Pagina 1 di 1

[Risolto] Ha senso disabilitare accesso root?

Inviato: domenica 19 maggio 2019, 12:32
da WhiteTiger
Il server ha sia root che un altro utente con l'accesso con una chiave SSH. Entrambi hanno poi anche una password di ALMENO 15 caratteri.
Ha ancora senso disabilitare l'accesso root?
In effetti in precedenza avevo notato diversi tentativi di accesso, ma adesso mi sembra da paranoici arrivare anche al disabilitarlo del tutto.
Che dite?

Re: Ha senso disabilitare accesso root?

Inviato: domenica 19 maggio 2019, 16:31
da Pike
Dipende da molti fattori.

Re: Ha senso disabilitare accesso root?

Inviato: domenica 2 giugno 2019, 15:27
da frapox
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5134497#p5134497][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Il server ha sia root che un altro utente con l'accesso con una chiave SSH. Entrambi hanno poi anche una password di ALMENO 15 caratteri.
Ha ancora senso disabilitare l'accesso root?
In effetti in precedenza avevo notato diversi tentativi di accesso, ma adesso mi sembra da paranoici arrivare anche al disabilitarlo del tutto.
Che dite?
Se l'accesso root via SSH non è strettamente necessario lo puoi disabilitare con la direttiva "PermitRootLogin no" in /etc/ssh/sshd_config, cosa che io faccio regolarmente quando configuro una nuova macchina.

È possibile ottenere tranquillamente i privilegi elevati successivamente al login come utente normale, con su o sudo.

Re: Ha senso disabilitare accesso root?

Inviato: venerdì 28 giugno 2019, 10:26
da WhiteTiger
frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5137008#p5137008][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5134497#p5134497][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Il server ha sia root che un altro utente con l'accesso con una chiave SSH. Entrambi hanno poi anche una password di ALMENO 15 caratteri.
Ha ancora senso disabilitare l'accesso root?
In effetti in precedenza avevo notato diversi tentativi di accesso, ma adesso mi sembra da paranoici arrivare anche al disabilitarlo del tutto.
Che dite?
Se l'accesso root via SSH non è strettamente necessario lo puoi disabilitare con la direttiva "PermitRootLogin no" in /etc/ssh/sshd_config, cosa che io faccio regolarmente quando configuro una nuova macchina.

È possibile ottenere tranquillamente i privilegi elevati successivamente al login come utente normale, con su o sudo.
Infatti la situazione è esattamente questa.
Però quello che non mi è chiaro, a distanza di giorni dalla configurazione iniziale è, se c'è la SSH Key, perché c'è comunque il prompt di login al quale chiunque può tentare l'accesso, anche se non è in possesso di chiave?
Io mi aspetterei che sia già la chiave stessa a consentire l'accesso, tanto più che c'è già una password associata alla chiave. Il prompt di login dovrebbe avvenire se la coppia delle due chiavi è riconosciuta ed invece pare di no.

Re: Ha senso disabilitare accesso root?

Inviato: venerdì 28 giugno 2019, 10:50
da Filoteo
Ti basta disabilitare l'autenticazione con password settando PasswordAuthentication no in /etc/ssh/sshd_config e riavvii il server con systemctl status sshd. Occhio che rischi di chiuderti fuori quindi fai la prova aprendo un secondo terminale usando ssh -v user@host. Dovresti vedere debug1: Authentications that can continue: publickey.

Re: Ha senso disabilitare accesso root?

Inviato: venerdì 28 giugno 2019, 11:04
da frapox
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140442#p5140442][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5137008#p5137008][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5134497#p5134497][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Il server ha sia root che un altro utente con l'accesso con una chiave SSH. Entrambi hanno poi anche una password di ALMENO 15 caratteri.
Ha ancora senso disabilitare l'accesso root?
In effetti in precedenza avevo notato diversi tentativi di accesso, ma adesso mi sembra da paranoici arrivare anche al disabilitarlo del tutto.
Che dite?
Se l'accesso root via SSH non è strettamente necessario lo puoi disabilitare con la direttiva "PermitRootLogin no" in /etc/ssh/sshd_config, cosa che io faccio regolarmente quando configuro una nuova macchina.

È possibile ottenere tranquillamente i privilegi elevati successivamente al login come utente normale, con su o sudo.
Infatti la situazione è esattamente questa.
Però quello che non mi è chiaro, a distanza di giorni dalla configurazione iniziale è, se c'è la SSH Key, perché c'è comunque il prompt di login al quale chiunque può tentare l'accesso, anche se non è in possesso di chiave?
Perché non hai disattivato l'auth tramite password. Che è un discorso diverso rispetto all'accesso tramite account root, comunque.

