Un amico mi ha detto alcuni mesi fa di un controllo in cui ha scoperto che gli accessi root erano abilitati tramite SSH. Questo ovviamente finì sul rapporto, ma quando interrogato l'amministratore gli disse che aveva impostato SSHD per consentire i tentativi di login di root, ma in realtà non li controllava, e solo sostenendo che la password fosse sbagliata, come una sorta di honeypot.
Come è possibile? Una lettura dei documenti di sshd non mostra un modo ovvio per fare una cosa del genere.
È facile costruire un hash della password che non corrisponde a nessuna password. Uno dei molti modi per ottenere ciò sarebbe quello di memorizzare un valore hash insieme a un sale diverso da quello da cui è stato calcolato. Un hash della password costruito in questo modo non corrisponderebbe mai a una password effettiva a meno che non hai costruito una collisione nell'hash sottostante.
Indipendentemente dal metodo utilizzato per costruire un hash della password, il risultato è lo stesso. Sembra che l'account abbia una password (per qualsiasi programma con accesso per verificarlo), ma indipendentemente dalla password inserita, verrebbe rifiutata.
Se questo approccio è una buona idea è una questione diversa. Preferirei sshd semplicemente rifiutare completamente gli accessi alle password.