Questions tagged «password»

密码是字符的集合,通常与用户名结合使用,作为身份验证的手段。

9
如何使用密码自动进行SSH登录?
如何使用密码自动进行SSH登录?我正在配置我的测试VM,因此不考虑高安全性。选择SSH可以通过最少的配置获得可接受的安全性。 例如) echo password | ssh id@server 这行不通。 我记得我是用有人指导我的一些技巧来做到这一点的,但现在我不记得我曾经使用过的技巧了。
419 ssh  password  automation 

5
如何为某些用户禁用使用密码的SSH登录?
在Linux(Debian Squeeze)上,我想禁用对某些用户(选定的组或除root以外的所有用户)使用密码的SSH登录。但是我不想禁用使用证书的登录。 编辑:非常感谢详细的答案!由于某些原因,这在我的服务器上不起作用: Match User !root PasswordAuthentication no ...但是很容易被替换 PasswordAuthentication no Match User root PasswordAuthentication yes
165 linux  ssh  password  login 

6
如何在Linux上设置无密码的`sudo`?
如何sudo在RHEL(Fedora,CentOS等)或Ubuntu发行版上设置无密码访问?(如果发行版中的内容相同,那就更好了!) 设置:个人和/或实验室/培训设备,不考虑未经授权的访问(即,设备位于非公共网络上,并且任何/所有用户都是完全受信任的,并且设备的内容为“纯香草”) 。
156 linux  password  sudo 

4
是否因为忘记了ssh用户名后按Enter键而导致密码泄露?
我刚刚尝试使用SSH(PuTTY,Windows)登录Fedora(第13版Goddard)服务器。出于某种原因,Enter输入用户名后没有通过,我输入了密码,然后再次按Enter。当服务器满意地向我打招呼时,我才意识到自己的错误 myusername MYPASSWORD @ server.example.com的密码: 此时,我断开了连接,并在该计算机上更改了密码(通过单独的SSH连接)。 ...现在我的问题是:这样的登录失败是否以纯文本格式存储在任何日志文件中?换句话说,下次他扫描日志时,我是否只是将我(现在已过期)的密码强加在远程管理员的面前? 更新资料 感谢您对隐含的问题“将来如何防止这种情况”的所有评论。为了实现快速的一次性连接,我现在将使用此PuTTY功能: 再次替换“自动登录用户名”选项 我还将开始更频繁地使用ssh键,如PuTTY docs中所述。
142 ssh  logging  password  windows  login 

1
SSH仅使用我的密码,忽略我的ssh密钥,不要提示我输入密码
这是关于Linux,MacOSX和FreeBSD上的OpenSSH客户端的问题。 通常,我使用SSH密钥登录系统。 有时,我希望我的SSH客户端忽略我的SSH密钥,而改用密码。如果我使用“ ssh主机名”,客户端会提示我输入我的SSH密钥的密码,这很烦人。相反,我希望客户端仅忽略我的SSH密钥,以便服务器改为要求我输入密码。 我尝试了以下操作,但仍提示输入SSH密钥的密码。此后,提示我输入密码。 ssh -o PreferredAuthentications=password host.example.org 我想在客户端进行此操作,而无需对远程主机进行任何修改。

19
共享密码的最佳做法和解决方案
我们公司中有多个人需要知道的各种密码。例如,我们的互联网路由器的管理员密码,我们的Web主机的密码以及一些“非IT”密码(​​例如安全密码)。 当前,对于低价值的系统,我们使用“标准密码”的临时系统,对于更重要/潜在破坏性的系统,使用口头共享密码。我认为大多数人都会同意这不是一个好的系统。 我们想要的是一种用于存储“共享”密码的软件解决方案,每个访问仅限于实际需要它的人员。理想情况下,这将提示或强制定期更改密码。它还应该能够指示谁有权访问特定密码(例如,谁知道服务器XYZ的根密码?) 您可以建议任何用于存储和共享密码的软件解决方案吗? 有什么需要特别注意的吗? 中小型公司对此有何惯例?
62 password 

30
您如何管理密码?
显然,在这里我们看到有多少是系统管理员类型的人员,我们在许多系统和帐户中都有很多密码。其中一些优先级较低,其他一些一旦发现可能会对公司造成严重损害(您不只是喜欢权力吗?)。 简单,易于记忆的密码是不可接受的。唯一的选择是复杂,难以记住(和键入)的密码。那么,您使用什么来跟踪密码?您是使用程序为您加密它们(依次又需要另一个密码),还是执行一些不太复杂的事情,例如在您的个人身上保存一张纸,还是在这些选项之间?

