SSH: bei einen User Pubkey-Auth erzwingen

GwenDragon · #1 13.11.2010, 18:33

Derzeit ist ein SSH-Server so abgesichert, dass alle User sich per Pubkey authentifizieren müssen.

RSAAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no
PasswordAuthentication no

Ich möchte jedoch nur bei einem User das Login mit Pubkey erlauben, bei anderen ganz normal per Loginpasswort.

Geht das überhaupt?
die sshd_config lässt sowas wohl nicht, wenn ich das man richtig interpretiere.

Crosspost: http://forum.ubuntuusers.de/topic/ss...uth-erzwingen/

chris00 · #2 13.11.2010, 18:46

Dein Vorhaben kannst du mit "Match" (man sshd_config) umsetzen.

Code:

# globale Konfiguration
RSAAuthentication yes
PubkeyAuthentication no
PasswordAuthentication yes
[...]

UsePAM yes
[...]
# Match 
Match User <username>
RSAAuthentication no
PubkeyAuthentication yes
PasswordAuthentication no

GwenDragon · #3 13.11.2010, 20:05

Ähmm, wenn es in der man page drin gewesen wäre, wär es mir aufgefallen.
Aber in meiner man sshd_config fehlt das Schlüsselwort Match.

Mein openssh-server ist OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

Match gibt es wohl erst ab Version OpenSSH 5?

Whistler · #4 13.11.2010, 20:42

Was spricht dagegen, global PubKey oder Passwort zu erlauben und dem betreffenden User einfach kein Paßwort (keinen Hash) einzutragen?
Das mache ich z.B. mit Accounts so, die nur zum automatischen rsyncen verwendet werden.

chris00 · #5 13.11.2010, 20:51

Zitat:

Zitat von GwenDragon
Match gibt es wohl erst ab Version OpenSSH 5?

Da hast du sicher Recht. Ich beziehe mich hier auf die Version in "Debian Lenny".

OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007

Welche Distribution setzt denn dieses veraltete OpenSSH-Paket ein?

edit: Ah sehe es gerade. "rhel5"

GwenDragon · #6 13.11.2010, 20:51

@chris00
Match klappt bei dem Server nicht

Zitat:

Starting sshd: /etc/ssh/sshd_config: line 123: Bad configuration option: Match
/etc/ssh/sshd_config: terminating, 1 bad configuration options

Wohl sshd zu alt.

Zitat:

Zitat von chris00

Da hast du sicher Recht. Ich beziehe mich hier auf die Version in "Debian Lenny".

OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007

Welche Distribution setzt denn diese veraltete OpenSSH-Paket ein?

CentOS 5.5

@Whistler
Auf dem System soll halt der root-Zugang nur mit Pubkey und nicht mit Passwort geschehen (obwohl root eines hat!).
Derjenige, der den Rechner betreibt will das so, weil er keine Lust hat, ein ellenlanges Passwort jedesmal einzutippen.
Zudem lässt sich doch ein Zugang nur mit Passwort eher per bruteforce knacken, ein Pubkey nicht. Oder täusch ich mich da?

daemotron · #7 14.11.2010, 10:56

Ohne aktuelleren sshd wirst Du die gewünschte Konfiguration nicht realisieren können - es sei denn, Du startest den sshd zwei Mal auf unterschiedlichen Ports und mit unterschiedlicher Konfiguration - für die normalen User z. B. auf 22, ohne PubKeyAuth und PermitRootLogin no. Dann noch mal auf einem separaten Port mit PubKeyAuth und PermitRootLogin yes.

Oder Du wartest noch ein bisschen - RHEL 6 ist ja schon draußen, da dürfte CentOS 6 so in ein, zwei Monaten spätestens ebenfalls zu haben sein.

Roger Wilco · #8 14.11.2010, 11:20

Zitat:

Zitat von GwenDragon

Auf dem System soll halt der root-Zugang nur mit Pubkey und nicht mit Passwort geschehen (obwohl root eines hat!).

Dazu benoetigst du die Match-Direktive nicht. Das geht direkt mit PermitRootLogin without-password, siehe sshd_config(5).

GwenDragon · #9 14.11.2010, 11:39

Zitat:

Zitat von Roger Wilco

Dazu benoetigst du die Match-Direktive nicht. Das geht direkt mit PermitRootLogin without-password, siehe sshd_config(5).

Root-Login ohne Passwortschutz? Unsicher.

Vielleicht versteht man mich nicht richtig.
Was ich will: Bei root Pubkey erzwingen und Login ohne Pubkey abweisen.
Das geht m. E. nur über Match.

GwenDragon · #10 14.11.2010, 11:43

Zitat:

Zitat von daemotron

es sei denn, Du startest den sshd zwei Mal auf unterschiedlichen Ports und mit unterschiedlicher Konfiguration - für die normalen User z. B. auf 22, ohne PubKeyAuth und PermitRootLogin no. Dann noch mal auf einem separaten Port mit PubKeyAuth und PermitRootLogin yes.

Daran habe ich auch schon als Notlösung gedacht.

Zitat:

Oder Du wartest noch ein bisschen - RHEL 6 ist ja schon draußen, da dürfte CentOS 6 so in ein, zwei Monaten spätestens ebenfalls zu haben sein.

Muss ich mal abwarten, ob das dem VServer passt.

Roger Wilco · #11 14.11.2010, 11:46

Zitat:

Zitat von GwenDragon

Was ich will: Bei root Pubkey erzwingen und Login ohne Pubkey abweisen.

Vielleicht verstehst du mich nicht richtig oder bist zu faul die verlinkte Dokumentation zu lesen. Im ersten Fall erklaere ich es gerne nochmal, im zweiten Fall bist du auf dich allein gestellt.

GwenDragon · #12 14.11.2010, 12:46

Zitat:

Zitat von Roger Wilco

Vielleicht verstehst du mich nicht richtig oder bist zu faul die verlinkte Dokumentation zu lesen. Im ersten Fall erklaere ich es gerne nochmal, im zweiten Fall bist du auf dich allein gestellt.

Nee, zu faul nicht.

Gelesen habe ich, nur nicht richtig.
Entschuldige, meine falsche Interpretation.

Zitat:

PermitRootLogin
Specifies whether root can log in using ssh(1). The argument
must be ``yes'', ``without-password'', ``forced-commands-only'',
or ``no''. The default is ``yes''.

If this option is set to ``without-password'', password
authentication is disabled for root.

Lesen sollte eine können.

GwenDragon · #13 20.11.2010, 12:13

Danke an alle Helfer.