苏根还是苏多？

Question

有什么更好的选择:使用su切换到根或标记sudo？如果不使用sudo，入侵者将需要知道允许ssh的用户的密码(或密钥)，以及根密码。有了sudo，非特权用户的密码就足够了。

我设置了一个新的set服务器(Debian8.2)，我想知道通过SSH安全连接到它的最佳实践是什么，而且对我来说仍然很容易使用它。

到目前为止，我已经禁用了SSH上的PermitRootLogin并切换了端口。此外，iptables已经到位，阻止了我不需要的所有东西。现在，我必须使用非特权用户登录，然后用

su root

但我听说做根不是最好的事..。因此，我考虑只是授予我的非特权用户sudo的权利。

然后，入侵者只需要知道一个密码，因为sudo要求的是当前用户的密码，而不是根密码。因此，我在SSH中解除PermitRootLogin标签使攻击者更加困难的计划已不再有效。

苏根还是苏多？

Answer 1

我的想法：

• 将PasswordAuthentication和PermitRootLogin设置为no
• 可选地，在SSH密钥中使用密码(尽管无法执行此操作)
• 使用MFA，就像Tim的回答所建议的那样，进一步限制SSH访问(就我个人而言，我会通过PAM的Google身份验证插件这样做)
• 不要启用无密码的sudo，并确保您的用户设置了强密码。
• 更改SSH的端口并不是必要的，任何专用端口扫描器最终都会找到您的开放端口。
• 使用Fail2Ban防范野蛮的SSH攻击
• 通过设置AllowTcpForwarding no禁用端口转发
• 对于iptables，使用“默认拒绝”规则系统地删除任何不在您的端口白名单上的内容。
• 如果您是超级偏执者，请使用iptables限制对已知的好IP地址的SSH访问(请注意，如果您从家中访问或从可能更改的IP地址访问，这不是一个好主意)。

Answer 2

我们所做的(ops公司)是禁用密码登录和只允许密钥。使用密蜱 (新名称，NitroKey)或只使用智能卡，但这意味着您还需要一个读取器。这样您就有了双因素身份验证，您拥有的东西(棒或卡)和您知道的东西(sudo的密码)。

不要切换到根，除非你真的需要，认为这是不好的练习，并始终花时间考虑，如果你真的需要切换。