On 12/22/06, <b class="gmail_sendername">Manuel Arostegui Ramirez</b> <<a href="mailto:manuel@todo-linux.com">manuel@todo-linux.com</a>> wrote:<div><span class="gmail_quote"></span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
El Viernes, 22 de Diciembre de 2006 19:22, Tim escribió:<br>> Tim:<br>> >> What happens if you try to log in as a non-root user?<br>><br>> Simon Wu:<br>> > Not root works fine.<br>><br>> You've got two choices:
<br>><br>> 1. Change the configuration to allow remote root login.  You can do this<br>> by editing "/etc/ssh/sshd_config" (it's quite easy to spot what needs<br>> changing).<br><br>Definetly, that's not a good idea at all.
</blockquote><div><br>Here's something that I've always been curious about.  I assume that the dangers of allowing root log-in are:<br><br>1.  It's a user name that every linux system (except ubuntu) has, so all a hacker needs is the correct password in order to gain access, rather than the correct user name and password.
<br><br>2.  Once access is gained, there are no restrictions on what the user can do, as they are root.<br><br>However, if you use an 8-digit password with capital and lowercase letters, numbers, and symbols, there are 8^( 26*2 + 10*2 + 20 ) = 8^92 = 
1.21e83 possible passwords.  Since ssh waits about a second after each incorrect password and there have been only 3.32e17 seconds in the history of the universe, it seems scritcly /impossible/ for a password to be guessed.  So the risk must not be from password-bots.  What is the risk then?
<br><br>Also, right now I set up sudo so it doesn't prompt for passwords, so in effect, any user that logs in can become root.  Is this very very bad as well?<br></div></div><br>-- <br>Dylan<br><br>Type faster.  Use Dvorak:
<br><a href="http://dvzine.org">http://dvzine.org</a>