我知道我可以阻止root用户通过/ etc / ssh / sshd_config通过sshlogin,但是审计人员也希望在/etc/security/access.conf中看到它。
这似乎是可行的,但我不能确定正确的语法或顺序?
为了testing我允许在/ etc / ssh / sshd_config中进行rootlogin,然后尝试通过sshlogin。
当有人login时,会扫描文件access.conf以查找匹配的第一个条目…应拒绝用户root以从其他所有源访问。
- : root : ALL 从manpage引用
在我看来,这只是错误的。 当用户具有物理访问权限时,root一定是允许login的。
我将IPMI算作物理访问,如果不想拔掉电缆,那么确保您必须站在机箱前面才能获得相同的物理访问权限是唯一的方法。 在某些环境中,我甚至有这样一种倾向,即在不需要login的情况下运行根terminal,因为对设施进行了适当的访问控制。
为什么:sudo可能会失败,并将root密码给一堆人,这样他们可以login只会产生问题,你必须在较大的团队中经常更改密码,因为总会有波动。 使用“开放式”根端口,不存在任何密码问题 – 所有这些假定都有适当的访问控制权限,IPMI访问也可以通过个性化帐户
(不要为此而低估我,我可以想象,有很多原因反对这一点,但我发现这是一个更好的,更实际的解决scheme,而不是为root设置一个密码策略,迟早会被遗忘。如果你需要访问root权限,你必须跳进方块才能得到“当天的密码”)
不是很明确的方法来做到这一点呢? (access.conf取决于PAM是否通过SSH使用,可能不是。)