openssh kulcsos, jelszavas belépés

Linux-haladó

openssh kulcsos, jelszavas belépés

  • 894 megtekintés

( garaboncias | 2006. 01. 09., h – 15:45 )

[quote:ce1b276d78="Hijaszu"]Ezt szerintem nem probaltad ki (en igen hatha en nem tudom jol), ha letiltod a usert, kulccsal se enged be az ssh (es ha jobban meggondoljuk ez igy logikus is).

ha elolvasod a passwd man-ját leirja hogy
"A felhasználók lezárhatóak és újra beengedhetőek a -l és a -u kapcsolókkal. Az -l kapcsoló a jelszót kicseréli egy olyan értékre, ami semmilyen
lehetséges jelszó kódolt értékével nem egyezik. Az -u kapcsoló visszaállítja a jelszót a régire, és így újra engedélyezi a belépést."

magyarul nem letiltja a felhasznalot csak nem tud belépni jelszoval

( Hijaszu | 2006. 01. 09., h – 15:50 )

szerintem probald ki: ebben az esetbenkulccsal se lehet bejelentkezni (en kiprobaltam)

( spymorass v | 2006. 01. 08., v – 17:48 )

Meg lehet-e oldani azt opensshval, hogy némelyik user csak kulccsal tudjon belépni, ezeknek lenne shelljük, némelyiknek meg elég lenne a jelszó, ezek csak scpzni tudnának?

( xsak v | 2006. 01. 08., v – 18:08 )

Meg lehet oldani.
A "némelyiknek" előtti részről tengernyi anyag van (kulcsszavai: "ssh kulcs alapú azonosítás"), az utána lévő kérdéskörnél meg használd az "scponly" (http://www.sublimation.org/scponly/) cuccot.

Nem vagyok az apukád, de csakaszondom: igazán rákereshettél volna a neten (kulcsszó: "google" : - )....

( garaboncias | 2006. 01. 09., h – 17:10 )

[quote:00a7a0e31e="Hijaszu"]szerintem probald ki: ebben az esetbenkulccsal se lehet bejelentkezni (en kiprobaltam)

én is kiprobáltam debian sarge-ban siman mukodik marmint kulccsal siman lehet ki-be jarkalni valoszinuleg akkor pam-ban mas lehet beallitva nekunk, miben probaltad ki?

( Hijaszu | 2006. 01. 09., h – 17:37 )

LFS alapu rendszeren - es lehet, hogy a PAM-ben lehet elteres, mert az SSHD-hez nem tartozik semmilyen PAM konfiguraciom. Neked van valami a /etc/pam.d/sshd-ben? (Azt hiszem ez tartozik az ssh-hoz.)

( spymorass v | 2006. 01. 08., v – 19:05 )

[quote:0707d43c19="xsak"]Meg lehet oldani.
A "némelyiknek" előtti részről tengernyi anyag van (kulcsszavai: "ssh kulcs alapú azonosítás"), az utána lévő kérdéskörnél meg használd az "scponly" (http://www.sublimation.org/scponly/) cuccot.

Nem vagyok az apukád, de csakaszondom: igazán rákereshettél volna a neten (kulcsszó: "google" : - )....

Barátom a gugli. =)

Az scponlyt is ismerem. Be is tudom azt is állítani, hogy kulcsos azonosítás legyen. De akkor *csak* kulcsos azonosítás lesz. És az scponlynál is azt kér.

Nekem olyan kellene, hogy az egyik júzer kulccsal tudjon csak belépni, a másiknak meg elég legyen a jelszó, amivel felvettem a felhasználót, tőle ne akarjon kulcsos belépést.

( garaboncias | 2006. 01. 09., h – 20:15 )

van, bar egy kicsit elter a targytol: csak siman /etc/pam.d/ssh

# PAM configuration for the Secure Shell service

# Disallow non-root logins when /etc/nologin exists.
auth required pam_nologin.so

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
auth required pam_env.so # [1]

# Standard Un*x authentication.
@include common-auth

# Standard Un*x authorization.
@include common-account

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
session optional pam_motd.so # [1]

# Print the status of the user's mailbox upon successful login.
session optional pam_mail.so standard noenv dir=~/Maildir # [1]

# Set up user limits from /etc/security/limits.conf.
session required pam_limits.so

# Standard Un*x password updating.
@include common-password

a hivatkozott fajlokban pedig rendre:
auth required pam_unix.so nullok_secure
account required pam_unix.so
session required pam_unix.so
password required pam_unix.so nullok obscure min=4 max=8 md5

( LovRob | 2006. 01. 08., v – 22:08 )

Szerintem probald ki, hogy az sshd_configban engedelyezed a PubkeyAuthentication es a PasswordAuthentication is, aztan a user home-jaban az ~/.ssh/configban megadod hogy a kliens melyiket hasznalja...

