我正在考虑使用空白根/pipe理员密码运行公共Web和应用程序服务器,我想知道这是否是一个错误的政策。
我看到没有密码的好处。 “无密码”不能被强迫,遗失,遗忘或最终落入坏人之手。 pipe理员将需要使用他们的个人帐户login,以便更容易地查看谁访问并正在做什么,而不是跟踪谁知道根密码。 如果您设法locking自己,则可以轻松地重新激活对本机进行物理访问的任何帐户。
我主要运行Ubuntu 14和Windows Server 2008服务器,这两个服务器默认情况下都拒绝用户无密码的远程login。 Linux机器通过SSH访问,Windows机器通过RDP访问,以及通过Copssh访问SSH。 服务器的物理保护足以达到实际目的,任何设法获取访问权限的人无论使用什么密码都能够造成损害。
问题是,这可能是一个很好的安全策略,还是有没有想到的实际考虑? 具体来说,Windows或Linux中是否有任何特殊的服务可以允许通过空密码帐户远程访问机器?
从Windows的angular度来讲:空白密码绝对是强制性的。 笔testing人员 一直在做 。 在我看来,在这一点上,具有足够访问映射驱动器的用户可以replace服务可执行文件,然后远程重启服务。
从Linux的angular度来看,任何拥有有效login的人都可以成为root用户。
换句话说,不,我不会使用这个作为安全策略。
你是对的,你的pipe理员应该使用个人用户帐户。 共享帐户是一个坏主意。
在Windows一侧,空白密码的想法似乎很糟糕。 任何设法在机器上执行无特权的本地代码执行的人,在我看来,使用空白的RID 500pipe理员密码来升级权限要容易得多 。 即使使用策略设置来限制空白密码login到控制台,您也面临着Microsoft错过了一种远程使用空密码的方法的风险。
没有人需要Windows RID 500pipe理员密码,因此,了解这些人的“跟踪”是不必要的。 在安装过程中将其设置为一个长的,随机的,高熵的string,对其进行物理logging,并locking物理文档。
这个空白密码策略的风险/回报方程似乎对我来说是不平衡的。
甚至不要考虑给root用户一个空白的密码。 如果你这样做,那么利用非根本的妥协来解决根本问题是微不足道的。
考虑许多可能的情况之一:
攻击者使用未修补的漏洞来危害Web服务器或Web服务器所服务的应用程序。 他得到一个作为Web服务器用户运行的shell。 用一个空白的root密码,他只需要执行su ,他现在有了root权限。
我认为目前的答案不能完全回答这个问题。 原来的问题说:“我看到没有密码的几个优点。” 但所有的答案都谈论空白的密码。
所以问题是:空白是一样的没有?
目前,主机提供商提供了使用上传的公共SSH密钥设置服务器的可能性。 这是非常方便的,因为它意味着在build立新服务器时less做一件事。
由于DigitalOcean已经被提及,所以在这种情况下需要指出的是
使用SSH密钥时,不设置root密码。
这当然不一样,说根用户有一个空白的密码(我想空是不一样的事情)
所以现在的问题是根帐户是否可以设置没有密码。 在理想的世界里,我想这比拥有任何可以想象的密码更安全,因为没有任何可以匹配的密码。 但我不会说我对此100%肯定。 有人可以证实这一点?
编辑:事实certificate,我的猜测将保持在一个理想的世界一段时间。 我在DigitalOcean中创build了一个支持票,答案如下:
这是正确的,使用ssh-keys时没有设置root密码。 build议您在login后使用“密码”进行设置。
那就是这样。 在初始设置期间使用SSH私钥是安全的,但passwd必须仍然执行。