Avviso: vi è stato un importante aggiornamento della piattaforma forum, si prega di visionare la discussione in merito: viewtopic.php?f=17&t=637551.

[Risolto] Ha senso disabilitare accesso root?

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Scrivi risposta
WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 436
Iscrizione: sabato 6 marzo 2010, 17:48

[Risolto] Ha senso disabilitare accesso root?

Messaggio da WhiteTiger » domenica 19 maggio 2019, 12:32

Il server ha sia root che un altro utente con l'accesso con una chiave SSH. Entrambi hanno poi anche una password di ALMENO 15 caratteri.
Ha ancora senso disabilitare l'accesso root?
In effetti in precedenza avevo notato diversi tentativi di accesso, ma adesso mi sembra da paranoici arrivare anche al disabilitarlo del tutto.
Che dite?
Ultima modifica di WhiteTiger il martedì 2 luglio 2019, 10:19, modificato 1 volta in totale.

Pike
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 4032
Iscrizione: domenica 20 gennaio 2008, 1:13
Desktop: xubuntu
Distribuzione: Bionic Beaver i686 (18.04)
Contatto:

Re: Ha senso disabilitare accesso root?

Messaggio da Pike » domenica 19 maggio 2019, 16:31

Dipende da molti fattori.
Adoro il Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Io almeno me ne sono reso conto
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
Se il tuo tempo è più importante del mio, allora non hai bisogno del mio tempo.

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1052
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian Sid
Località: Lombardia

Re: Ha senso disabilitare accesso root?

Messaggio da frapox » domenica 2 giugno 2019, 15:27

WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5134497#p5134497][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Il server ha sia root che un altro utente con l'accesso con una chiave SSH. Entrambi hanno poi anche una password di ALMENO 15 caratteri.
Ha ancora senso disabilitare l'accesso root?
In effetti in precedenza avevo notato diversi tentativi di accesso, ma adesso mi sembra da paranoici arrivare anche al disabilitarlo del tutto.
Che dite?
Se l'accesso root via SSH non è strettamente necessario lo puoi disabilitare con la direttiva "PermitRootLogin no" in /etc/ssh/sshd_config, cosa che io faccio regolarmente quando configuro una nuova macchina.

È possibile ottenere tranquillamente i privilegi elevati successivamente al login come utente normale, con su o sudo.

WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 436
Iscrizione: sabato 6 marzo 2010, 17:48

Re: Ha senso disabilitare accesso root?

Messaggio da WhiteTiger » venerdì 28 giugno 2019, 10:26

frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5137008#p5137008][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5134497#p5134497][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Il server ha sia root che un altro utente con l'accesso con una chiave SSH. Entrambi hanno poi anche una password di ALMENO 15 caratteri.
Ha ancora senso disabilitare l'accesso root?
In effetti in precedenza avevo notato diversi tentativi di accesso, ma adesso mi sembra da paranoici arrivare anche al disabilitarlo del tutto.
Che dite?
Se l'accesso root via SSH non è strettamente necessario lo puoi disabilitare con la direttiva "PermitRootLogin no" in /etc/ssh/sshd_config, cosa che io faccio regolarmente quando configuro una nuova macchina.

È possibile ottenere tranquillamente i privilegi elevati successivamente al login come utente normale, con su o sudo.
Infatti la situazione è esattamente questa.
Però quello che non mi è chiaro, a distanza di giorni dalla configurazione iniziale è, se c'è la SSH Key, perché c'è comunque il prompt di login al quale chiunque può tentare l'accesso, anche se non è in possesso di chiave?
Io mi aspetterei che sia già la chiave stessa a consentire l'accesso, tanto più che c'è già una password associata alla chiave. Il prompt di login dovrebbe avvenire se la coppia delle due chiavi è riconosciuta ed invece pare di no.

Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 579
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Ha senso disabilitare accesso root?

Messaggio da Filoteo » venerdì 28 giugno 2019, 10:50

Ti basta disabilitare l'autenticazione con password settando PasswordAuthentication no in /etc/ssh/sshd_config e riavvii il server con systemctl status sshd. Occhio che rischi di chiuderti fuori quindi fai la prova aprendo un secondo terminale usando ssh -v user@host. Dovresti vedere debug1: Authentications that can continue: publickey.

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1052
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian Sid
Località: Lombardia

Re: Ha senso disabilitare accesso root?

Messaggio da frapox » venerdì 28 giugno 2019, 11:04

WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140442#p5140442][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5137008#p5137008][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5134497#p5134497][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Il server ha sia root che un altro utente con l'accesso con una chiave SSH. Entrambi hanno poi anche una password di ALMENO 15 caratteri.
Ha ancora senso disabilitare l'accesso root?
In effetti in precedenza avevo notato diversi tentativi di accesso, ma adesso mi sembra da paranoici arrivare anche al disabilitarlo del tutto.
Che dite?
Se l'accesso root via SSH non è strettamente necessario lo puoi disabilitare con la direttiva "PermitRootLogin no" in /etc/ssh/sshd_config, cosa che io faccio regolarmente quando configuro una nuova macchina.

