Скопируйте раздел BTRFS на внешний жесткий диск. Раздел BTRFS, включая моментальные снимки.

То, что вы сделали, нетипично, поэтому я бы не рекомендовал это. Большинство программ предполагают взаимно однозначное соответствие между uid и именем пользователя. Вы потенциально можете открыть себя для странных ошибок / неизвестного поведения или наихудших уязвимостей безопасности - это мне неизвестно, поэтому я не могу рекомендовать его, когда есть лучшие / более типичные способы достижения ваших целей. Учитывая это, я бы первым делом удалил созданные вами учетные записи.

Теперь, если пользователям требуется root-доступ, нет ничего плохого в том, чтобы предоставить им доступ к root-аккаунту, если вы / они понимаете риски, связанные с root-аккаунтом. С точки зрения безопасности самым слабым местом в ssh является аутентификация по паролю, поэтому я настоятельно рекомендую отключить его. Это можно сделать, отредактировав / добавив следующее в / etc / ssh / sshd_config

ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

. Однако есть некоторые проблемы с обладанием привилегиями root дольше, чем вам требуется. В частности, простая ошибка может принести больше вреда. Учитывая это, лучше создать несколько непривилегированных учетных записей, в которые пользователи могут входить.После входа в систему пользователь может получить привилегии суперпользователя при необходимости, используя su - и пароль суперпользователя.

Теперь удаленные атаки обычно направлены против пользователей root (а также обычных пользователей с именами, такими как admin ), с отключенной аутентификацией по паролю вам обычно не нужно об этом беспокоиться, поскольку аутентификация ключа достаточно сильна. . Если у вас есть учетные записи пользователей, которые могут получить права root (как описано выше и ниже), вы можете дополнительно повысить безопасность, полностью отключив учетную запись root, добавив / отредактировав следующее в / etc / ssh / sshd_config .

PermitRootLogin no

ВНИМАНИЕ: убедитесь, что у вас есть учетная запись пользователя, которая может получить привилегии root, или вы можете заблокировать себя на сервере.

Это может помочь защитить вас от неправильной конфигурации или возможных будущих уязвимостей для ssh / openssl, поскольку злоумышленник теперь также требует имя пользователя для доступа к непривилегированной учетной записи, где ему затем потребуется пароль для получения полного корневого доступа.

Наконец, не рекомендуется сообщать пароль нескольким пользователям. Если вы хотите отозвать кому-либо доступ по какой-либо причине, всем необходимо выучить новый пароль. Лучше получить привилегии root, используя собственный пароль пользователя.Таким образом, вам просто нужно заблокировать учетную запись пользователя, изменить пароль root (так как они могли бы изменить его, учитывая, что у них есть привилегии root), и каждый может продолжать использовать свои собственные пароли без проблем (обратите внимание, что есть больше проблем с блокировкой кого-то из сервер, к которому у них был root-доступ, поскольку они могли делать с системой что угодно, включая изменение паролей других пользователей или добавление их ключей другим пользователям).

Для этого вы можете использовать sudo вместо su , чтобы разрешить пользователям получать привилегии суперпользователя со своим собственным паролем в соответствии с их паролем. Для этого установите sudo и добавьте пользователя в группу wheel или sudo (в зависимости от используемого вами дистрибутива). Затем пользователи могут использовать sudo для выполнения команды с привилегиями root или sudo -i для получения оболочки root.

Это также позволяет улучшить журналы аудита, поскольку каждое действие, выполняемое sudo, регистрируется с именем пользователя - при условии, что вы не просто все время выполняете sudo -i .

Вы даже можете пойти дальше, ограничив пользователей запуском только подмножества команд, вместо того, чтобы предоставлять им доступ ко всему. Это упрощает отмену доступа в будущем, поскольку они могут меньше делать системе. Но это зависит от того, насколько вы доверяете своим пользователям, и может раздражать, если вы не знаете всего, к чему им нужен доступ.

Учитывая это, злоумышленнику требуется имя пользователя, а также ключ ssh или уязвимость в аутентификации на основе ключа, чтобы получить доступ к серверу, где он может нанести ограниченный ущерб.Затем им требуется пароль, чтобы на самом деле получить привилегии root и нанести реальный ущерб.

Безопасность применяется послойно, и чем больше у вас уровней, тем в большей безопасности вы. Но добавленные слои также снижают удобство использования. Вам решать, какой баланс вы хотите применить к данной системе. Шаги, которые я описал выше, добавят безопасности при минимальных затратах на удобство использования. Вы можете предпринять дальнейшие шаги, чтобы заблокировать систему даже в большей степени, чем это, но в большинстве случаев этого должно быть достаточно.