我最近决定将我的(非常)强用户密码更改为一些简单的密码。
这主要是为了消除我每次使用 sudo 或执行其他操作时输入长密码的烦恼。
我的问题是,是否有理由使用强用户密码?考虑到我在我的机器上运行的大多数服务都不使用 PAM 进行身份验证:
- apache2-使用.htpasswd 进行访问
- sshd-仅有的允许私钥
- transmissiond-使用自己的 http 身份验证
- mpd-使用自己的身份验证
- samba - 仅限于局域网
物理访问该盒子是不可能的。
答案1
设置密码的原因是为了设置强密码甚至非常强的密码,其中一个原因是为了保护您免受未经授权的访问。
如果您确信您的电脑绝对安全,不需要密码,您可能需要看看这些问题:
答案2
如果您不运行任何服务(如 apache2),那么这不是什么大问题。
如果您在 Virtualbox 或 Docker 或类似情况下运行此类服务,那么您就受到保护(假设您不会在没有强密码的情况下让这些盒子访问您自己的计算机)。
如果您直接在主机上运行一个或多个服务,那么您将面临风险。也就是说,在大多数情况下您不会有事,但如果服务有一道门,可以让黑客侵入您的系统,那么强密码可能会帮助您抵御黑客,阻止他们获得 root 访问权限。
当然,在许多情况下,服务黑客会直接授予黑客 root 访问权限。在这种情况下,无论密码是什么都无济于事。但如果他们通过您的网站博客(例如)访问 PHP,他们可能没有太多的线索来真正破解您的整个系统。使用 PHP,他们已经可以访问您的 PHP 文件,读取您的数据库密码(如果您以明文形式保存密码,许多 PHP 前端都是这种情况——我不会列举哪些,但确实如此……),然后访问该数据库中的所有数据。这将包括您的用户电子邮件地址和加密密码。即使在 Virtualbox 或 Docker 情况下,这也是一个问题,但至少主计算机是 99.999% 安全的。