我已禁用PermitRootLogin,我无法通过root
登录服务器,但是
用户询问密码:
它是否正确?或者这里有些东西我不见了?为什么不允许密码?!
Why password is asked when it is not permitted?!
安全规则之一不是告诉攻击者是否启用了某些内容.这只是一个例子.另一个是以不存在的用户身份登录.它还会要求输入密码.
告诉攻击者“root is disabled”或“用户不存在”给了他一些你不想放弃的信息.这些是侧面通道,可以消除一个攻击面的位置,并专注于其他一些.
如果您不想要密码,则需要完全禁用密码验证.
原文链接:https://www.f2er.com/linux/400579.html
