web-dev-qa-db-ja.com

rootログインとパスワードなしのsudoの違い

一部の一般的なオペレーティングシステムのクラウドイメージでは、ユーザーはrootとしてログインできませんが、非常に標準的なユーザー名(ec2-userubuntuなど)を使用してこれらを許可しますパスワードなしのSudoを使用するユーザー。

この選択の理由は何ですか?ルートとして実行するよりも安全ですか?

自動化攻撃がこれらの明白なユーザー名を試さないことを望んでいますか?どういうわけか、sshサーバーに存在する別のアクセス許可が必要ですか?これは、私が誰のサービスを使用しているかを思い出させるための単なるマーケティングですか?

それとも、ルートアカウントを使用しないようにしようとしているだけですか(常にSudo suを使用しないことを望んでいます)。

ログインにはsshキーのみが使用されると想定しています。パスワードなし。

7
Julian

正直なところ、これは主にユーザーを自分自身から保護するための試みです。 「ルートとして実行しない」の最大の利点の1つは、間違いがシステム全体を(通常は)破壊しないことです。 (デスクトップでは、これは限られた価値があります-私のホームディレクトリにあるすべてのデータよりも私のApache構成を破棄したいです!)ec2-userを使用している場合は、少なくとも特権をエスカレートしていることを認識する必要がありますSudoを使用します。このように、管理アカウントの場合はWindows上のUACに似ています。

2
David

これらのサービスはser/passを使用したSSHログインを許可しないため、代わりにser/privateキーを使用することをお勧めします。 passwordless Sudoを使用する理由は、すでにマシンを所有しているためです。フルアクセスを付与しないのはなぜですか?

1
luizfzs

歴史的にrootは、これまでで最も悪用されたユーザーIDです。誰かが任意のシステムをブルートフォースにしようとすると、それらはrootで始まります。

他の匿名ユーザーIDと、それらがrootレベルの特権を使用する能力について言及しました。これらはシステムプロセス用であり、通常は人用ではありません。

システム管理者は、システムを使用するすべての人が責任を負うことはあなたの責任です。これは、匿名のユーザーIDを使用して行うことはできません。ベストプラクティスは、特権ユーザーIDを作成することです。通常、必要な特権のみを使用します。 IDをsudoersリストに追加します。

通常、特権SSHアクセスは、あるホスト(アクセス)から別のホスト(宛先)に制限されます。証明書を交換し、アクセスホストがパスワードで保護されているため、SSHリンクも保護されていることが期待されます。

1
scopedial