Can you please explain how this is possible?
Ci sono due configurazioni valide che permetteranno a root
di accedere usando una password:
-
PermitRootLogin yes
-
PermitRootLogin without-password
e ChallengeResponseAuthentication yes
E alcune configurazioni PAM
ISTR l'impostazione predefinita di Ubuntu è PermitRootLogin no
, ma credo che Linode, essendo un servizio che fornisce server remoti che hanno solo un root
di account ab initio, ha modificato l'impostazione predefinita nella loro build in modo che i loro utenti possano accedere direttamente senza usare lish
o altre opzioni della console remota (che può essere un po 'kludgy da usare). In realtà eseguo un linux Ubuntu 16, ma il mio sshd_config è stato modificato subito dopo l'installazione, e questa è un'impostazione che ho sempre modificato, quindi non posso dirti come è stata spedita:)
Per citare la pagina man sshd_config:
PermitRootLogin
Specifies whether root can log in using ssh(1). The argument
must be ''yes'', ''prohibit-password'', ''without-password'',
''forced-commands-only'', or ''no''. The default is ''no''.
Note that if ChallengeResponseAuthentication is ''yes'', the root
user may be allowed in with its password even if PermitRootLogin
is set to ''without-password''.
If this option is set to ''prohibit-password'' or
''without-password'', password and keyboard-interactive
authentication are disabled for root.
Per citare sshd_config sul mio sistema Ubuntu 16:
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
Potresti leggere Come mettere a punto la configurazione del daemon SSH su un VPS Linux che, sebbene non riguardi questo particolare problema, è un sondaggio ben leggibile su ciò che puoi fare per il tuo sshd_config.