Il login tramite password può risultare utile nel caso tu ti stia loggando da una postazione in cui non hai la tua chiave privata disponibile (o nel caso venga persa).

In ogni caso puoi disattivare questo metodo di autenticazione come descritto da Filoteo , aumenterai la sicurezza ma col rischio di non poter più accedere alla macchina nel caso le chiavi vengano perse.
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140442#p5140442][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Io mi aspetterei che sia già la chiave stessa a consentire l'accesso, tanto più che c'è già una password associata alla chiave. Il prompt di login dovrebbe avvenire se la coppia delle due chiavi è riconosciuta ed invece pare di no.
Se la coppia di chiavi è riconosciuta (e il server è impostato per utilizzzare il metodo PubkeyAuthentication è abilitato (e di default lo è), NON ti verrà chiesta password per loggarti.

Se NON viene riconosciuta, ti verrà chiesta la password di login del tuo account Unix sul server.

Re: Ha senso disabilitare accesso root?

Inviato: venerdì 28 giugno 2019, 15:12
da WhiteTiger
frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140447#p5140447][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Perché non hai disattivato l'auth tramite password. Che è un discorso diverso rispetto all'accesso tramite account root, comunque.

Il login tramite password può risultare utile nel caso tu ti stia loggando da una postazione in cui non hai la tua chiave privata disponibile (o nel caso venga persa).

In ogni caso puoi disattivare questo metodo di autenticazione come descritto da Filoteo , aumenterai la sicurezza ma col rischio di non poter più accedere alla macchina nel caso le chiavi vengano perse.
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140442#p5140442][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Io mi aspetterei che sia già la chiave stessa a consentire l'accesso, tanto più che c'è già una password associata alla chiave. Il prompt di login dovrebbe avvenire se la coppia delle due chiavi è riconosciuta ed invece pare di no.
Se la coppia di chiavi è riconosciuta (e il server è impostato per utilizzzare il metodo PubkeyAuthentication è abilitato (e di default lo è), NON ti verrà chiesta password per loggarti.

Se NON viene riconosciuta, ti verrà chiesta la password di login del tuo account Unix sul server.
Scusa, ma se le chiavi sono perse, dovrei comunque poter fare il login dalla console, sia che il server sia fisico che virtuale, perché le chiavi sono riferite all'accesso SSH, giusto?
In ogni caso, le chiavi dovrebbero essere riconosciute eppure continua a chiedermi il login.

Re: Ha senso disabilitare accesso root?

Inviato: venerdì 28 giugno 2019, 15:41
da Filoteo
Sì sono riferite solo all'accesso via SSH quindi negli altri casi puoi accedere normalmente. Se continua a chiederti il login vuol dire che non vengono accettate, posta ls -la .ssh, vediamo se i permessi sono sufficienti.

Re: Ha senso disabilitare accesso root?

Inviato: venerdì 28 giugno 2019, 15:47
da frapox
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140476#p5140476][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Scusa, ma se le chiavi sono perse, dovrei comunque poter fare il login dalla console, sia che il server sia fisico che virtuale, perché le chiavi sono riferite all'accesso SSH, giusto?
Se *non* disattivi l'autenticazione via password, come ho già spiegato, puoi. Se le perdi, e disattivi l'auth via pass, no.

Ti consiglio di dare una bella letta al man, che ti fugherà molti dubbi:
https://linux.die.net/man/5/sshd_config
WhiteTiger [url=https://forum.ubuntu-it.org/viewtopic.php?p=5140476#p5140476][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:In ogni caso, le chiavi dovrebbero essere riconosciute eppure continua a chiedermi il login.
Questo è un altro problema ancora, e non c'entra con l'accesso root, ti conviene modificare il titolo del thread oppure aprirne uno nuovo.

Potrebbe essere un problema dell'agente ssh del tuo client.

Re: Ha senso disabilitare accesso root?

Inviato: martedì 2 luglio 2019, 10:18
da WhiteTiger
OK, ne apro un altro.
Però, PasswordAuthentication è No e il client è Xubuntu.
Le Keys dovrebbero essere riconosciute.

Ma ne parliamo in un nuovo thread come richiesto.

===== Aggiornamento
Anche no.
Avevo sbagliato i permessi, mannaggia.
Funziona tutto come dovrebbe.
Grazie del contributo