我正在我的家庭服务器上向全世界开放我的 SSH。我更改了默认端口。我为 root 和唯一手动添加的用户(在安装时完成)设置了完全随机的 64 个字符密码,并将其存储在 USB 拇指驱动器上。
此外,我已按照此处的步骤限制外部访问我的黑莓设备的 IP:
我还禁用了 root 登录(尽管我可以重新启用,以便我可以更轻松地使用 WinSCP 以 root 身份添加/删除/编辑文件 - 特别是如果我可以将 root 登录限制为 192.168.1.105 地址???)
无论如何,研究 SSH 配置文件后,我看到一个选项:
PasswordAuthentication yes
如果将其更改为“no”,如果我没有公钥,似乎会停止登录 SSH 服务器。我以前尝试过设置它,但在 Windows 上使用 putty 总是遇到问题。
我的问题是,除了 SSH 之外,PPK 还提供了什么优势?我以为 SSH 已经很安全了?因此是安全外壳?也许我误解了,除非您还将 SSH 配置为使用 PPK,否则 SSH 的安全性仅与 FTP 一样?
问候,亚历克斯
答案1
PasswordAuthentication No 可以确保任何暴力破解密码的尝试都是徒劳的。此外,被攻陷的 sshd 在连接到私钥时无法嗅探私钥;使用密码验证时,它仍然是隧道传输的明文,因此任何攻陷服务器并安装修改后的 sshd 或 pam 堆栈的人现在都拥有您用于登录的密码,该密码可能不仅在他/她能够攻陷的单个服务器上有效。