اگر من یک کاربر را در یک سیستم لینوکس با یک رمز عبور خالی ایجاد کنم ، آیا این آسیب پذیری از راه دور را در معرض دید شما قرار می دهد ، یا اینکه اگر کسی دسترسی فیزیکی به دستگاه داشته باشد ، این یک مشکل است؟
این آسیب پذیری از راه دور را آشکار نمی کند ، این یک پیکربندی اشتباه در نظر گرفته شده است که بستگی به آن دارد:
-
پیکربندی SSH شما. به طور پیش فرض
PermitEmptyPasswordsدرnoدر/ etc / ssh / sshd_configتنظیم شده است. -
نحوه پیکربندی خود کاربر. اگر کاربر اجازه دسترسی به پوسته را داشته باشد یا خیر ، که می تواند در
/ etc / passwdمشاهده شود.
با فرض اینکه هر دو 1 و 2 اعمال می شوند ، برای دسترسی به کنسول (فیزیکی) به دستگاه خود نیاز دارید. کاربر می تواند وارد سیستم شود.
فقط یک دلیل برای تنظیم رمز عبور کاربر وجود ندارد و این در هنگام تنظیم احراز هویت کلید عمومی است. برای جلوگیری از هرگونه سردرگمی ، بین حسابهای کاربری (uid> = 1000) و حسابهای خدمات (uid <1000) تفاوت وجود دارد.
