Sshd_config ফাইলটিতে 'পাসওয়ার্ড ছাড়াই' অর্থ কী?


118

আমি আমার সার্ভারে কেবল উবুন্টু 14.04 ইনস্টল করেছি এবং আমার ফাইলে এটি উপস্থিত হয়ে আমার সমস্ত কনফিগারেশন ফাইলগুলি সেট আপ করছিলাম sshd_config:

# Authentication:
LoginGraceTime 120
PermitRootLogin without-password
StrictModes yes

এটি আমাকে খুব চিন্তিত করেছিল। আমি ভেবেছিলাম যে এটি সম্ভব যে কোনও ব্যক্তি পাসওয়ার্ড ছাড়াই রুট হিসাবে আমার সার্ভারে লগ ইন করতে পারে।

আমি আমার সার্ভারের সাথে রুট হিসাবে এটি সংযোগ করার চেষ্টা করেছি:

johns-mbp:~ john$ ssh root@192.168.1.48
The authenticity of host '192.168.1.48 (192.168.1.48)' can't be established.
RSA key fingerprint is 40:7e:28:f1:a8:36:28:da:eb:6f:d2:d0:3f:4b:4b:fe.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.48' (RSA) to the list of known hosts.
root@192.168.1.48's password:  

আমি একটি ফাঁকা পাসওয়ার্ড প্রবেশ করিয়েছি এবং এটি আমাকে প্রবেশ করতে দেয়নি, যা একটি স্বস্তি ছিল। সুতরাং আমার প্রশ্নটি: পাসওয়ার্ড ছাড়াই কী বোঝায় এবং উবুন্টু 14.04 এ এটি ডিফল্ট কেন?

উত্তর:


142

ম্যানপেজ থেকে :

PermitRootLogin

রুট ssh (1) ব্যবহার করে লগ ইন করতে পারে কিনা তা উল্লেখ করে । যুক্তিটি অবশ্যই "হ্যাঁ", "পাসওয়ার্ড ছাড়াই", "জোরপূর্বক-আদেশ-কেবল" বা "না" হতে হবে The

যদি এই বিকল্পটি "পাসওয়ার্ড ছাড়াই" সেট করা থাকে তবে মূলের জন্য পাসওয়ার্ড প্রমাণীকরণ অক্ষম করা হবে।

যদি এই বিকল্পটি "কেবলমাত্র বাধ্যতামূলক-আদেশ-কেবল" এ সেট করা থাকে, সর্বজনীন কী প্রমাণীকরণের সাথে রুট লগইন অনুমোদিত হবে তবে কেবলমাত্র commandবিকল্পটি নির্দিষ্ট করা থাকলে (যা সাধারণত লট লগইনকে অনুমতি না দেওয়া সত্ত্বেও দূরবর্তী ব্যাকআপ নেওয়ার ক্ষেত্রে কার্যকর হতে পারে) । অন্যান্য সমস্ত প্রমাণীকরণ পদ্ধতি রুটের জন্য অক্ষম।

যদি এই বিকল্পটি "না" তে সেট করা থাকে, রুটটি লগ ইন করার অনুমতি নেই।

এইভাবে without-passwordপাবলিক কী প্রমাণীকরণের সাথে রুট লগইন করতে দেয়। এটি প্রায়শই শেল স্ক্রিপ্ট এবং স্বয়ংক্রিয় কার্যগুলির সাথে ব্যবহৃত হয়।


2
পাসওয়ার্ড ব্যবহার করে 'রুট লগইন' না দেওয়ার অনুমতি দেওয়ার চেয়ে শক্তিশালী সুরক্ষা হিসাবে বিবেচনা করা হয়। এটি বলেছে যে আপনি কোনওভাবেই রুটে লগইন করবেন না , যদি না অন্য কোনও পদ্ধতি (সুডো ইত্যাদি) কাজ না করে।
ডেভিড 6

5
আপনি যেমন দেখতে পাচ্ছেন, ম্যান পৃষ্ঠাটি ডিফল্টটিকে "হ্যাঁ" নির্দেশ করে, উবুন্টু ডিফল্টটিকে "পাসওয়ার্ড ছাড়াই" তৈরি করেছে।
লৌহঘটিত

