Server Support Forum
Anzeige:


Zurück   Server Support Forum > Serverdienste > Security


Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1  
Alt 13.11.2010, 18:33
Registered User
 
Registriert seit: 12.2008
Beiträge: 1.528
SSH: bei einen User Pubkey-Auth erzwingen

Derzeit ist ein SSH-Server so abgesichert, dass alle User sich per Pubkey authentifizieren müssen.

RSAAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no
PasswordAuthentication no

Ich möchte jedoch nur bei einem User das Login mit Pubkey erlauben, bei anderen ganz normal per Loginpasswort.

Geht das überhaupt?
die sshd_config lässt sowas wohl nicht, wenn ich das man richtig interpretiere.

Crosspost: http://forum.ubuntuusers.de/topic/ss...uth-erzwingen/

Geändert von GwenDragon (13.11.2010 um 18:36 Uhr)
Mit Zitat antworten

  #2  
Alt 13.11.2010, 18:46
Registered User
 
Registriert seit: 02.2009
Beiträge: 95

Dein Vorhaben kannst du mit "Match" (man sshd_config) umsetzen.

Code:
# globale Konfiguration
RSAAuthentication yes
PubkeyAuthentication no
PasswordAuthentication yes
[...]

UsePAM yes
[...]
# Match 
Match User <username>
RSAAuthentication no
PubkeyAuthentication yes
PasswordAuthentication no
Mit Zitat antworten
  #3  
Alt 13.11.2010, 20:05
Registered User
 
Registriert seit: 12.2008
Beiträge: 1.528

Ähmm, wenn es in der man page drin gewesen wäre, wär es mir aufgefallen.
Aber in meiner man sshd_config fehlt das Schlüsselwort Match.

Mein openssh-server ist OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

Match gibt es wohl erst ab Version OpenSSH 5?
Mit Zitat antworten
  #4  
Alt 13.11.2010, 20:42
Support Guru
 
Registriert seit: 10.2008
Beiträge: 2.559

Was spricht dagegen, global PubKey oder Passwort zu erlauben und dem betreffenden User einfach kein Paßwort (keinen Hash) einzutragen?
Das mache ich z.B. mit Accounts so, die nur zum automatischen rsyncen verwendet werden.
Mit Zitat antworten
  #5  
Alt 13.11.2010, 20:51
Registered User
 
Registriert seit: 02.2009
Beiträge: 95

Zitat:
Zitat von GwenDragon
Match gibt es wohl erst ab Version OpenSSH 5?
Da hast du sicher Recht. Ich beziehe mich hier auf die Version in "Debian Lenny".
OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
Welche Distribution setzt denn dieses veraltete OpenSSH-Paket ein?

edit: Ah sehe es gerade. "rhel5"

Geändert von chris00 (13.11.2010 um 20:53 Uhr)
Mit Zitat antworten
  #6  
Alt 13.11.2010, 20:51
Registered User
 
Registriert seit: 12.2008
Beiträge: 1.528

@chris00
Match klappt bei dem Server nicht
Zitat:
Starting sshd: /etc/ssh/sshd_config: line 123: Bad configuration option: Match
/etc/ssh/sshd_config: terminating, 1 bad configuration options
Wohl sshd zu alt.

Zitat:
Zitat von chris00 Beitrag anzeigen
Da hast du sicher Recht. Ich beziehe mich hier auf die Version in "Debian Lenny".
OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
Welche Distribution setzt denn diese veraltete OpenSSH-Paket ein?
CentOS 5.5

@Whistler
Auf dem System soll halt der root-Zugang nur mit Pubkey und nicht mit Passwort geschehen (obwohl root eines hat!).
Derjenige, der den Rechner betreibt will das so, weil er keine Lust hat, ein ellenlanges Passwort jedesmal einzutippen.
Zudem lässt sich doch ein Zugang nur mit Passwort eher per bruteforce knacken, ein Pubkey nicht. Oder täusch ich mich da?
Mit Zitat antworten
  #7  
Alt 14.11.2010, 10:56
Benutzerbild von daemotron
Registered User
 
Registriert seit: 06.2010
Beiträge: 101

Ohne aktuelleren sshd wirst Du die gewünschte Konfiguration nicht realisieren können - es sei denn, Du startest den sshd zwei Mal auf unterschiedlichen Ports und mit unterschiedlicher Konfiguration - für die normalen User z. B. auf 22, ohne PubKeyAuth und PermitRootLogin no. Dann noch mal auf einem separaten Port mit PubKeyAuth und PermitRootLogin yes.

