當前位置: 首頁>>技術教程>>正文


sudo密碼有多重要?

, ,

問題描述

我知道sudo密碼可以保護我的計算機免受具有物理訪問權限的人的本地入侵(編輯:實際上,它是doesn’t)。我的密碼足以達到此目的,但是我知道如果有人可以遠程將其密碼brute-force,它的密碼還不夠強。

在標準Ubuntu桌麵安裝中,任何人都可以使用我的sudo密碼以root模式訪問我的計算機,而無需物理訪問該計算機?

  1. 如果您確實有網絡訪問權限,肯定可以(簡短答案)

  2. 如果您對安全性不夠重視,可以(很長答案)

  3. 如果您正在運行”ssh”,但沒有2FA,則是(comments和答案)

  4. One can access your computer as root without sudo/user password

最佳方法

I know that the sudo password protects my computer from being locally hacked by someone having physical access to it.

我不想嚇到您,但是如果某人具有物理訪問權限,則無論您的密碼強度如何,您都將其移交給他們。某人將需要1重啟,以便該人可以更改您的root密碼(可以從”grub rescue”完成,而無需提供您的當前密碼)。順便說一句:該方法被認為是有效的,並且是一種功能,並且具有公認的安全風險(否則,如果密碼被盜用,您將永遠無法修複係統)。

but I know that it is not strong enough if someone can brute-force it remotely.

這還有其他作用:ROUTER應該足夠聰明,可以在短時間內重複請求同一信息,從而鎖定來自外部的訪問。基本上,這裏是DOS攻擊(如果有2台以上的計算機攻擊您,則為DDOS)。路由器應終止該連接並強製等待一段時間,然後再接受來自該連接的新請求。

Can anybody access my computer in root mode using my sudo password with no physical access to the computer, on a standard Ubuntu desktop installation ?

他們首先需要連接,然後提供sudo密碼。 “root”模式被禁用,您不能直接登錄到”#”提示符。

請注意,有可能濫用服務。如果您在該計算機上運行了”ssh”並且他們可以將”ssh”連接到您的係統,並獲得了該用戶的用戶名和密碼(由於它也是admin用戶,您的sudo密碼也是如此),他們可以訪問您的計算機並將其弄亂。順便說一句:如果他們這樣做,那麽他們必須首先了解您的係統(例如您的密碼)。

但是,與此有關的還有一個問題(以及其他方法):他們是如何獲得密碼的?他們無法從您的係統本身獲取它。通常來說,猜測是不值得的。如果它是社會工程的……那麽您的問題就在那裏,而不是係統(一般是Ubuntu或Linux)的安全模型。

隻要您的sudo密碼是您的,就可以/應該很好。如果密碼強度高(您可能很容易記住但別人無法猜到),您的生活就會更好。我之前在討論這個問題時使用的一個示例:如果您的狗被命名為”Abwegwfkwefkwe”,但它看起來不錯,因為它使用”Abwegwfkwefkwe”作為密碼是壞的(因為有人會問您:’您的狗是什麽’s name’,他們會免費嘗試一下)。如果您與”Abwegwfkwefkwe”沒有關係,那麽這是一個很好的密碼。

我可以提供的最佳建議:

  • 除非要求您輸入管理員密碼,否則請不要輸入管理員密碼。如果您打開瀏覽器並看到一個類似我們的“詢問管理員帳戶密碼”的彈出窗口,請停止…首先考慮。

  • “sudo”寬限期處於活動狀態時,請不要讓係統無人值守。 sudo --reset-timestamp會刪除當前的寬限期,並在您下次使用”sudo”時再次要求輸入密碼。進入AFK時鎖定屏幕。

  • 請勿出於娛樂目的而安裝服務或軟件。如果不需要ssh,請不要安裝ssh;如果您不使用網絡服務器,請不要安裝網絡服務器。並查看當前正在運行的服務。如果您不在筆記本電腦上使用BT,請禁用它。如果您不使用網絡攝像頭,請將其禁用(如果啟用)。刪除不再使用的軟件。

  • 對於真正的偏執狂(是的,我正在看你的是偏執狂 Pandas ):經常更改密碼。您甚至可以安裝rootkit獵人來檢查不適當的訪問。

  • 將重要數據備份到保留的內容off-line。因此,即使您確實在係統上找到了某個人,也可以對其進行格式化,然後重新安裝並重新安裝數據。

次佳方法

是的他們可以。

但是,有多種方法可以使用,而sudo的brute-forcing密碼可能不是第一個。

首先,sudo密碼是您的用戶密碼;因此,實際上他們需要獲取的是您的密碼。

其次,使用brute-force破解用戶密碼來訪問係統可能是最後的選擇。

有一些進入其他係統的更優雅(但更有效)的方法。

通常,攻擊者要麽隻是去嘗試利用最常見的漏洞(最著名的可能是以任何方式獲取用戶shell並利用ShellShock來獲取根shell),要麽按照以下方式做最好的工作:

  • 掃描係統上的開放端口以獲取諸如以下信息:

    • 作業係統版本

    • 運行服務版本

  • 利用已知的操作係統或運行中的服務的錯誤(緩衝區溢出等),以便至少獲取用戶 shell 程序,然後嘗試獲取根 shell 程序(再次,可能是利用ShellShock)

如果無法以其他方式獲得根 shell ,則可以嘗試強行使用sudo /用戶的密碼,但是例如,利用以root用戶身份運行的服務不需要攻擊者強行使用sudo /用戶的密碼。

第三種方法

  1. 如果最近幾年我在安全方麵學到了什麽,那麽一件事:沒有什麽是不可能的。

  2. 當然,隻要您可以訪問網絡。從理論上講,可以在網絡上訪問的,在係統上運行的每個服務都非常脆弱,因此可能是一個弱點。

因此,對於具有足夠想法的攻擊者而言,這是可能的。您可以使係統盡可能地安全,但永遠無法達到100%的安全性。

因此,重要的是評估在合理的技術努力下可能發生的事情以及對您的保護程度如此之好以至於您自己再也無法工作的事情。

參考資料

本文由Ubuntu問答整理, 博文地址: https://ubuntuqa.com/zh-tw/article/8709.html,未經允許,請勿轉載。