<HTML><BODY style="word-wrap: break-word; -khtml-nbsp-mode: space; -khtml-line-break: after-white-space; ">One of the dangers of allowing root is that it has to check the password, so thats a potential security risk in that its work for the machine to do, so every attempt causes cpu usage, and if you have 1000 ssh attempts a second, thats alot of work for it to do... Another more valid risk is that many passwords can be easily guessed or are plain text. Newer passwd commands warn  you about this, but many still do not. So if your password is "p@ssw0rd" its very likely to be found easily.<DIV><BR class="khtml-block-placeholder"></DIV><DIV>The BEST way to allow root access is through ssh keypairs, that way no password is involved!<DIV><SPAN class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px 0px; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: auto; -khtml-text-decorations-in-effect: none; text-indent: 0px; -apple-text-size-adjust: auto; text-transform: none; orphans: 2; white-space: normal; widows: 2; word-spacing: 0px; "><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><BR class="khtml-block-placeholder"></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">- Donald Tripp</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "> <A href="mailto:dtripp@hawaii.edu">dtripp@hawaii.edu</A></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">----------------------------------------------</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">HPC Systems Administrator</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">High Performance Computing Center</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">University of Hawai'i at Hilo</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">200 W. Kawili Street</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Hilo,   Hawaii   96720</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><A href="http://www.hpc.uhh.hawaii.edu">http://www.hpc.uhh.hawaii.edu</A></DIV><BR class="Apple-interchange-newline"></SPAN> </DIV><BR><DIV><DIV>On Dec 22, 2006, at 9:34 AM, Dylan Semler wrote:</DIV><BR class="Apple-interchange-newline"><BLOCKQUOTE type="cite">On 12/22/06, <B class="gmail_sendername">Manuel Arostegui Ramirez</B> <<A href="mailto:manuel@todo-linux.com">manuel@todo-linux.com</A>> wrote:<DIV><SPAN class="gmail_quote"></SPAN><BLOCKQUOTE class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> El Viernes, 22 de Diciembre de 2006 19:22, Tim escribió:<BR>> Tim:<BR>> >> What happens if you try to log in as a non-root user?<BR>><BR>> Simon Wu:<BR>> > Not root works fine.<BR>><BR>> You've got two choices: <BR>><BR>> 1. Change the configuration to allow remote root login.  You can do this<BR>> by editing "/etc/ssh/sshd_config" (it's quite easy to spot what needs<BR>> changing).<BR><BR>Definetly, that's not a good idea at all. </BLOCKQUOTE><DIV><BR>Here's something that I've always been curious about.  I assume that the dangers of allowing root log-in are:<BR><BR>1.  It's a user name that every linux system (except ubuntu) has, so all a hacker needs is the correct password in order to gain access, rather than the correct user name and password. <BR><BR>2.  Once access is gained, there are no restrictions on what the user can do, as they are root.<BR><BR>However, if you use an 8-digit password with capital and lowercase letters, numbers, and symbols, there are 8^( 26*2 + 10*2 + 20 ) = 8^92 = 1.21e83 possible passwords.  Since ssh waits about a second after each incorrect password and there have been only 3.32e17 seconds in the history of the universe, it seems scritcly /impossible/ for a password to be guessed.  So the risk must not be from password-bots.  What is the risk then? <BR><BR>Also, right now I set up sudo so it doesn't prompt for passwords, so in effect, any user that logs in can become root.  Is this very very bad as well?<BR></DIV></DIV><BR>-- <BR>Dylan<BR><BR>Type faster.  Use Dvorak: <BR><A href="http://dvzine.org">http://dvzine.org</A><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">--<SPAN class="Apple-converted-space"> </SPAN></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">fedora-list mailing list</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><A href="mailto:fedora-list@redhat.com">fedora-list@redhat.com</A></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">To unsubscribe: <A href="https://www.redhat.com/mailman/listinfo/fedora-list">https://www.redhat.com/mailman/listinfo/fedora-list</A></DIV> </BLOCKQUOTE></DIV><BR></DIV></BODY></HTML>