Mit jelent a "jelszó nélkül" az sshd_config fájlban?

106

Telepítettem az Ubuntu 14.04-et a kiszolgálón, és beállítottam az összes konfigurációs fájlt, amikor ezt asshd_config fájlt találtam:

# Authentication:
LoginGraceTime 120
PermitRootLogin without-password
StrictModes yes

Ez nagyon aggasztotta. Azt hittem, hogy lehetséges, hogy valaki bejelentkezhet a kiszolgálómhoz root nélkül jelszó nélkül.

Próbáltam csatlakozni a szerveremhez rootként:

johns-mbp:~ john$ ssh root@192.168.1.48
The authenticity of host '192.168.1.48 (192.168.1.48)' can't be established.
RSA key fingerprint is 40:7e:28:f1:a8:36:28:da:eb:6f:d2:d0:3f:4b:4b:fe.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.48' (RSA) to the list of known hosts.
root@192.168.1.48's password:  

Üres jelszót választottam, és nem engedtem be, ami megkönnyebbült. Tehát a kérdésem az, hogy mi a jelszó nélkül, és miért ez az alapértelmezés az Ubuntu 14.04-ben?

    
készlet John 18.04.2014 03:12
forrás

4 válasz

127

A man oldalon :

  

PermitRootLogin

     

Megadja, hogy a root tud-e bejelentkezni a ssh használatával (1). A vita   kell "yes", "without-password", "forced-command only-only" vagy   "nem". Az alapértelmezett beállítás "igen".

     

Ha ez a beállítás "jelszó nélküli", jelszó   a hitelesítés le van tiltva a gyökér számára.

     

Ha ez az opció "csak kényszerített parancsok" -ra van állítva, gyökér bejelentkezést a   nyilvános kulcs hitelesítést engedélyeznek, de csak akkor, ha a   command opció van megadva (ami hasznos lehet a vételezéshez   távoli biztonsági másolatok, még akkor is, ha a root bejelentkezés általában nem engedélyezett). Minden   más hitelesítési módok le vannak tiltva a gyökér számára.

     

Ha ez az opció "nincs", akkor a root nem léphet be.

Így awithout-password lehetővé teszi a root login-ot csak nyilvános kulcsú hitelesítéssel. Ezt gyakran használják shell parancsfájlokkal és automatizált feladatokkal.

    
válasz adott Florian Diesch 18.04.2014 03:26
forrás
15

Valójában ez a beállítás nem sok mindent, ha PAM-hitelesítést használ. Asshd_config konfigurációs fájl alján található:

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.

Az Ubuntu alapértelmezett beállítása a PAM hitelesítés használata:

UsePAM yes
    
válasz adott Atari911 15.11.2014 18:34
forrás
3

Vegye figyelembe, hogy jogosultak arra, hogy a rooton keresztül bejelentkezzenek (de titkosítási kulcsokkal és soha jelszóval). Egy tipikus példa két szerver távolról történő szinkronizálása (annak érdekében, hogy az egyiket hibaként használják). Mivel a szerkezetnek azonosnak kell lennie, gyakran root-jelszó szükséges.

Íme egy példa a szinkronizálás egyidejű használatával: link

    
válasz adott Gwyneth Llewelyn 17.01.2015 21:26
forrás
0

Az sshd "without-password" új verzióiban a "tiltja a jelszavát" megváltoztatta.

Mindkét verzió működik, talán a legjobban a "tiltó jelszó" használatát, ha tudod: jobban megmagyarázza magát.

    
válasz adott teknopaul 23.03.2018 00:12
forrás