本周提交的一份Fedora 35修改方案引起了一些人的不满,因为它计划取消Fedora Anaconda安装程序中的"允许SSH Root用密码登录"选项。在过去的几年里,Fedora安装程序中包含这样选项,用于在SSH上实现基于密码的登录,虽然这并不是默认启用的,只是作为一个选项提供给那些想要基于密码登录的人。
在今年秋天的Fedora 35中,社区修改建议希望从安装程序中取消这个选项。其依据是,该选项一开始设计时就被认为是暂时性的,而放弃该选项的安全好处是鼓励用户依赖SSH密钥等更安全的身份鉴别方式。
对Fedora而言,这么做的好处是:"这一变化使通过Anaconda安装的Fedora系统更加安全,不会受到针对root账户的远程密码猜测攻击,因为不再可能配置一个允许root通过SSH密码登录的系统。一个较小的好处是,通过删除 "允许SSH root带密码登录 "和Anaconda代码清理后,删除在sshd中设置覆盖的相关代码,还可以使root密码配置屏幕不那么混乱。"
概述这一计划中的选项删除的修改建议可以通过Fedora Wiki找到。在 fedora-devel 上对这一提议的早期反馈声音其实并不一致,一些人不喜欢这个非默认选项被删除,一些人喜欢基于密码的认证,用于快速和短暂的虚拟机和其他环境,在这些环境中,安全问题不大,其他情况下,基于密码的SSH登录很方便。
我们将继续关注Fedora的这个修改建议会发生什么 -- 也有一些人心目中有妥协方案,对可能允许这个选项保留在特定的Fedora版本中感兴趣(特别是本身就工作在需要远程登录的场景下,这样做反而造成了配置上的困扰)。
了解更多:
https://fedoraproject.org/wiki/Changes/Drop_Rootpw_SSH_From_Installer
(举报)
