| View previous topic :: View next topic |
| Author |
Message |
viper26
Tux's lil' helper
Joined: 24 Sep 2003
Posts: 132
Location: Brilon
|
 Posted: Mon Apr 03, 2006 10:28 am Post subject: ssh konfigurieren alle user sperren bis auf 2 |
 |
|
Hallo,
gibts ne möglichkeit in der ssh conf eine einstellung vorzunehmen die sagt
deny alle user
aber erlaube user1 user2
???
gibts sowas?
gruss und danke
viper |
|
| Back to top |
|
 |
STiGMaTa_ch
Veteran
Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz
|
| Posted: Mon Apr 03, 2006 10:40 am Post subject: |
|
|
Warum nicht einfach Zertifikatsbasierte Anmeldung verwenden? Dann können nur die User anmelden, welche ein gültiges Zertifikat haben.
Lieber Gruss
STiGMaTa
_________________
Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG |
|
| Back to top |
|
|
Lenz
Veteran
Joined: 17 Jul 2003
Posts: 1439
Location: Marburg [HE, D, EU]
|
| Posted: Mon Apr 03, 2006 10:41 am Post subject: |
|
|
...und unnötiges Passworteingeben sparst du dir auch.
_________________
.:: Lenz' Signature 1.7b ::.
| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~ |
|
| Back to top |
|
|
viper26
Tux's lil' helper
Joined: 24 Sep 2003
Posts: 132
Location: Brilon
|
| Posted: Mon Apr 03, 2006 10:44 am Post subject: |
|
|
hmmm,
damit hast du mich auf eine kleine idee gebracht. hatte schonmal an das thema gedacht es aber aus bedenken wegen der hartware wo der schluessel liegt wieder verworfen.
ich kann doch auch theoretisch den schlüssel auf nen usb stick legen, oder?
gruss |
|
| Back to top |
|
|
magicteddy
n00b
Joined: 21 May 2005
Posts: 71
Location: Bremer Umland
|
| Posted: Mon Apr 03, 2006 10:46 am Post subject: |
|
|
| Lenz wrote: | | ...und unnötiges Passworteingeben sparst du dir auch. |
Ich würde keinen Key ohne Passphrase nehmen, wenn der mal in unbefugte Hände gelangt ...
-andreas |
|
| Back to top |
|
|
TheCurse
l33t
Joined: 21 Jun 2004
Posts: 670
Location: Köln
|
| Posted: Mon Apr 03, 2006 11:20 am Post subject: |
|
|
| magicteddy wrote: |
Ich würde keinen Key ohne Passphrase nehmen, wenn der mal in unbefugte Hände gelangt ...
-andreas |
Ganz meine Rede! Auch für den Key solltest du eine starke Passphrase nehmen! Ansonsten kann wirklich jeder, der deinen Key hat ohne ein Passwort auf deinen Rechner!
Bye,
TheCurse |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Mon Apr 03, 2006 12:36 pm Post subject: Re: ssh konfigurieren alle user sperren bis auf 2 |
|
|
| viper26 wrote: | gibts ne möglichkeit in der ssh conf eine einstellung vorzunehmen die sagt
deny alle user
aber erlaube user1 user2 |
Jepp, AllowUsers/AllowGroups in /etc/ssh/sshd_config
Das ganze in Kombination mit Publickey+Passphrase macht das ganze schon sehr sicher.
| STiGMaTa_ch wrote: | | Warum nicht einfach Zertifikatsbasierte Anmeldung verwenden? Dann können nur die User anmelden, welche ein gültiges Zertifikat haben. |
Meinst du jetzt wirklich Zertifikate (sprich x.509) oder doch 'nur' Publickey? Wenn ersteres wo siehst du den Vorteil von Zertifikaten (besseres Handling, Security, etc...)?
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
Lenz
Veteran
Joined: 17 Jul 2003
Posts: 1439
Location: Marburg [HE, D, EU]
|
| Posted: Mon Apr 03, 2006 1:36 pm Post subject: |
|
|
Das mit dem Passwort kommt halt auf den Anwendungszweck drauf an.
_________________
.:: Lenz' Signature 1.7b ::.
| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~ |
|
| Back to top |
|
|
STiGMaTa_ch
Veteran
Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz
|
| Posted: Mon Apr 03, 2006 2:49 pm Post subject: Re: ssh konfigurieren alle user sperren bis auf 2 |
|
|
| Think4UrS11 wrote: |
| STiGMaTa_ch wrote: | | Warum nicht einfach Zertifikatsbasierte Anmeldung verwenden? Dann können nur die User anmelden, welche ein gültiges Zertifikat haben. |
Meinst du jetzt wirklich Zertifikate (sprich x.509) oder doch 'nur' Publickey? Wenn ersteres wo siehst du den Vorteil von Zertifikaten (besseres Handling, Security, etc...)? |
Erwischt  meinte eigentlich den Publickey.
Lieber Gruss
STiGMaTa
_________________
Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG |
|
| Back to top |
|
|
gabelhonz
Apprentice
Joined: 30 Aug 2004
Posts: 222
Location: 10010100111110011
|
| Posted: Mon Apr 03, 2006 9:10 pm Post subject: |
|
|
Hi,
tipp:
http://www.gentoo.org/proj/en/keychain/
gruß
_________________
Wenn Chuck Norris ins Wasser fällt, wird Chuck Norris nicht nass. Wasser wird Chuck Norris. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Mon Apr 03, 2006 11:02 pm Post subject: |
|
|
Das läuft aber auf dem Client 
Trotzdem, sollte man natürlich auch nutzen sofern es der personal-paranoia-level zuläßt. Oder eben doch jedesmal die 40 stellige passphrase tippen 
Für automatisierte Geschichten ist aber teilweise auch ein key ohne passphrase sinnvoll, natürlich entsprechend eingeschränkt auf ein (oder ganz wenige) Kommando(s) das/die damit ausführt werden darf/dürfen.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
tost
Guru
Joined: 10 Dec 2005
Posts: 506
|
| Posted: Wed Apr 05, 2006 4:11 pm Post subject: |
|
|
| Quote: | | Für automatisierte Geschichten ist aber teilweise auch ein key ohne passphrase sinnvoll, natürlich entsprechend eingeschränkt auf ein (oder ganz wenige) Kommando(s) das/die damit ausführt werden darf/dürfen. |
Wie kann ich denn bspw. einstellen das der User root nur ein oder zwei Kommandos ausführen kann, wenn er sich mit genau dem Key einloggt ? |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Wed Apr 05, 2006 7:07 pm Post subject: |
|
|
| tost wrote: | | Wie kann ich denn bspw. einstellen das der User root nur ein oder zwei Kommandos ausführen kann, wenn er sich mit genau dem Key einloggt ? |
man sshd... AUTHORIZED_KEYS FILE FORMAT ... options ...
| Quote: | command="command"
Specifies that the command is executed whenever this key is used for authen-
tication. The command supplied by the user (if any) is ignored. |
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
tost
Guru
Joined: 10 Dec 2005
Posts: 506
|
| Posted: Wed Apr 05, 2006 7:21 pm Post subject: |
|
|
Super vielen Dank, da habe ich noch was lernen können
(hört sich jetzt sehr großkotzig an, ist aber net so gemeint)
tost |
|
| Back to top |
|
|
|
Deutsches Forum (German)
