我在我的测试服务器上放置了一个 openssh 服务器,它运行得很好。但很快,我意识到无论我输入什么帐户名 - 例如- 服务器总是回答我的请求并让我输入密码。实际上它不会允许root或其他不存在的帐户登录。但显然这不是一个安全现象。我测试了一些小网站,它也回答了我的 ssh 请求,尽管我尝试输入“root”但无法登录。ssh [email protected]
那么如何让openssh-server忽略除我指定的帐户之外的一些请求。我尝试 ssh 一些大网站,它显然忽略了我的请求,只是让我等待。
提前致谢。
答案1
事实上,这是相反的:它是更多的安全地首先等待用户名和密码,然后再回复身份验证错误,而不会详细说明哪一部分是错误的。
如果服务器在收到用户名后立即回复“没有这样的用户名”信息,则会降低其安全性,因为仅通过暴力方式枚举现有用户帐户列表是微不足道的,而无需猜测密码(由于语法限制,所有用户名的空间(也称为可能值)远小于所有密码的空间)。
另请注意,ssh访问不仅是用户名+密码,例如您还可以使用用户名+私钥登录(当用户只有一个密码时,给定的用户名可能有多个希望使用的密钥)。