Antworten:
Warum wird ein Passwort abgefragt, wenn es nicht erlaubt ist?!
Eine der Sicherheitsregeln besteht darin, dem Angreifer nicht mitzuteilen, ob etwas aktiviert / deaktiviert ist. Dies ist nur ein Beispiel. Der andere meldet sich als nicht vorhandener Benutzer an. Es wird auch nach dem Passwort gefragt.
Wenn Sie dem Angreifer sagen, dass "root deaktiviert ist" oder "der Benutzer nicht existiert", erhält er einige Informationen, die Sie nicht weitergeben möchten. Dies sind Seitenkanäle , die es ermöglichen würden, einen Ort der Angriffsfläche zu eliminieren und sich auf einige andere zu konzentrieren.
Wenn Sie nicht nach einem Kennwort fragen möchten, müssen Sie die Kennwortauthentifizierung vollständig deaktivieren.
PasswordAuthentication no
und ChallengeResponseAuthentication no
in Ihrem einstellen sshd_config
. In diesem Fall wird diese Authentifizierungsmethode nicht einmal angeboten (und Sie verwenden normalerweise keinen Brute-Force mit öffentlichem Schlüssel). Es könnte komplizierter sein, wenn man all das mit Match
Blöcken mischt .