PermitRootLogin ist nein, ich kann mich nicht anmelden, aber warum wird das Passwort vom Benutzer abgefragt?

7

Ich habe deaktiviert PermitRootLoginund kann mich nicht über den Server anmelden root, aber der Benutzer fragt nach dem Kennwort:

Geben Sie hier die Bildbeschreibung ein

Ist das richtig? Oder fehlt mir hier etwas? Warum wird ein Passwort abgefragt, wenn es nicht erlaubt ist?!

ssh  login  root 
ALH
quelle

Antworten:

20

Warum wird ein Passwort abgefragt, wenn es nicht erlaubt ist?!

Eine der Sicherheitsregeln besteht darin, dem Angreifer nicht mitzuteilen, ob etwas aktiviert / deaktiviert ist. Dies ist nur ein Beispiel. Der andere meldet sich als nicht vorhandener Benutzer an. Es wird auch nach dem Passwort gefragt.

Wenn Sie dem Angreifer sagen, dass "root deaktiviert ist" oder "der Benutzer nicht existiert", erhält er einige Informationen, die Sie nicht weitergeben möchten. Dies sind Seitenkanäle , die es ermöglichen würden, einen Ort der Angriffsfläche zu eliminieren und sich auf einige andere zu konzentrieren.

Wenn Sie nicht nach einem Kennwort fragen möchten, müssen Sie die Kennwortauthentifizierung vollständig deaktivieren.

Jakuje
quelle
2
Oder, mit anderen Worten, lassen Sie den Angreifer einfach Zeit damit verschwenden, dieses Passwort
brutal
@jcaron Es ist nicht der Hauptpunkt. Sie verschwenden auch Ihre Zyklen (wenn Sie keinen fail2ban-Dienst haben). Sie möchten dem Angreifer keine Informationen über Benutzer auf diesem Host geben (dann kann er sie mit verschiedenen Diensten angreifen oder die Informationen für andere böswillige Zwecke verwenden).
Jakuje
Neugierig. Auf einigen meiner Systeme tritt dieses Verhalten auf. Andere geben jedoch nur Nein ab, wenn Sie eine tastaturinteraktive Authentifizierung anfordern (dh eine Eingabeaufforderung für das Kennwort).
Joshudson
@ joshudson Dies ist der Fall, wenn Sie PasswordAuthentication nound ChallengeResponseAuthentication noin Ihrem einstellen sshd_config. In diesem Fall wird diese Authentifizierungsmethode nicht einmal angeboten (und Sie verwenden normalerweise keinen Brute-Force mit öffentlichem Schlüssel). Es könnte komplizierter sein, wenn man all das mit MatchBlöcken mischt .
Jakuje
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.