9
在云服务器上设置无密码的sudo可以吗?
我喜欢通过按键访问服务器的想法,所以我没有在我的密码,我每次都输入ssh到一个盒子里,我甚至锁住我的用户(不root)密码(passwd -l username),所以它不可能登录无需钥匙。 但是,如果要求我输入sudo命令密码,则所有这些操作都会中断。因此,我很想设置无密码sudo以使事情与无密码登录保持一致。 但是,我一直感到自己可能会以某种意想不到的方式适得其反,这似乎有点不安全。这样的设置有什么警告吗?您是否建议/不建议对服务器上的用户帐户执行此操作? 澄清说明 我在这里谈论的是sudo在交互式用户会话中的使用,而不是用于服务或管理脚本 我正在谈论使用云服务器(因此我对计算机没有物理本地访问权限,只能远程登录) 我知道sudo有一个超时,在此期间我不必重新输入密码。但是我的演唱会并不是真的在浪费额外的时间来实际输入密码。但我的想法是根本不必处理密码,因为我认为: 如果我必须记住它,它很可能太短而无法安全或重复使用 如果我为远程帐户生成了一个长而唯一的密码,则必须将其存储在某个地方(本地密码管理器程序或云服务),并在每次使用时都获取它sudo。我希望我能避免这种情况。 因此,对于这个问题,我想更好地了解一种可能的配置相对于其他可能的配置所面临的风险,警告和折衷。 跟进1 所有答案都表明,无密码sudo是不安全的,因为如果我的个人用户帐户遭到破坏,它可以“轻松”地升级特权。我明白那个。但是另一方面,如果我使用密码,则密码会带来所有经典风险(太短或通用的字符串,在不同的服务之间重复等等)。但是我猜想,如果我禁用密码身份验证,/etc/ssh/sshd_config以便仍然需要登录密钥,那么我可以使用更简单的密码sudo吗?那是有效的策略吗? 跟进2 如果我也有一个root通过ssh 登录的密钥,如果有人可以访问我的计算机并窃取我的密钥(尽管它们仍然受到操作系统的密钥环密码的保护!),他们也可能会直接访问该root帐户。 ,绕过sudo路径。那么访问该root帐户应该有什么政策?

8
测试用户帐户和密码的工具(测试登录)
是的,我可以启动虚拟机或远程设备并尝试输入密码...我知道...但是有没有一种工具或脚本可以模拟登录,足以确认或拒绝密码正确? 场景: 服务器服务帐户的密码“已忘记” ...但是我们认为我们知道它是什么。我想将凭据传递给某些东西,并用“正确的密码”或“错误的密码”将其踢回。 我什至考虑过传递该用户帐户和密码的驱动器映射脚本,以查看它是否成功映射了驱动器,但是迷失了使驱动器正常工作的逻辑……类似: -脚本通过msgbox要求用户名-script通过msgbox要求密码-script成功将驱动器映射到每个人都可以访问的公用共享-script取消映射驱动器,如果成功-script返回弹出式msgbox,指出“正确密码”或“不正确”密码” 感谢您提供任何帮助...您会认为这是一种罕见的情况,不需要工具来支持它,但是......


