PermitRootLogin ist nein, ich kann mich nicht anmelden, aber warum wird das Passwort vom Benutzer abgefragt?

Warum wird ein Passwort abgefragt, wenn es nicht erlaubt ist?!

Eine der Sicherheitsregeln besteht darin, dem Angreifer nicht mitzuteilen, ob etwas aktiviert / deaktiviert ist. Dies ist nur ein Beispiel. Der andere meldet sich als nicht vorhandener Benutzer an. Es wird auch nach dem Passwort gefragt.

Wenn Sie dem Angreifer sagen, dass "root deaktiviert ist" oder "der Benutzer nicht existiert", erhält er einige Informationen, die Sie nicht weitergeben möchten. Dies sind Seitenkanäle , die es ermöglichen würden, einen Ort der Angriffsfläche zu eliminieren und sich auf einige andere zu konzentrieren.

Wenn Sie nicht nach einem Kennwort fragen möchten, müssen Sie die Kennwortauthentifizierung vollständig deaktivieren.

Jakuje
quelle

Oder, mit anderen Worten, lassen Sie den Angreifer einfach Zeit damit verschwenden, dieses Passwort

brutal

@jcaron Es ist nicht der Hauptpunkt. Sie verschwenden auch Ihre Zyklen (wenn Sie keinen fail2ban-Dienst haben). Sie möchten dem Angreifer keine Informationen über Benutzer auf diesem Host geben (dann kann er sie mit verschiedenen Diensten angreifen oder die Informationen für andere böswillige Zwecke verwenden).

Jakuje

Neugierig. Auf einigen meiner Systeme tritt dieses Verhalten auf. Andere geben jedoch nur Nein ab, wenn Sie eine tastaturinteraktive Authentifizierung anfordern (dh eine Eingabeaufforderung für das Kennwort).

Joshudson

@ joshudson Dies ist der Fall, wenn Sie PasswordAuthentication nound ChallengeResponseAuthentication noin Ihrem einstellen sshd_config. In diesem Fall wird diese Authentifizierungsmethode nicht einmal angeboten (und Sie verwenden normalerweise keinen Brute-Force mit öffentlichem Schlüssel). Es könnte komplizierter sein, wenn man all das mit MatchBlöcken mischt .

Jakuje

PermitRootLogin ist nein, ich kann mich nicht anmelden, aber warum wird das Passwort vom Benutzer abgefragt?

Antworten: