Jak*_*kob 0 security root password-management
我正在考虑使用空白的 root/管理员密码运行公共 Web 和应用程序服务器,我想知道这是否是一个糟糕的策略。
我看到了没有密码的几个优点。“无密码”不能被强行使用、丢失、忘记或落入坏人之手。管理员将需要使用他们的个人帐户登录,以便更轻松地查看谁有权访问以及在做什么,而不是跟踪谁知道 root 密码。如果您设法将自己锁定在外面,则可以轻松地重新激活对机器具有物理访问权限的任何帐户。
我主要运行 Ubuntu 14 和 Windows Server 2008 服务器,默认情况下,它们都拒绝远程登录没有密码的帐户。Linux 机器通过 SSH 访问,Windows 机器通过 RDP 访问,以及通过 Copssh 访问 SSH。出于实际目的,服务器受到了足够的物理保护,无论密码如何,任何设法获得访问权限的人都可以造成损坏。
问题是,这可能是一个好的安全策略还是我没有想到的实际考虑?具体来说,Windows 或 Linux 中是否有任何特定服务可以允许通过具有空白密码的帐户远程访问机器?
| 归档时间: |
|
| 查看次数: |
874 次 |
| 最近记录: |