阅读 sshd_config 的手册页时,我在 MaxStartups 中看到了术语“未授权的连接”。什么是“未授权的连接”,即未经任何授权而允许的连接?如果需要某种身份验证,这是否不会使未授权的连接变得不可能?有人会要求使用 ssh 但不需要身份验证吗?如果是这样,为什么这个选项甚至存在?
答案1
是的,sshd必须允许客户端在未经授权的情况下进行连接。客户端需要先建立连接,然后才能启动授权。因此,在客户端连接时,它们都是未经授权的。
显然,客户端在未经授权的连接上可以做的事情有严格的限制。基本上,在未经授权的连接上你唯一能做的事情就是初始化加密并进行身份验证。
连接通常不会长时间处于未授权状态。如果授权是非交互式的,通常只需几秒钟。如果授权是交互式的,则可能需要更长时间,但与 ssh 连接的典型生命周期相比仍然很短。
因此,在任何给定时间,sshd预计只有少量未经授权的连接,并且有必要限制此类连接的数量,以防止它们占用大量资源。如果没有此限制,攻击者可以打开数百个并行连接来猜测密码。