Security
使用沒有密碼的非 root 使用者是否會使系統更容易受到攻擊?
假設有人坐在使用者下(非管理員,不是root),但他沒有為它設置任何密碼,只有超級使用者/root 有密碼。這是不好的做法(在通過 Internet 遠端訪問桌面的情況下)?
正如您所指出的,使用者可能無法在沒有管理員權限的情況下對系統造成任何永久性損壞,但是他們可以做很多事情,而您不希望他們這樣做。
殭屍機器被用於執行DDOS攻擊和發送垃圾郵件或作為執行進一步攻擊的代理。 這是目前物聯網設備的一個特殊問題。那些對這些攻擊負有責任的人積極地在網際網路上搜尋他們可以登錄的機器。您可能認為一個不起眼的使用者名就足夠了,但通常情況並非如此。攻擊者將嘗試使用空白密碼的非常長的使用者名列表。
如果您有任何遠端登錄到可從 Internet 訪問的系統(例如 SSH 或只是電子郵件 SMTP),那麼該使用者將被破壞。網際網路上有無數的機器人在戳每一個網際網路 IPv4 地址。
作為參考,我每天收到大約 500 次戳。我看過其他人收到10,000甚至100,000的報告
因此,如果您允許在除具有合理防火牆且沒有外部訪問權限的筆記型電腦之外的任何設備上進行無密碼登錄,您幾乎可以保證它將被登錄並用於進一步的攻擊。