在 Linux 上沒有密碼的使用者帳戶的安全隱患是什麼？

當密碼為空時，可以從虛擬終端登錄沒有密碼的帳戶。在我的系統（Arch Linux）上，su使用空密碼登錄只會給出錯誤密碼通知。

su程序可以使用空密碼“直接”（不使用）登錄嗎？

請注意，這是一個“預設”Linux 安裝，沒有sudo或sshd任何類型。這也不會影響從鍵盤進行惡意物理登錄的人，因為無論如何物理訪問都是完全妥協的。

在 Linux 上沒有密碼的使用者帳戶的安全隱患是什麼？

這將使蠻力攻擊非常有效，因為它們通常從測試空密碼開始。含義取決於系統的配置方式。某些系統和服務可能不允許使用無密碼帳戶登錄（例如pam_unix nullok選項），或者將此類登錄限制在某些設備上（例如，請參閱 pam_unix nullok_secure選項和/etc/securetty）。

程序可以使用空密碼“直接”（不使用su）登錄嗎？

一個suid程序可以做到。正常程序可能取決於作業系統以及是否從登錄 shell 呼叫它。

引用自：https://unix.stackexchange.com/questions/316647