假设有人坐在用户(非管理员,不是 root)下,但他没有为其设置任何密码,只有超级用户/root 有密码。这是不好的做法吗(在通过互联网远程访问桌面的情况下)?
答案1
正如您所指出的,如果没有管理员权限,用户可能无法对系统造成任何永久性损坏,但他们可以做很多您不希望他们做的事情。
僵尸机器被用来执行分布式拒绝服务攻击攻击和发送垃圾邮件或作为进行进一步攻击的代理。 目前这是物联网设备的一个特殊问题。负责这些攻击的人积极地在互联网上搜索他们可以登录的机器。你可能认为一个模糊的用户名就足够了,但这通常不是真的。攻击者会尝试使用非常长的用户名列表和空白密码。
如果您可以通过互联网远程登录系统(例如 SSH 或电子邮件 SMTP),则该用户将被破坏。互联网上有无数的机器人在刺探每一个互联网 IPv4 地址。
作为参考,我每天收到大约 500 次戳。我见过其他人收到 10,000 甚至 100,000 的报道
因此,如果您允许在除防火墙合理、没有外部访问权限的笔记本电脑之外的任何设备上进行无密码登录,您几乎可以保证它将被登录并用于进一步的攻击。
答案2
是的,这是不好的做法,因为使用空密码可能是有人试图侵入系统的第一次尝试之一。
前提是系统可以从外部访问。
一旦入侵者能够访问系统,他们就可以做用户能做的任何事情。
即使这个入侵者“仅”使用用户权限而不是 root 运行,这也足以令人不安,需要注意防止这种情况发生。