saya.Jawaban:
Saya kira opsi termudah adalah dengan menggunakan
chshuntuk mengubah shell untuk pengguna ini ke skrip yang melakukansuperintah Anda (karena saya tidak berpikir Anda dapat mengkonfigurasi parameter ke shell pengguna).Menggunakan shell standar dan mencoba untuk melarang builtin seperti ls dan cd ... sial dengan itu. Tetapi karena apa yang benar-benar Anda inginkan jauh lebih sederhana daripada apa yang disarankan judulnya, ini seharusnya berhasil. Anda bahkan dapat meminta pengguna masuk
suke dalam skrip. Itu semua harus aman karena ketika seseorang menutup skrip, ini berarti shell login dihentikan dan koneksi ditutup.sumber