Отключение пароля root не действительно полезно. Или существует способ стать корнем, не используя пароль (такой как другая системная служба или дыра в системе безопасности в программе, работающей как корень), в этом случае независимо от того, что Вы делаете о пароле, не важно; или становление корнем требует пароля, в этом случае достаточно сильный пароль так же безопасен как отключение пароля.
Сильный пароль должен противостоять атакам перебором. Существует первый уровень безопасности, который является, что обычные пользователи не могут считать хэш пароля, таким образом, они могут только предпринять попытки путем вызова su
или login
или подобный сервис. Даже если взломщику удается получить хэш пароля, они должны вычислить хеши грубой силой, пока они не находят правильный. OpenBSD правильно использует медленный хеш; если Вы хотите, чтобы Ваш пароль противостоял миллиарду ботов ЦП в течение 10 лет, пароль с 60 битами энтропии (13 случайных букв) является излишеством.
Таким образом, моя рекомендация состоит в том, чтобы генерировать сильный случайный пароль, записать его на листке бумаги и сохранить его в физически безопасном месте. Тем путем Вы имеете пароль в наличии в чрезвычайной ситуации.
Конечно, при установке sudo затем учетная запись становится самой слабой ссылкой, и нет никакого смысла в обеспечении корневой учетной записи больше, чем учетная запись.
OpenBSD предлагает средство защиты, которое ограничивает корневую учетную запись: securelevel. Если Вы устанавливаете securelevel на положительное значение, то определенные действия (включая изменение securelevel, загрузку кода ядра и изменение файлов, отмеченных как неизменные), ограничиваются кодом ядра. Это может использоваться для гарантии целостности части системы, даже если корневая учетная запись поставлена под угрозу; оборотная сторона - то, что консольный доступ требуется в определенных ситуациях, таких как провальный жесткий диск. Посмотрите защиту Файла в Unix и Как гарантировать целостность ОС? для получения дополнительной информации, а также документации.
В структуре / etc / fstab
файл, вы можете запрашивать проверку файловой системы при каждой загрузке системы - пример:
/dev/sda1 / ext4 errors=remount-ro,relatime 0 1
/dev/sda2 swap swap defaults 0 0
proc /proc proc defaults 0 0
sysfs /sys sysfs defaults 0 0
devtmpfs /dev devtmpfs rw 0 0
Последний столбец (6-й) указывает, в каком порядке вы хотите проверять файловые системы во время загрузки. . 0 означает отсутствие проверки, 1 - первая проверка, 2 - вторая, ... Файловая система с одинаковым номером прохода проверяется параллельно.
Для информации и полноты:
mount
при монтировании файловой системы dump
Если проверка файловой системы вернет фатальную ошибку во время загрузки, вам будет предложено войти в режим восстановления файловой системы (в основном текстовая консоль однопользовательского режима).