/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
OpenSSH - ssh_config
Fra : Jonas Koch Bentzen


Dato : 28-01-02 14:18

Hej

Kan man med OpenSSH gøre sådan, at kun root kan logge ind? Jeg kan ikke
rigtigt finde noget om det i ssh-manpagen. Jeg har en række almindelige
brugere, som skal kunne logge ind med FTP. Dem kan jeg ikke give shellen
/bin/false (det ville ellers være den sikre metode til at udelukke dem
fra at logge ind med SSH), for så kan de ikke logge ind med FTP. Så
spørgsmålet er: Hvad skal jeg skrive i ssh_config for at sikre, at kun
root kan logge ind med SSH?

--
Jonas Koch Bentzen

http://understroem.dk/

 
 
J. Martin Petersen (28-01-2002)
Kommentar
Fra : J. Martin Petersen


Dato : 28-01-02 14:34

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> Kan man med OpenSSH gøre sådan, at kun root kan logge ind?

Man kan angive at kun bestemte brugere kan logge på, ja.

> Jeg kan ikke rigtigt finde noget om det i ssh-manpagen.

Prøv man sshd i stedet.

> spørgsmålet er: Hvad skal jeg skrive i ssh_config for at sikre, at kun
> root kan logge ind med SSH?

Intet, det er sshd_config, der hører til sshd-serveren. 'AllowUsers'
og 'DenyUsers' kan være af interesse for dig. Hvis du *virkelig* vil
kunne logge på som root, så husk 'PermitRootLogin'.

--
J. Martin Petersen "Atter springer gnuerne ud i vandet..."

Jonas Koch Bentzen (28-01-2002)
Kommentar
Fra : Jonas Koch Bentzen


Dato : 28-01-02 14:35

J. Martin Petersen skrev:
> Hvis du *virkelig* vil
> kunne logge på som root, så husk 'PermitRootLogin'.

Er det et sikkerhedsproblem, siden du siger "*virkelig*"? Jeg havde den
opfattelse, at det kun var et problem med telnet, fordi adgangskoden dér
ryger ud i klar tekst.

--
Jonas Koch Bentzen

http://understroem.dk/

Jonas Koch Bentzen (28-01-2002)
Kommentar
Fra : Jonas Koch Bentzen


Dato : 28-01-02 15:06

Jonas Koch Bentzen skrev:
>
> J. Martin Petersen skrev:
>> Hvis du *virkelig* vil
>> kunne logge på som root, så husk 'PermitRootLogin'.
>
> Er det et sikkerhedsproblem, siden du siger "*virkelig*"?

Jeg kan selvfølgelig godt se, at det er et problem på den måde, at man -
hvis man logger ind som root - kan komme til at slette vigtige filer.
Derfor har jeg også oprettet en almindelig bruger til mig selv, som jeg
også har tilføjet i AllowUsers-listen. Pointen var bare, at de andre
almindelige brugere, som ofte logger ind via FTP, ikke også skal kunne
logge ind vha. SSH.

Tak for hjælpen, i øvrigt.

--
Jonas Koch Bentzen

http://understroem.dk/

Thorbjoern Ravn Ande~ (28-01-2002)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 28-01-02 15:23

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> Jeg kan selvfølgelig godt se, at det er et problem på den måde, at man -
> hvis man logger ind som root - kan komme til at slette vigtige filer.
> Derfor har jeg også oprettet en almindelig bruger til mig selv, som jeg
> også har tilføjet i AllowUsers-listen. Pointen var bare, at de andre
> almindelige brugere, som ofte logger ind via FTP, ikke også skal kunne
> logge ind vha. SSH.

Giv dem /bin/false som shell
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear

Alex Holst (28-01-2002)
Kommentar
Fra : Alex Holst


Dato : 28-01-02 15:06

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> wrote:
> J. Martin Petersen skrev:
>> Hvis du *virkelig* vil
>> kunne logge på som root, så husk 'PermitRootLogin'.
>
> Er det et sikkerhedsproblem, siden du siger "*virkelig*"? Jeg havde den
> opfattelse, at det kun var et problem med telnet, fordi adgangskoden dér
> ryger ud i klar tekst.

Det kommer an paa hvad du beskytter. Passwords er i det hele taget ikke
egnet til at beskytte vaerdifulde ting, da en angriber let vil kunne bruge
et passwords hvis det falder i hans haender. Samtidigt har du ikke
umiddelbart mulighed for at blive advareet hvis en angriber kommer i
besiddelse af dit root password.

Overvej at droppe password validering og i stedet benytte noeglefiler. Laes
evt. en artikel om SSH:

http://a.area51.dk/ssh

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Jonas Koch Bentzen (28-01-2002)
Kommentar
Fra : Jonas Koch Bentzen


Dato : 28-01-02 15:17

Alex Holst skrev:
>
> Passwords er i det hele taget ikke
> egnet til at beskytte vaerdifulde ting, da en angriber let vil kunne
> bruge et passwords hvis det falder i hans haender. Samtidigt har du
> ikke umiddelbart mulighed for at blive advareet hvis en angriber kommer
> i besiddelse af dit root password.

