具有无密码sudoers帐户的无头linux服务器的安全性如何？

Question

访问服务器控制台的唯一方法是使用键通过ssh。此外，通过利用各种服务，服务器正在运行。

我的管理帐户(属于sudo组)没有密码，但是root有。

这算不安全吗？

Answer 1

“这算不安全吗？”根据所提供的资料。我不得不说是的。以下是一些我会关心的事情：

• 如何防止某人进入服务器位置，附加监视器，将服务器置于单用户模式，并重置根密码？
• 你的ssh密钥是如何存储的？它们是否存在于未加密的笔记本电脑、闪存盘或其他容易被偷或放错位置的磁盘上？
• 服务器上是否存在默认或弱密码的drac或ilo连接，可以授予某人控制台访问权限？
• 控制台注销了吗？我发现许多服务器在访问控制台时，根用户仍然从上次访问时开始登录。
• 拥有一个没有密码和sudo访问权限的用户是一个巨大的安全漏洞，不管它如何被利用。
• 您只允许基于密钥的身份验证吗？如果没有，我将编辑ssh配置以防止密码验证尝试，以防有人在您的未受保护的用户帐户上绊倒。
• 为您的用户帐户配置密码需要两秒钟时间，只需执行即可。

Answer 2

总之，您有一个不受保护的管理员用户，其唯一保护是用户名不常见(可能)。从这个帐户中，您可以在没有密码的情况下运行sudo，因此任何在您的管理用户下运行的人基本上都是根用户。

/etc/passwd对每个人来说都是可读的，这使得查找用户名变得非常简单，因此管理员帐户基本上没有安全性。

和大多数系统一样，除了管理员(S)之外，它并不是任何人都能访问的。不幸的是，与大多数系统一样，您的服务也暴露在外部世界，这使得您的服务器容易受到许多您(以及世界上大多数其他地区)可能不知道的潜在攻击。

当然，如果您没有其他用户，这会降低风险，但至少可以说，允许su进入管理员帐户(这反过来又能够运行根命令而不受保护)是不小心的。如果您真的无法忍受输入sudo密码的麻烦，请考虑使用密码保护管理员用户，并在/etc/sudoers中删除用户的密码提示。

这仍然不是很好的安全性，但至少您的管理员帐户不会那么容易访问。