Q&A
>十分気をつけているつもりでもログイン元ホストが乗っ取られる可能性はゼロではない
おっしゃるとおりですね。
ベストアンサーに選ばせていただいた方の「メリットの少ないリスクは犯さない方が良い」という考え方で、定石に従ってやっていこうと思います。
ご回答ありがとうございました。
クラウドサーバーやVPSの初期設定で、rootユーザーのログインを禁止し、別の一般ユーザでログインし、必要に応じてsudoで作業するように説明しているところがほとんどなのですが、そもそもSSH接続できるアドレスを自分だけに設定した場合にも、rootユーザーのログインを禁止する必要性があるのでしょうか?必要性がある場合は、理由を教えていただけないでしょうか?
以下のように、CentOS7でfirewalldで自分だけサーバーにアクセスできるように設定しています。
[root@ほにゃらら ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client http https ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules: rule family="ipv4" source address="自分のIPアドレス" port port="22" protocol="tcp" accept
回答2件
0
ベストアンサー
アクセス元PCがグローバルな固定IPを持っているとことなら、そのPCが何者かに侵入されていることが絶対に無く、またログイン先のOS自体やfirewalldにバグが無い限りは、セキュリティ的には問題ないのでは無いでしょうか。
上記前提条件をどこまで気にするかですね。セキュリティは何重にも掛かっていた方が良いのでメリットの少ないリスクは犯さない方が良いと思います。
また、rootである必要の無い作業は通常ユーザーで行って、必要なときだけsudoで実行するというのは、操作ミスを防ぐ意味もありますし、WindowsでのUAC的な意味もあります。
なので、総合的には、常時rootでログインするというのは、メリットよりデメリットの方が大きいと思います。
投稿2017/01/23 13:33
総合スコア84505
0
ぱっと思いつくのはログイン元になっているホストが乗っ取られた時でしょうか。
そこを踏み台にされてrootパスワードが破られるケースがあり得ます。
rootログインが許可されていれば、即サーバも取られる事になります。
十分気をつけているつもりでもログイン元ホストが乗っ取られる可能性はゼロではない(もちろん、環境によりますが)ので、セキュリティを低下させる方向での変更は避けたほうがよいと思います。
投稿2017/01/23 12:55
総合スコア1894
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/01/24 00:36