用户密码是保护网络攻击,还是只保护物理密码?
用户密码是保护网络攻击,还是只保护物理密码?
提问于 2019-09-26 02:34:10
如果我用一个空密码在Linux系统中创建一个用户,这是否暴露了任何远程漏洞,还是只有当有人获得对机器的物理访问时才会出现问题?
回答 2
Security用户
回答已采纳
发布于 2019-09-26 04:26:54
如果我用一个空密码在Linux系统中创建一个用户,这是否暴露了任何远程漏洞,还是只有当有人获得对机器的物理访问时才会出现问题?
它不暴露远程漏洞,它被认为是一个错误配置,它取决于:
- 你的SSH配置。默认情况下,
PermitEmptyPasswords设置为/etc/ssh/sshd_config中的no。 - 如何配置用户本身。如果允许用户进行shell访问,则可以在
/etc/passwd中看到。
假设同时应用1和2,则需要对计算机进行控制台(物理)访问,以便该用户能够登录。
不设置用户密码的原因应该只有一个,那就是配置公钥身份验证时。为了避免任何混淆,用户帐户(uid >= 1000)和服务帐户(uid < 1000)之间存在差异。
Security用户
发布于 2019-09-26 07:49:45
如果允许用户通过ssh或ftp进行访问,这肯定是一个问题。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/218691
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号