本周提交的一份Fedora 35修改方案引起了一些人的不滿,因為它計劃取消Fedora Anaconda安裝程序中的”允許SSH Root用密碼登錄”選項。在過去的幾年裡,Fedora安裝程序中包含這樣選項,用於在SSH上實現基於密碼的登錄,雖然這並不是默認啟用的,只是作為一個選項提供給那些想要基於密碼登錄的人。
在今年秋天的Fedora 35中,社區修改建議希望從安裝程序中取消這個選項。其依據是,該選項一開始設計時就被認為是暫時性的,而放棄該選項的安全好處是鼓勵用戶依賴SSH密鑰等更安全的身份鑒別方式。
對Fedora而言,這麼做的好處是:”這一變化使通過Anaconda安裝的Fedora系統更加安全,不會受到針對root賬戶的遠程密碼猜測攻擊,因為不再可能配置一個允許root通過SSH密碼登錄的系統。一個較小的好處是,通過刪除 “允許SSH root帶密碼登錄 “和Anaconda代碼清理后,刪除在sshd中設置覆蓋的相關代碼,還可以使root密碼配置屏幕不那麼混亂。”
概述這一計劃中的選項刪除的修改建議可以通過Fedora Wiki找到。在 fedora-devel 上對這一提議的早期反饋聲音其實並不一致,一些人不喜歡這個非默認選項被刪除,一些人喜歡基於密碼的認證,用於快速和短暫的虛擬機和其他環境,在這些環境中,安全問題不大,其他情況下,基於密碼的SSH登錄很方便。
我們將繼續關注Fedora的這個修改建議會發生什麼 — 也有一些人心目中有妥協方案,對可能允許這個選項保留在特定的Fedora版本中感興趣(特別是本身就工作在需要遠程登錄的場景下,這樣做反而造成了配置上的困擾)。
了解更多:
https://fedoraproject.org/wiki/Changes/Drop_Rootpw_SSH_From_Installer