PubkeyAuthentication yes
PasswordAuthentication no

illetve forditva...

Egy probat meger, nem?

Udv

( spymorass v | 2006. 01. 08., v – 22:38 )

[quote:eabbc2c71d="LovRob"]Szerintem probald ki, hogy az sshd_configban engedelyezed a PubkeyAuthentication es a PasswordAuthentication is, aztan a user home-jaban az ~/.ssh/configban megadod hogy a kliens melyiket hasznalja...

http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config&sektion=5

Eszerint a ~/.ssh/config az ssh kliensre vonatkozik. Egyébként kipróbáltam ezzel a file-al, hogy a júzernek csak kulcsos bejelentkezést engedélyezek, de símán beengedte jelszóval. Szóval szerintem nem ez a megoldás.

( LovRob | 2006. 01. 09., h – 06:44 )

Az elozo esetben azt is beleirtad a ~/.ssh/configba, hogy "PasswordAuthentication no" es ugy probaltad?

Most nincs lehetosegem kiprobalni, itthon vagyok tanulmanyi szabin, de a heten valamikor megnezem, ha addig raer...

Udv.

( LovRob | 2006. 01. 09., h – 07:14 )

Eszerint a ~/.ssh/config az ssh kliensre vonatkozik.

Nem ertelek, nem pont azt akarod, hogy melyik kliens mivel azonositson?

Egyébként kipróbáltam ezzel a file-al, hogy a júzernek csak kulcsos bejelentkezést engedélyezek, de símán beengedte jelszóval. Szóval szerintem nem ez a megoldás.

Na, kozben megis kiprobaltam es nalam mukodik...
Kovetkezo a helyzet:
- melohelyen szerver, sshd_config-ban mindketto engedelyezve
[code:1:45be6c469d]
PubkeyAuthentication yes
PasswordAuthentication yes)
[/code:1:45be6c469d]
- itthon kliens, ~/.ssh/config-ban pedig vagy
[code:1:45be6c469d]
PubkeyAuthentication yes
PasswordAuthentication no
[/code:1:45be6c469d]
vagy
[code:1:45be6c469d]
PubkeyAuthentication no
PasswordAuthentication yes
[/code:1:45be6c469d]
es amelyik engedelyezve van, asszerint enged be :-)

Udv.

( LovRob | 2006. 01. 09., h – 07:56 )

Ja, es meg valami... Ugy tunik, sajna a config allomanyokban beallitott dolgok parancssorbol mind felulirhatok :-(

Szerintem igy az egesz ertelmetlen... :-(

Udv.

( Hijaszu | 2006. 01. 09., h – 10:08 )

El kell vonatkoztatni, olyan megoldasoktol, hogy a felhasznalo konyvtaraban barmit is atirogatunk. Az a felhasznalo tulajdona es szent es serthetetlen. Peldaul kulonvalaszthatod akiket be akarsz igy es ugy engedni, ket kulon porton futo SSH demonra, amit mashogy allitasz be (csak az egyik es csak a masik authentikaciora), valamint akiknek scp-t szeretnel esetleg (nem tudom, hogy konkretan mire), de atallithatod a shell-jet (mondjuk valamilyen restricted shellre). A userterben azert sem erdemes gondolkodni, mert ha atallitod, akkor felul fogja tudni irni, ha meg nem fogja tudni felulirni (mert megvonod a jogosultsagat), abbol sokkal tobb problema lesz, mint haszon.

( LovRob | 2006. 01. 09., h – 10:40 )

Igen, igen... Igazad van...

Csak okoskodunk itt magunkban :-)

( garaboncias | 2006. 01. 09., h – 12:25 )

szerintem a legegyszerübb ha azoknak a user-eknek akiket csak kulccsal akarsz beengedni letiltod a jelszavukat (passwd -l user)

( Hijaszu | 2006. 01. 09., h – 12:28 )

Ezt szerintem nem probaltad ki (en igen hatha en nem tudom jol), ha letiltod a usert, kulccsal se enged be az ssh (es ha jobban meggondoljuk ez igy logikus is).

( zither | 2006. 01. 09., h – 13:13 )

Nem túl frappáns, de egyszerű megoldás:

Az összes user-nél, akiknél nem akarod, hogy be tudjanak lépni, beállítod a shellt /bin/false-ra. Így sikeres hitelesítés után az ssh szerver le is bontja nekik a kapcsolatot, mert a "shell" (/bin/false) befejezte működését.
Akik scp-znek, azoknak készítesz ssh kulcsokat, akik meg nem azoknak nem adsz kulcsot (igaz, hogy csinálhatnak maguknak is, és akkor ők is kulccsal mennek be).