Oder Du wartest noch ein bisschen - RHEL 6 ist ja schon draußen, da dürfte CentOS 6 so in ein, zwei Monaten spätestens ebenfalls zu haben sein.
Mit Zitat antworten
  #8  
Alt 14.11.2010, 11:20
Registered User
 
Registriert seit: 11.2006
Beiträge: 3.467

Zitat:
Zitat von GwenDragon Beitrag anzeigen
Auf dem System soll halt der root-Zugang nur mit Pubkey und nicht mit Passwort geschehen (obwohl root eines hat!).
Dazu benoetigst du die Match-Direktive nicht. Das geht direkt mit PermitRootLogin without-password, siehe sshd_config(5).
Mit Zitat antworten
  #9  
Alt 14.11.2010, 11:39
Registered User
 
Registriert seit: 12.2008
Beiträge: 1.528

Zitat:
Zitat von Roger Wilco Beitrag anzeigen
Dazu benoetigst du die Match-Direktive nicht. Das geht direkt mit PermitRootLogin without-password, siehe sshd_config(5).
Root-Login ohne Passwortschutz? Unsicher.

Vielleicht versteht man mich nicht richtig.
Was ich will: Bei root Pubkey erzwingen und Login ohne Pubkey abweisen.
Das geht m. E. nur über Match.

Geändert von GwenDragon (14.11.2010 um 11:44 Uhr)
Mit Zitat antworten
  #10  
Alt 14.11.2010, 11:43
Registered User
 
Registriert seit: 12.2008
Beiträge: 1.528

Zitat:
Zitat von daemotron Beitrag anzeigen
es sei denn, Du startest den sshd zwei Mal auf unterschiedlichen Ports und mit unterschiedlicher Konfiguration - für die normalen User z. B. auf 22, ohne PubKeyAuth und PermitRootLogin no. Dann noch mal auf einem separaten Port mit PubKeyAuth und PermitRootLogin yes.
Daran habe ich auch schon als Notlösung gedacht.

Zitat:
Oder Du wartest noch ein bisschen - RHEL 6 ist ja schon draußen, da dürfte CentOS 6 so in ein, zwei Monaten spätestens ebenfalls zu haben sein.
Muss ich mal abwarten, ob das dem VServer passt.
Mit Zitat antworten
  #11  
Alt 14.11.2010, 11:46
Registered User
 
Registriert seit: 11.2006
Beiträge: 3.467

Zitat:
Zitat von GwenDragon Beitrag anzeigen
Was ich will: Bei root Pubkey erzwingen und Login ohne Pubkey abweisen.
Vielleicht verstehst du mich nicht richtig oder bist zu faul die verlinkte Dokumentation zu lesen. Im ersten Fall erklaere ich es gerne nochmal, im zweiten Fall bist du auf dich allein gestellt.
Mit Zitat antworten
  #12  
Alt 14.11.2010, 12:46
Registered User
 
Registriert seit: 12.2008
Beiträge: 1.528

Zitat:
Zitat von Roger Wilco Beitrag anzeigen
Vielleicht verstehst du mich nicht richtig oder bist zu faul die verlinkte Dokumentation zu lesen. Im ersten Fall erklaere ich es gerne nochmal, im zweiten Fall bist du auf dich allein gestellt.
Nee, zu faul nicht.
Gelesen habe ich, nur nicht richtig.
Entschuldige, meine falsche Interpretation.

Zitat:
PermitRootLogin
Specifies whether root can log in using ssh(1). The argument
must be ``yes'', ``without-password'', ``forced-commands-only'',
or ``no''. The default is ``yes''.

If this option is set to ``without-password'', password
authentication is disabled for root.
Lesen sollte eine können.
Mit Zitat antworten
  #13  
Alt 20.11.2010, 12:13
Registered User
 
Registriert seit: 12.2008
Beiträge: 1.528

Danke an alle Helfer.
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
auth, pubkey, ssh


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Root down was tun? Armin Dedizierte Server 16 06.06.2009 22:49
Bruteforce Attacke seit 36 Stunden... Armin Security 9 19.08.2008 10:02
Immer wieder Invalid User Versuche! Was dagegen machen. Syrius1988 Virtuelle Server 7 16.05.2008 07:53
Apache hängt sich auf toto1988 Webserver 17 27.10.2007 20:40
Server langsam komische log´s druckgott Security 6 19.07.2007 06:29





Powered by vBulletin® Version 3.8.8 Beta 4 (Deutsch)
Copyright ©2000 - 2014, vBulletin Solutions, Inc.
Content Relevant URLs by vBSEO ©2011, Crawlability, Inc.