我已禁用PermitRootLogin且无法通过 登录服务器root,但用户要求输入密码:
这样对吗?或者这里有什么我想念的东西?为什么在不允许时询问密码?!
Jak*_*uje 20
为什么在不允许时询问密码?!
安全规则之一是不要告诉攻击者是否启用/禁用了某些东西。这只是一个例子。另一种是以不存在的用户身份登录。它还会要求输入密码。
告诉攻击者“root 被禁用”或“用户不存在”会给他一些你不想泄露的信息。这些是侧信道,可以消除一个攻击面并专注于其他一些攻击面。
如果您不想询问密码,则需要完全禁用密码验证。