9
如何隐藏作为命令行参数传递的密码?
我正在运行一个软件守护程序,该守护程序需要某些操作才能输入密码来解锁某些功能,例如: $ darkcoind masternode start <mypassphrase> 现在,我的无头Debian服务器上出现了一些安全问题。 每当我使用例如搜索bash历史记录时,Ctrl+R都可以看到此超级强密码。现在,我想象我的服务器已损坏,并且某些入侵者具有外壳访问权限,并且可以简单地Ctrl+R在历史记录中找到我的密码短语。 有没有一种方法来输入密码,没有它在bash的历史显示,ps,/proc或其他地方? 更新1:不向守护程序传递密码会引发错误。这是没有选择的。 更新2:不要告诉我删除软件或其他有用的提示,例如挂起开发人员。我知道这不是最佳实践的示例,但是该软件基于比特币,并且所有基于比特币的客户端都是某种json rpc服务器,它会监听这些命令,并且仍在讨论一个已知的安全问题(a,b,c) 。 更新3:守护程序已经启动并通过以下命令运行 $ darkcoind -daemon “执行” ps仅显示启动命令。 $ ps aux | grep darkcoin user 12337 0.0 0.0 10916 1084 pts/4 S+ 09:19 0:00 grep darkcoin user 21626 0.6 0.3 1849716 130292 ? SLl May02 6:48 darkcoind -daemon 因此,使用密码短语传递命令不会ps或根本不会显示/proc。 …

4
ssh:“代理商承认无法使用密钥签名”
我正在尝试在Ubuntu Server上使用ssh设置无密码登录,但是我不断得到: Agent admitted failure to sign using the key 并提示输入密码。 我生成了新的rsa密钥。在系统重新启动之前,它工作正常。 所有链接将我引向该错误,但没有任何效果。SSH代理仍未运行。 如何解决?也许文件需要特定的权限?

7
如果您意识到自己的电子邮件托管服务提供商可以看到您的密码,该怎么办?
去年,我们从托管服务提供商处收到了一封电子邮件,内容涉及我们的一个帐户-该帐户已遭到入侵,并曾用来提供相当慷慨的垃圾邮件帮助。 显然,用户已将密码重设为了她的名字的变体(您可能第一次会想到它的名字。)她在一周内迅速被黑了-她的帐户发出了270,000封垃圾邮件,并且很快受阻。 到目前为止,没有什么特别不寻常的。那个会发生。您将密码更改为更安全的方式,教育用户并继续前进。 但是,除了我的一个账户被盗的事实外,令我更加担忧的是。 为了提供帮助,我们的托管服务提供商实际上在以下电子邮件中向我们引用了密码: 我很惊讶 我们将要尽快续签合同,这感觉像是一个大问题。 托管服务提供商能够找出帐户上使用的实际密码有多普遍? 大多数托管服务提供商是否都设有一个帐户滥用部门,该部门比一线代表拥有更多的访问权限(并且可以在必要时查找密码),或者这些人只是没有遵循最佳实践来使他们的任何员工都可以访问用户?密码?我以为密码应该被散列并且无法检索?这是否意味着他们以纯文本形式存储每个人的密码? 托管提供商以这种方式发现帐户密码甚至合法吗?在我看来真是太不可思议了。 在我们考虑更换提供商之前,我想请您放心,这不是常见的做法,而且我们的下一个托管提供商也不太可能以相同的方式进行设置。 期待听到您对此的看法。

4
检查用户密码输入在Powershell脚本中是否有效
我正在使用Powershell脚本,该脚本将计划任务添加到我们域中的系统。当我运行此脚本时,它将提示我输入密码。有时我会不小心输入密码,然后开始该过程,这将我的帐户锁定了。有没有一种方法可以验证我的凭据,以确保我输入的内容可以通过域进行验证? 我想找到一种查询域控制器的方法。我已经完成了一些Google搜索,并且应该能够执行WMI查询并捕获错误。如果可能的话,我想避免这种验证方式。 有任何想法吗?提前致谢。

22
密码最佳做法
鉴于最近发生的事件是网站管理员向“黑客”学习并重试了密码,那么关于密码的最佳做法,我们可以向所有人提出什么建议? 在站点之间使用唯一的密码(即从不重复使用密码) 避免在字典中找到单词 考虑使用非英语的单词或短语 使用密码短语并使用每个单词的首字母 l33tifying并没有太大帮助 请提出更多建议!

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.