当密码为空时,可以从虚拟终端登录无密码帐户。在我的系统(Arch Linux)上,使用su空密码登录只会给出错误密码通知。
su程序可以使用空密码“直接”(不使用 )登录吗?
请注意,这是“默认”Linux 安装,没有sudo、sshd或任何此类类型。这也不会涉及到有人通过键盘进行恶意物理登录,因为无论如何物理访问都是完全妥协的。
答案1
Linux 上没有密码的用户帐户的安全隐患是什么?
这将使暴力攻击非常有效,因为它们通常从测试空密码开始。其影响取决于系统的配置方式。某些系统和服务可能不允许使用无密码帐户登录(例如pam_unix努洛克选项),或限制此类登录到某些设备(例如,请参阅 pam_unixnullok_secure选项和/etc/securetty)。
程序可以使用空密码“直接”(不使用su)登录吗?
suid 程序可以做到这一点。常规程序可能取决于操作系统以及是否从登录 shell 调用。