Mengapa membasmi SSH itu buruk
Ada banyak bot di luar sana yang mencoba masuk ke komputer Anda melalui SSH. Bot ini bekerja dengan cara berikut.
Mereka mengeksekusi sesuatu seperti ssh root@$IP
dan kemudian mereka mencoba kata sandi standar seperti "root" atau "password123". Mereka melakukan ini selama mungkin, sampai mereka menemukan kata sandi yang tepat. Pada server yang dapat diakses di seluruh dunia Anda dapat melihat banyak entri log dalam file log Anda. Saya bisa mencapai 20 per menit atau lebih.
Ketika penyerang memiliki keberuntungan (atau cukup waktu), dan menemukan kata sandi, mereka akan memiliki akses root dan itu berarti Anda dalam masalah.
Tetapi ketika Anda melarang root untuk login lebih dari SSH, bot pertama-tama perlu menebak nama pengguna dan kemudian kata sandi yang cocok. Jadi katakanlah daftar kata sandi yang masuk akal memiliki N
entri dan daftar pengguna yang masuk akal adalah M
entri yang besar. Bot memiliki serangkaian N*M
entri untuk diuji, jadi ini membuatnya sedikit lebih sulit untuk bot dibandingkan dengan kasus root di mana ia hanya seperangkat ukuran N
.
Beberapa orang akan mengatakan bahwa tambahan M
ini bukan keuntungan nyata dalam keamanan dan saya setuju bahwa ini hanya peningkatan keamanan kecil. Tetapi saya menganggap ini lebih sebagai gembok kecil ini yang dengan sendirinya tidak aman, tetapi mereka menghalangi banyak orang dari akses yang mudah. Ini tentu saja hanya valid jika mesin Anda tidak memiliki nama pengguna standar lainnya, seperti tor atau apache.
Alasan yang lebih baik untuk tidak mengizinkan root adalah root dapat melakukan lebih banyak kerusakan pada mesin daripada yang dapat dilakukan pengguna standar. Jadi, jika dengan keberuntungan mereka menemukan kata sandi Anda, seluruh sistem hilang sementara dengan akun pengguna standar Anda hanya dapat memanipulasi file-file dari pengguna tersebut (yang masih sangat buruk).
Dalam komentar disebutkan bahwa pengguna normal dapat memiliki hak untuk menggunakan sudo
dan jika kata sandi pengguna ini akan ditebak sistemnya juga hilang sama sekali.
Singkatnya saya akan mengatakan bahwa tidak masalah kata sandi pengguna mana yang didapat penyerang. Ketika mereka menebak satu kata sandi, Anda tidak dapat lagi mempercayai sistem. Seorang penyerang dapat menggunakan hak-hak pengguna itu untuk menjalankan perintah sudo
, penyerang juga dapat mengeksploitasi kelemahan dalam sistem Anda dan mendapatkan hak akses root. Jika penyerang memiliki akses ke sistem Anda, Anda tidak bisa mempercayainya lagi.
Yang perlu diingat di sini adalah bahwa setiap pengguna di sistem Anda yang diizinkan masuk melalui SSH adalah kelemahan tambahan. Dengan menonaktifkan root, Anda menghapus satu kelemahan yang jelas.
Mengapa kata sandi lebih dari SSH buruk
Alasan untuk menonaktifkan kata sandi sangat sederhana.
- Pengguna memilih kata sandi salah!
Seluruh gagasan mencoba kata sandi hanya berfungsi ketika kata sandi dapat ditebak. Jadi ketika pengguna memiliki kata sandi "pw123" sistem Anda menjadi tidak aman. Masalah lain dengan kata sandi yang dipilih oleh orang adalah bahwa kata sandi mereka tidak pernah benar-benar acak karena itu akan sulit untuk diingat.
Selain itu, pengguna cenderung menggunakan kembali kata sandi mereka, menggunakannya untuk masuk ke Facebook atau akun Gmail mereka dan ke server Anda. Jadi ketika seorang hacker mendapatkan kata sandi akun Facebook pengguna ini, ia bisa masuk ke server Anda. Pengguna dapat dengan mudah kehilangan itu melalui phishing atau server Facebook mungkin diretas.
Tetapi ketika Anda menggunakan sertifikat untuk masuk, pengguna tidak memilih kata sandinya. Sertifikat ini didasarkan pada string acak yang sangat panjang dari 1024 Bit hingga 4096 Bit (~ 128 - 512 karakter kata sandi). Selain itu, sertifikat ini hanya ada untuk masuk ke server Anda dan tidak digunakan dengan layanan luar.
Tautan
http://bsdly.blogspot.de/2013/10/the-hail-mary-cloud-and-lessons-learned.html
Artikel ini berasal dari komentar dan saya ingin memberikannya posisi yang sedikit lebih menonjol, karena masuk sedikit lebih dalam ke masalah botnet yang mencoba masuk melalui SSH, bagaimana mereka melakukannya, bagaimana file log terlihat seperti dan apa yang bisa dilakukan untuk menghentikan mereka. Ini ditulis oleh Peter Hansteen.