很显然,看到我们这里有多less人是系统pipe理员types的人,我们有很多系统和帐户密码的密码。 其中一些是低优先级的,如果发现其他公司可能会对公司造成严重损害(你不是只是爱电力?)。 简单易记的密码是不可接受的。 唯一的select是复杂的,难以记忆(和types)的密码。 那么, 你用什么来跟踪你的密码? 你是否使用一个程序来为你encryption(又需要另一个密码),还是你做了一些简单的事情,比如一张纸上放着一张纸,或者是在这些选项之间的某处?
我喜欢通过密钥访问服务器的想法,所以我不必每次input密码时都input密码,甚至locking我的用户(而不是root )密码( passwd -l username ),所以不可能无需密钥login。 但是,如果我需要为sudo命令input密码,所有这一切都会中断。 所以我很想设置无密码的sudo ,使其符合无密码login。 然而,我仍然有一种直觉,认为这可能会以某种意想不到的方式对我产生反感,似乎有点不安全。 有没有这样的设置警告? 你会build议/不build议这样做的服务器上的用户帐户? 澄清 我在这里讨论在交互式用户会话中使用sudo ,而不是服务或pipe理脚本 我正在谈论使用云服务器(所以我没有物理本地访问一台机器,只能远程login) 我知道sudo有一个超时期间,我不必重新input我的密码。 但是我的演唱会并不是浪费额外的时间来input密码。 我的想法虽然是不必处理密码,因为我认为: 如果我必须记住它,它很可能太短,不安全或重用 如果我为远程帐户生成一个长而唯一的密码,那么我将不得不将其存储在某个地方(本地密码pipe理器程序或云服务),并在每次使用sudo时候获取它。 我希望我能避免这一点。 所以在这个问题上,我想更好地理解一个可能的configuration的风险,警告和折衷。 跟进1 所有答案都说,无密码sudo是不安全的,因为如果我的个人用户帐户被攻陷,它允许“简单”升级权限。 我明白那个。 但另一方面,如果我使用密码,我们会带着密码(太短或常见string,在不同服务中重复)等所有经典风险。 但是我猜如果我在/etc/ssh/sshd_config禁用密码authentication,这样你仍然必须有一个密钥login,我可以使用一个简单的密码只是为了更容易inputsudo ? 这是一个有效的策略? 跟进2 如果我也有一个通过SSH以rootlogin的密钥,如果有人能够访问我的计算机并窃取我的密钥(他们仍然受到操作系统密钥环密码的保护!),他们也可以直接访问root帐户,绕过sudopath。 那么访问root帐户的政策应该是什么呢?
我们有不同的密码,需要被我们公司的一个以上的人知道。 例如,我们的互联网路由器的pipe理员密码,我们的networking主机的密码,以及一些“非IT”的密码,如安全代码。 目前,我们为低价值系统使用“标准密码” 特设系统,并为更重要/潜在的破坏性系统口头共享密码。 我想大多数人会同意这不是一个好的系统。 我们想要的是一个用于存储“共享”密码的软件解决scheme,每个用户只能访问实际需要的密码。 理想情况下,这会提示或执行周期性的密码更改。 它还应该能够指示谁可以访问特定的密码( 例如 ,谁知道服务器XYZ的根密码?) 你能build议任何软件解决scheme存储和共享密码? 有什么特别需要警惕吗? 中小型企业的常见做法是什么?
这是关于Linux,MacOSX和FreeBSD上的OpenSSH客户端的问题。 通常情况下,我使用SSH密钥login系统。 偶尔,我希望我的SSH客户端忽略我的SSH密钥,而不是使用密码。 如果我的主机名是'ssh,我的客户端会提示我input密码给我的SSH密钥,这是一个烦恼。 相反,我希望客户端简单地忽略我的SSH密钥,以便服务器将要求我input密码。 我尝试了以下,但仍然提示我的SSH密钥的密码。 在此之后,我被提示input密码。 ssh -o PreferredAuthentications=password host.example.org 我想在客户端执行此操作,而不需要对远程主机进行任何修改。
如何在RHEL(Fedora,CentOS等)或Ubuntu发行版上设置无密码sudo访问? (如果发行版相同,那就更好了!) 设置:个人和/或实验室/培训设备,不涉及未经授权的访问(即,设备在非公共networking上,任何/所有用户都完全信任,设备内容为“普通”)。 。
在Linux上(Debian Squeeze)我想禁用SSHlogin使用密码给一些用户(选定的组或除root以外的所有用户)。 但我不想禁用login使用他们的证书。 编辑:非常感谢您的详细解答! 出于某种原因,这不适用于我的服务器: Match User !root PasswordAuthentication no …但可以很容易地被replace PasswordAuthentication no Match User root PasswordAuthentication yes
我刚刚尝试使用SSH(PuTTY,Windows)login到Fedora (版本13 Goddard)服务器。 出于某种原因, input我的用户名后input没有通过,我input我的密码,再次按Enter键。 当服务器向我打招呼时,我才意识到自己的错误 myusername MYPASSWORD @ server.example.com的密码: 此时我断开了连接,并在该机器上更改了密码(通过单独的SSH连接)。 …现在我的问题是: 这样一个失败的login存储在任何日志文件的纯文本? 换句话说,在下一次他扫描日志时,是否只是在远程pipe理员的眼前强迫我的(现在已过时的)密码? 更新 感谢所有关于隐含问题“将来如何防止这个问题”的评论。 对于快速的一次性连接,我现在使用这个PuTTYfunction: 取代那个又一次的“自动login用户名”选项 我也会更频繁地开始使用ssh密钥,正如PuTTY文档中所解释的那样。
我有一个现有的公/私钥对,私钥是密码保护的,encryption可能是RSA或DSA。 这些密钥是你用ssh-keygen生成的,一般存放在~/.ssh 。 我想更改私钥的密码。 我怎样才能在一个标准的unixshell上进行操作呢? 另外,我如何简单地删除密码? 只要将其更改为空? (我知道,他们把它叫做密码短语,迂腐的懦夫)
如何使用密码自动loginSSH? 我正在configuration我的testing虚拟机,所以不重视安全性。 使用最less的configurationselectSSH进行可接受的安全 EX) echo password | ssh id@server 这不起作用。 我记得我用一些技巧做了这个,有人引导了我,但是现在我不记得我用过的技巧了。