Es de conocimiento general que el uso de claves para autenticar usuarios ssh es más seguro que usar contraseñas. Sin embargo, incluso con el inicio de sesión de contraseña deshabilitado, al ejecutar ssh-copy-id todavía me piden la contraseña del usuario. Me hace pensar: ¿qué impide que el atacante intente usar la fuerza bruta con esta contraseña (y que cargue una clave pública autogenerada para obtener acceso permanente)? ¿Es un agujero de seguridad o me falta algo importante?
P.S. supongamos que no hay un software fail2ban o similar ejecutándose