36
সুতরাং without-passwordপাসওয়ার্ড ছাড়া সব পদ্ধতি অনুমোদিত? এটি সত্যিই "পাসওয়ার্ডের প্রয়োজন ছাড়াই লগইন করার অনুমতি দেওয়া" বলে মনে হচ্ছে।
গৌথিয়ার

1
"সমস্ত রুট অ্যাক্সেসের জন্য স্থানীয় লগনের মাধ্যমে একটি অনন্য এবং সনাক্তযোগ্য ব্যবহারকারী আইডি এবং তারপরে একবার স্থানীয়ভাবে সত্যায়িত su কমান্ডের মাধ্যমে সহজতর হওয়া উচিত Direct - সিআইএস আইবিএম এআইএক্স গাইড
ডোমিনিক এন্টাল

22
PermitRootLogin now accepts an argument of 'prohibit-password' as a less-ambiguous synonym of 'without-password'.
এন্ডোলিথ

16

আসলে আপনি যদি পিএএম প্রমাণীকরণ ব্যবহার করছেন তবে এই সেটিংটি বেশ কিছু করে না। sshd_configকনফিগারেশন ফাইলের নীচে আপনি পাবেন:

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.

উবুন্টুতে ডিফল্ট সেটিংস হ'ল পিএএম প্রমাণীকরণ:

UsePAM yes

1
আমার সংক্ষিপ্ত অভিজ্ঞতায় এমনকি এটিকে সেট করা আসলে কোনওভাবেই কাজ করে noনা PermitRootLogin without-password! :(
ক্রেগক্স

1
@ ক্রেগক্স আপনি যদি একটি সাধারণ ডেস্কটপ সিস্টেম ব্যবহার করে থাকেন তবে আপনাকে ssh-copy-id -i ~/.ssh/id_rsa.pub user@ipএটি করতে হবে এবং ~/.ssh/authorized_keysআপনি যদি রুট হিসাবে লগ ইন করতে না পারেন তবে আপনি এই ফাইলটি /root/.ssh/ এ তৈরি করতে পারবেন না তা মনে রাখে তবে এটি অনুলিপি করে থাকলে কাজ করে সেখানে ফাইলটি
রুত্রস

3

নোট করুন যে মূলের মাধ্যমে লগ ইন করার বৈধ কারণ রয়েছে (তবে ক্রিপ্টোগ্রাফিক কী এবং কখনই পাসওয়ার্ড ব্যবহার করা হয় না )। একটি সাধারণ উদাহরণ দূরবর্তীভাবে দুটি সার্ভারকে সিঙ্ক করে নেওয়া হয় (এর মধ্যে একটিতে ব্যর্থ-ওভার হিসাবে ব্যবহৃত হচ্ছে)। কারণ কাঠামোটি অবশ্যই অভিন্ন হতে পারে, প্রায়শই একটি রুট পাসওয়ার্ডের প্রয়োজন হয়।

সিঙ্ক্রোনাইজেশনের জন্য একযোগ ব্যবহার করার জন্য এখানে একটি উদাহরণ দেওয়া আছে: https://serverfault.com/questions/341985/remotely-use-root-over-ssh-for-unison


2
কোনও সাধারণ ব্যবহারকারীর সাথে লগ ইন করবেন না (সম্ভবত সম্ভবত ক্রিপ্টোগ্রাফিক কীগুলি ব্যবহার করা হবে) এবং এটি sudoদলের অন্তর্ভুক্ত থাকার ফলে আপনিও এটি করতে পারবেন?
এনএস ডু টোইট

2

Sshd এর নতুন সংস্করণগুলিতে "পাসওয়ার্ড ছাড়াই" পরিবর্তন করে "নিষেধ-পাসওয়ার্ড" করা হয়েছে।

উভয় সংস্করণই কাজ করে, সম্ভবত "নিষেধ-পাসওয়ার্ড" ব্যবহার করা সবচেয়ে ভাল: আপনি যদি এটি করতে পারেন তবে এটি আরও ভাল ব্যাখ্যা করে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.