我已禁用PermitRootLogin,无法通过 登录服务器root,但系统要求用户输入密码:
这是正确的吗?还是我遗漏了什么?为什么不允许输入密码却要求输入密码?!
答案1
为什么在不允许的情况下仍要求输入密码?!
安全规则之一是不要告诉攻击者某些东西是否已启用/禁用。这只是一个例子。另一个是作为不存在的用户登录。它也会要求输入密码。
告诉攻击者“root 已被禁用”或“用户不存在”会给他一些你不想泄露的信息。这些是侧通道这样就可以消除一个攻击面,并集中攻击其他攻击面。
如果您不想询问密码,则需要完全禁用密码验证。