Men hvis vi nu taler om en situation, hvor systemadministratoren har
adgangskoden i hovedet og aldrig nogen sinde skriver den ned, emailer
den eller lignende, og han samtidig sørger for aldrig nogen sinde at
sende adgangskoden i klar tekst, ja, så burde der da ikke være den store
risiko.

--
Jonas Koch Bentzen

http://understroem.dk/

Thorbjoern Ravn Ande~ (28-01-2002)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 28-01-02 15:25

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> Men hvis vi nu taler om en situation, hvor systemadministratoren har
> adgangskoden i hovedet og aldrig nogen sinde skriver den ned, emailer
> den eller lignende, og han samtidig sørger for aldrig nogen sinde at
> sende adgangskoden i klar tekst, ja, så burde der da ikke være den store
> risiko.

Hvor paraniod er du, og hvor stor tiltro har du til kolleger[2] og hardware[1]?

[1] Der findes dimser man kan saette paa tastaturet saa den sladrer om
alt hvad man skriver.

[2] Kolleger kan hurtigt lurer hvad man skriver paa tastaturet.
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear

Kent Friis (28-01-2002)
Kommentar
Fra : Kent Friis


Dato : 28-01-02 19:49

Den Mon, 28 Jan 2002 14:35:27 +0100 skrev Jonas Koch Bentzen:
>J. Martin Petersen skrev:
>> Hvis du *virkelig* vil
>> kunne logge på som root, så husk 'PermitRootLogin'.
>
>Er det et sikkerhedsproblem, siden du siger "*virkelig*"? Jeg havde den
>opfattelse, at det kun var et problem med telnet, fordi adgangskoden dér
>ryger ud i klar tekst.

Med telnet er det et problem uanset om man logger ind som root, eller
bruger su.

Med SSH er problemet at man ikke kan se *hvem* der har overtaget
maskinen - man opdager det først når det er forsent. Hvis man skal
logge ind som en bruger først, er der en chance for at opdage et angreb
inden angriberen når at finde en måde at overtage root. Plus det står
i log-filen hvem der har su'et til root.

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

Jesper FA (28-01-2002)
Kommentar
Fra : Jesper FA


Dato : 28-01-02 15:17

J. Martin Petersen wrote:

> Intet, det er sshd_config, der hører til sshd-serveren. 'AllowUsers'
> og 'DenyUsers' kan være af interesse for dig. Hvis du *virkelig* vil
> kunne logge på som root, så husk 'PermitRootLogin'.

Så vidt jeg kan se er der ikke mulighed for at man kan angive en række
brugere i en anden fil?

--
Jesper

Troels Arvin (29-01-2002)
Kommentar
Fra : Troels Arvin


Dato : 29-01-02 09:56

On Mon, 28 Jan 2002 15:17:11 +0100, "Jesper FA" <news@skydiver.dk> wrote:

> Så vidt jeg kan se er der ikke mulighed for at man kan angive en række
> brugere i en anden fil?

Jo, det er der indirekte, idet openssh undersøtter PAM. Med PAM kan man
med en passende /etc/pam.d/sshd fx. bede PAM tjekke en fil såsom
/etc/ssh-allowed i forb. med ssh login.

--
Greetings from Troels Arvin, Copenhagen, Denmark



Jesper FA (29-01-2002)
Kommentar
Fra : Jesper FA


Dato : 29-01-02 15:51

Troels Arvin wrote:

>> Så vidt jeg kan se er der ikke mulighed for at man kan angive en række
>> brugere i en anden fil?
>
> Jo, det er der indirekte, idet openssh undersøtter PAM. Med PAM kan man
> med en passende /etc/pam.d/sshd fx. bede PAM tjekke en fil såsom
> /etc/ssh-allowed i forb. med ssh login.

Joo.. men PAM bliver ikke brugt ved public key authentication.
Jeg bruger allerede PAM og listfiles ved mine andre services, så derfor
genere det mig lidt at jeg ikke kan det med ssh.

--
Jesper

Peter Makholm (28-01-2002)
Kommentar
Fra : Peter Makholm


Dato : 28-01-02 22:58

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> Er det et sikkerhedsproblem, siden du siger "*virkelig*"? Jeg havde den
> opfattelse, at det kun var et problem med telnet, fordi adgangskoden dér
> ryger ud i klar tekst.

Alt der er beregnet til at kunne give root-adgang skalerer eventuelle
sikkerhedsproblemer om mange gange. Hvis du ikke tillader root-adgang
gennem ssh og der så bliver fundet er sikkerhedshul i ssh så har du
stadigvæk en sikret root-konto og det er kun dine almindelige
brugerkonti, der bliver ramt.

(Ja, altså alt efter karakteren af sikkerhedshullet)

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408897
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste