V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
naoh1000
V2EX  ›  Linux

不暴露公网 Linux 使用 5 位数字做用户密码安全吗?

  •  
  •   naoh1000 · 2021-01-30 00:30:43 +08:00 · 4831 次点击
    这是一个创建于 1383 天前的主题,其中的信息可能已经有所发展或是发生改变。
    大家都知道 sudo 用户密码在 Linux 下使用频率很高,Windows 支持用 PIN 来代替输入密码(仅本地有效,按巨硬说法比普通密码更安全) Linux 貌似不能设置 PIN,那使用 5 位数字做用户密码安全吗?没开 SSH 。
    22 条回复    2021-02-01 20:19:31 +08:00
    liuxu
        1
    liuxu  
       2021-01-30 00:38:09 +08:00   ❤️ 4
    这是 PIN 的文档: https://docs.microsoft.com/zh-cn/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password

    明早你睡醒了问问自己,5 位数字密码安不安全
    phithon
        2
    phithon  
       2021-01-30 00:38:29 +08:00
    内网且没开 ssh,感觉问题不大,有额外密码策略要求的话还是按要求来
    billgong
        3
    billgong  
       2021-01-30 00:53:31 +08:00   ❤️ 2
    解决 sudo 密码的问题很多啊,各种加 PAM 模块就可以解决的

    比如用红外面部( pam_howdy )、指纹( pam_fprintd )、U2F(pam_u2f)、TOTP 一次密码( pam_oath )、智能卡证书等等

    我见过的最奇特的 PAM 模块是让用户敲击随机的实体键盘按键(不是密码哦),但刚才找了一圈没找到……其实就是认证过程中只要求 human presence (呵呵)

    我觉的最方便的是生物识别,其次是 U2F,只要 Yubikey 插着就可以直接解锁,也可以设置必须触碰触点才能解锁,人走一拔就安全了。
    LeeReamond
        4
    LeeReamond  
       2021-01-30 01:19:53 +08:00
    个人感觉,PC 的话不确定,服务器的话倒是安全?因为彻底关闭 ssh 以后实际上并没什么被攻击的入口,只能从第三方程序下手,而服务器上部署的服务非常有限,且运维对这些服务有很强的掌控,很清楚每一个服务在干什么。一些广泛使用的服务,即使是开源项目,也是久经检验的,比如 fail2ban 这种。虽然开源项目有恶性事件的记录,但是总的来说还是问题不大
    YouLMAO
        5
    YouLMAO  
       2021-01-30 02:14:43 +08:00 via Android   ❤️ 1
    当然不行,深圳*n*大厦的保安大叔我跟他抽烟聊天得知他之前是北京 360 的 IT,你别说五位数,就算 15 位数字轻轻松松进去
    ryd994
        6
    ryd994  
       2021-01-30 05:22:03 +08:00   ❤️ 1
    sudo 可以设置缓存啊,验证过之后一段时间不需要再验证
    还可以设置某个用户 nopasswd,就是不需要密码也可以 sudo,这就和 windows 的 UAC 比较像了

    PIN 可以 5 位数字,密码不可以。原因在于 PIN 是基于 TPM 的,会限制重试频率甚至彻底锁死。密码只是 hash ( KDF )之后储存。有可能被病毒或其他途径获取。获取之后就可以无限重试了。
    nuk
        7
    nuk  
       2021-01-30 06:28:47 +08:00
    来个 pam_exec 你想要啥都行
    snownarrow
        8
    snownarrow  
       2021-01-30 08:40:49 +08:00 via Android
    @YouLMAO 是白天卧底当保安,晚上化身安全大佬吗
    laminux29
        9
    laminux29  
       2021-01-30 08:46:04 +08:00
    又要复杂,又要方便输入,这种需求,我觉得生物识别或便携式加密设备更适合。
    GAsss
        10
    GAsss  
       2021-01-30 09:21:43 +08:00
    如果是 PC 的话,假设别人能接触到物理机,那么直接硬盘拆出来读取完事,sudo 密码有个啥用。对数据安全有要求还是上全盘加密比较好(类似微软文档里说的 BitLocker ),Linux 可以用 dm-crypt 。
    swulling
        11
    swulling  
       2021-01-30 09:25:26 +08:00 via iPhone
    宁愿设置 nopasswd,都比设置简单密码靠谱
    AoEiuV020
        12
    AoEiuV020  
       2021-01-30 09:44:53 +08:00   ❤️ 1
    不暴露公网是有公网 ip 但不公开还是压根没有公网 ip 只能从特定后台登录?
    只要有公网 ip 然后 24 小时在线能登录多等些天就一定能看到暴力破解的记录,
    loginv2
        13
    loginv2  
       2021-01-30 11:10:27 +08:00   ❤️ 1
    你可以用按住 shift 键输入数字键(特殊符号)做密码,这样记忆负担小,只需要记忆数字。
    Yc1992
        14
    Yc1992  
       2021-01-30 11:20:33 +08:00
    我的密码都是一位数,方便
    feather12315
        15
    feather12315  
       2021-01-30 11:58:56 +08:00 via Android
    我的密码两个数字
    imn1
        16
    imn1  
       2021-01-30 13:12:26 +08:00
    纯本地的话(自己用),我装完系统第一件事就是配置免密 sudo,🐶
    如果可以外部联网的话,我估计重点是放在登入 2FA,(没实际试过,因为服务器都不归我管)
    dingwen07
        17
    dingwen07  
       2021-01-30 18:55:36 +08:00 via Android   ❤️ 1
    应该可以通过 PAM 给 sudo 专门设置验证方式,登录用 /etc/passwd,sudo 用弱密码
    baobao1270
        18
    baobao1270  
       2021-01-31 02:47:22 +08:00 via Android
    不安全,除非物理断网且保证不被偷
    w3cfed
        19
    w3cfed  
       2021-01-31 15:27:33 +08:00
    你这没学过密码学呀。咱都是密码本。我的服务器密码都是唐诗三百首里面选出来的密码。每 90 天更换一次。
    libook
        20
    libook  
       2021-02-01 12:17:54 +08:00
    sudo 相当于是让普通用户可以提权为管理员,所以 sudo 要求输入密码也仅仅是为了防止程序自动调用 sudo 指令,这样的话你哪怕设置 1 位密码也是能防住自动调用 sudo 的攻击的,剩下的就是暴力破解的风险了。

    Linux 密码也可以设置各种安全策略,从能力上来讲只是为了防止暴力破解的话是问题不大的,就是一方面配置起来比较折腾,另一方面自己误触了会很不爽(比如输错密码要等 10 秒这种策略)。

    然后 sudo 和系统抵御外部入侵是没啥大关系的,所以理论上可以把系统配置成对外严格,对内松懈,只要不中木马在内部暴力破解,就没问题。
    byte10
        21
    byte10  
       2021-02-01 20:18:06 +08:00
    @LeeReamond 内行,为啥大家都不懂这些很基本的白瓷的原理呢。这些很基础很基本的逻辑就是没人懂,你可以告诉我为啥吗?这些这么基本 无脑的逻辑,都没人懂,为啥一些人总想复杂化了。
    byte10
        22
    byte10  
       2021-02-01 20:19:31 +08:00
    @loginv2 高手,这个建议可以,以后我的密码就可以 123456 了哈哈,妙!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1549 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 79ms · UTC 00:00 · PVG 08:00 · LAX 16:00 · JFK 19:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.