But naturally it happens all the time! That&#39;s what i love about computer security when ever you try to tell someone to do something normal and smart they do the polar opposite =)<br><br>
<div><span class="gmail_quote">On 2/4/07, <b class="gmail_sendername">Q-Ball</b> &lt;<a href="mailto:qballus@gmail.com">qballus@gmail.com</a>&gt; wrote:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">On 2/2/07, <a href="mailto:Valdis.Kletnieks@vt.edu">Valdis.Kletnieks@vt.edu</a> &lt;<a href="mailto:Valdis.Kletnieks@vt.edu">
Valdis.Kletnieks@vt.edu</a>&gt; wrote:<br>&gt; On Fri, 02 Feb 2007 13:40:47 +0530, Raj Mathur said:<br>&gt; &gt; I believe we have had this discussion before, but I&#39;ll iterate my<br>&gt; &gt; beliefs in favour of allowing direct root access again:
<br>&gt;<br>&gt; &gt; - Key-based root logins are quite secure.&nbsp;&nbsp;I don&#39;t see any reason why<br>&gt; &gt; key-based root login would be any less secure than permitting a user<br>&gt; &gt; login followed by an sudo.<br>
&gt;<br>&gt; It&#39;s not the security of the login itself - it&#39;s the ability to create<br>&gt; an audit trail of which userid performed an action.&nbsp;&nbsp;If you can find<br>&gt; some other way to...<br>&gt;<br><br>Yes ability to audit is important, and you can still retain
<br>accountably with direct root logons depending upon configuration but<br>there are two major security problems<br>with direct root logons:<br>- Remote brute forcing. Personally I&#39;d rather someone crack 2 accounts<br>
rather than just one, but maybe that&#39;s just me ;-)<br>- Security should be implemented on a least privilege basis. Logging<br>on as root as opposed to a user, isn&#39;t always required and just<br>increases your window of opportunity eg. SSH channel attacks, key
<br>loggers, brute forcing, etc.Quite often sudo should suffice for<br>regular tasks.<br><br>_______________________________________________<br>Full-Disclosure - We believe in it.<br>Charter: <a href="http://lists.grok.org.uk/full-disclosure-charter.html">
http://lists.grok.org.uk/full-disclosure-charter.html</a><br>Hosted and sponsored by Secunia - <a href="http://secunia.com/">http://secunia.com/</a><br></blockquote></div><br><br clear="all"><br>-- <br><a href="http://www.goldwatches.com">
http://www.goldwatches.com</a><br><a href="http://www.wazoozle.com">http://www.wazoozle.com</a>