SSH Key Authentication und sudo -i

[marsman147]

Ich habe mal eine grundsätzliche Frage zum sicheren Login und gelegentliches Arbeiten mit dem root User. Gemäß der vielen Empfehlungen melde ich mit per SSH mit einem einfachen Benutzer und SSH Key Based Authentication an. Gelegentlich muss man ja aber doch mal was mit root-Rechten machen. Dazu verwende ich sudo [command...]. Für eine längere Session auch schon mal sudo -i bzw. sudo su -. Nun werde ich dazu aufgefordert, das Passwort meines Users einzugeben. Und damit fangen meine Zweifel an. Denn was nützt mir die Anmeldung ohne Kennwort im ersten Schritt, wenn ich für den zweiten dann doch wieder ein Passwort eingeben muss, das ein Angreifer abgreifen könnte. Wie seht ihr das? Oder geht das irgendwie besser?

$ ssh -i [identity_file] eve@host.example.com
eve@host:~$ sudo -i
[sudo] password for eve:
root@host:~#

 

[marce]

wenn ein Angreifer das Passwort abgreifen kann, welches Du innerhalb einer bestehenden SSH-Session eingibtst hast Du ein ganz anderes Problem...

 

[GwenDragon]

Dann mach halt Logins über 2FA/OTP auf deinem Server mit einem Hardwaretoken wie Nitrokey, notfalls auch Yubikey.