È possibile ottenere tranquillamente i privilegi elevati successivamente al login come utente normale, con su o sudo.
Infatti la situazione è esattamente questa.
Però quello che non mi è chiaro, a distanza di giorni dalla configurazione iniziale è, se c'è la SSH Key, perché c'è comunque il prompt di login al quale chiunque può tentare l'accesso, anche se non è in possesso di chiave?
Perché non hai disattivato l'auth tramite password. Che è un discorso diverso rispetto all'accesso tramite account root, comunque.

Il login tramite password può risultare utile nel caso tu ti stia loggando da una postazione in cui non hai la tua chiave privata disponibile (o nel caso venga persa).

In ogni caso puoi disattivare questo metodo di autenticazione come descritto da Filoteo , aumenterai la sicurezza ma col rischio di non poter più accedere alla macchina nel caso le chiavi vengano perse.
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140442#p5140442][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Io mi aspetterei che sia già la chiave stessa a consentire l'accesso, tanto più che c'è già una password associata alla chiave. Il prompt di login dovrebbe avvenire se la coppia delle due chiavi è riconosciuta ed invece pare di no.
Se la coppia di chiavi è riconosciuta (e il server è impostato per utilizzzare il metodo PubkeyAuthentication è abilitato (e di default lo è), NON ti verrà chiesta password per loggarti.

Se NON viene riconosciuta, ti verrà chiesta la password di login del tuo account Unix sul server.
Ultima modifica di frapox il venerdì 28 giugno 2019, 11:07, modificato 1 volta in totale.

WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 436
Iscrizione: sabato 6 marzo 2010, 17:48

Re: Ha senso disabilitare accesso root?

Messaggio da WhiteTiger » venerdì 28 giugno 2019, 15:12

frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140447#p5140447][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Perché non hai disattivato l'auth tramite password. Che è un discorso diverso rispetto all'accesso tramite account root, comunque.

Il login tramite password può risultare utile nel caso tu ti stia loggando da una postazione in cui non hai la tua chiave privata disponibile (o nel caso venga persa).

In ogni caso puoi disattivare questo metodo di autenticazione come descritto da Filoteo , aumenterai la sicurezza ma col rischio di non poter più accedere alla macchina nel caso le chiavi vengano perse.
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140442#p5140442][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Io mi aspetterei che sia già la chiave stessa a consentire l'accesso, tanto più che c'è già una password associata alla chiave. Il prompt di login dovrebbe avvenire se la coppia delle due chiavi è riconosciuta ed invece pare di no.
Se la coppia di chiavi è riconosciuta (e il server è impostato per utilizzzare il metodo PubkeyAuthentication è abilitato (e di default lo è), NON ti verrà chiesta password per loggarti.

Se NON viene riconosciuta, ti verrà chiesta la password di login del tuo account Unix sul server.
Scusa, ma se le chiavi sono perse, dovrei comunque poter fare il login dalla console, sia che il server sia fisico che virtuale, perché le chiavi sono riferite all'accesso SSH, giusto?
In ogni caso, le chiavi dovrebbero essere riconosciute eppure continua a chiedermi il login.

Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 579
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Ha senso disabilitare accesso root?

Messaggio da Filoteo » venerdì 28 giugno 2019, 15:41

Sì sono riferite solo all'accesso via SSH quindi negli altri casi puoi accedere normalmente. Se continua a chiederti il login vuol dire che non vengono accettate, posta ls -la .ssh, vediamo se i permessi sono sufficienti.

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1052
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian Sid
Località: Lombardia

Re: Ha senso disabilitare accesso root?

Messaggio da frapox » venerdì 28 giugno 2019, 15:47

WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140476#p5140476][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Scusa, ma se le chiavi sono perse, dovrei comunque poter fare il login dalla console, sia che il server sia fisico che virtuale, perché le chiavi sono riferite all'accesso SSH, giusto?
Se *non* disattivi l'autenticazione via password, come ho già spiegato, puoi. Se le perdi, e disattivi l'auth via pass, no.

Ti consiglio di dare una bella letta al man, che ti fugherà molti dubbi:
https://linux.die.net/man/5/sshd_config
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140476#p5140476][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:In ogni caso, le chiavi dovrebbero essere riconosciute eppure continua a chiedermi il login.
Questo è un altro problema ancora, e non c'entra con l'accesso root, ti conviene modificare il titolo del thread oppure aprirne uno nuovo.

Potrebbe essere un problema dell'agente ssh del tuo client.

WhiteTiger
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 436
Iscrizione: sabato 6 marzo 2010, 17:48

Re: Ha senso disabilitare accesso root?

Messaggio da WhiteTiger » martedì 2 luglio 2019, 10:18

OK, ne apro un altro.
Però, PasswordAuthentication è No e il client è Xubuntu.
Le Keys dovrebbero essere riconosciute.

Ma ne parliamo in un nuovo thread come richiesto.

===== Aggiornamento
Anche no.
Avevo sbagliato i permessi, mannaggia.
Funziona tutto come dovrebbe.
Grazie del contributo

Scrivi risposta

Torna a

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 1 ospite