Pokud je přihlášení roota povolené, zná případný útočník polovinu z toho, co potřebuje (už. jméno), chybí jen heslo
Pokud máte uhodnutelné heslo, měl byste řešit uhodnutelné heslo, a ne sypat kolem počítače krájenou cibuli a zapalovat hromničky. Pokud nastavíte heslo na roota "původní heslo"+"uživatelské jméno" (operátor + zde značí normální concat stringů), odolnost máte úplně stejnou.
Heslo může "leaknout" - buďto ho někdo uhodne, nebo získá např. sociálním inženýrstvím
Zatímco jméno ne. Aha.
V SSHd může být chyba (viz např. nedávný problém s generováním klíčů na Debianu)
No hurá, konečně alespoň jeden zajímavý argument.
Chrání Tě to před sebou samým (pokud si do profilu nedáš sudo su - :-) )
Jak mě to chrání? Pokud dělám něco, k čemu potřebuju roota, stejně se su- nu.
No a kromě toho:
- Praví se to ve všech hardening guidech
- Chtějí to všichni bezpečáci a auditoři
Žerme hovna, miliony much se nemohou mýlit.
V logu bude, že se přihlásil Franta Admin a ne hromadný root
Jednak pokud se přihlásí útočník, tak ten řádek z logu prostě smaže, jednak moje sshd vypisuje do logu Accepted public key <jenda> from <ip> for user root.
Někdy je jednodušší zrušit jeden účet, než distribuovat nové rootovo heslo (třeba když Frantu Admina vyrazí)
Jednak pokud máte admina na stálo, tak by sakra měl mít klíč a ne nějaké heslo, jednak pokud se bojíte, že vás naštvaný vyhozený vyownuje, tak to udělá tak jako tak. Jednou rootem, pořád rootem, jak se praví v jedné reklamě na prací prášek.