我打算部署一些CentOS Linux服务器,我已经阅读了许多文章,build议禁用root帐户。 我只是想知道是必要的吗? 如果不是,最好的安全策略是什么?
我不会禁用根,但我会通过SSH禁用根login。
我仍然允许在控制台上进行rootlogin,因为如果你的问题可能是从其他媒体启动的唯一方法,那么挂载你的根分区,重新启用根目录 – 你就会明白了。
我通常做的是创build另一个帐户,有可能访问根目录,并禁用SSH根帐户,因为任何黑客都可以尝试访问您的服务器,并蛮力的你的PW。
编辑:这也是很好的,在sshd_config设置MaxAuthTries 6或10,或其他任何东西
这个build议背后的主要原因是安全性。 root是一个已知的用户名,所以密码只是远程login所必需的。 其他常见的用户名通常已经禁用远程login。
如果攻击者想破坏服务器,他首先需要猜测用户名,然后尝试猜测该用户名的密码,所以更常见的字典攻击是对root密码进行的,这样做有两个原因。
从我的angular度来看,最实用的方法是禁用root密码authentication。
PermitRootLogin without-password
只有使用公钥validation的rootlogin才是允许的。 限制MaxAuthTries也是一个好主意。