---

Hej

Kan man med OpenSSH gøre sådan, at kun root kan logge ind? Jeg kan ikke
rigtigt finde noget om det i ssh-manpagen. Jeg har en række almindelige
brugere, som skal kunne logge ind med FTP. Dem kan jeg ikke give shellen
/bin/false (det ville ellers være den sikre metode til at udelukke dem
fra at logge ind med SSH), for så kan de ikke logge ind med FTP. Så
spørgsmålet er: Hvad skal jeg skrive i ssh_config for at sikre, at kun
root kan logge ind med SSH?

--
Jonas Koch Bentzen

http://understroem.dk/

---

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> Kan man med OpenSSH gøre sådan, at kun root kan logge ind?

Man kan angive at kun bestemte brugere kan logge på, ja.

> Jeg kan ikke rigtigt finde noget om det i ssh-manpagen.

Prøv man sshd i stedet.

> spørgsmålet er: Hvad skal jeg skrive i ssh_config for at sikre, at kun
> root kan logge ind med SSH?

Intet, det er sshd_config, der hører til sshd-serveren. 'AllowUsers'
og 'DenyUsers' kan være af interesse for dig. Hvis du *virkelig* vil
kunne logge på som root, så husk 'PermitRootLogin'.

--
J. Martin Petersen "Atter springer gnuerne ud i vandet..."

---

J. Martin Petersen skrev:
> Hvis du *virkelig* vil
> kunne logge på som root, så husk 'PermitRootLogin'.

Er det et sikkerhedsproblem, siden du siger "*virkelig*"? Jeg havde den
opfattelse, at det kun var et problem med telnet, fordi adgangskoden dér
ryger ud i klar tekst.

--
Jonas Koch Bentzen

http://understroem.dk/

---

Jonas Koch Bentzen skrev:
>
> J. Martin Petersen skrev:
>> Hvis du *virkelig* vil
>> kunne logge på som root, så husk 'PermitRootLogin'.
>
> Er det et sikkerhedsproblem, siden du siger "*virkelig*"?

Jeg kan selvfølgelig godt se, at det er et problem på den måde, at man -
hvis man logger ind som root - kan komme til at slette vigtige filer.
Derfor har jeg også oprettet en almindelig bruger til mig selv, som jeg
også har tilføjet i AllowUsers-listen. Pointen var bare, at de andre
almindelige brugere, som ofte logger ind via FTP, ikke også skal kunne
logge ind vha. SSH.

Tak for hjælpen, i øvrigt.

--
Jonas Koch Bentzen

http://understroem.dk/

---

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> Jeg kan selvfølgelig godt se, at det er et problem på den måde, at man -
> hvis man logger ind som root - kan komme til at slette vigtige filer.
> Derfor har jeg også oprettet en almindelig bruger til mig selv, som jeg
> også har tilføjet i AllowUsers-listen. Pointen var bare, at de andre
> almindelige brugere, som ofte logger ind via FTP, ikke også skal kunne
> logge ind vha. SSH.

Giv dem /bin/false som shell
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear

---

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> wrote:
> J. Martin Petersen skrev:
>> Hvis du *virkelig* vil
>> kunne logge på som root, så husk 'PermitRootLogin'.
>
> Er det et sikkerhedsproblem, siden du siger "*virkelig*"? Jeg havde den
> opfattelse, at det kun var et problem med telnet, fordi adgangskoden dér
> ryger ud i klar tekst.

Det kommer an paa hvad du beskytter. Passwords er i det hele taget ikke
egnet til at beskytte vaerdifulde ting, da en angriber let vil kunne bruge
et passwords hvis det falder i hans haender. Samtidigt har du ikke
umiddelbart mulighed for at blive advareet hvis en angriber kommer i
besiddelse af dit root password.

Overvej at droppe password validering og i stedet benytte noeglefiler. Laes
evt. en artikel om SSH:

http://a.area51.dk/ssh

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst skrev:
>
> Passwords er i det hele taget ikke
> egnet til at beskytte vaerdifulde ting, da en angriber let vil kunne
> bruge et passwords hvis det falder i hans haender. Samtidigt har du
> ikke umiddelbart mulighed for at blive advareet hvis en angriber kommer
> i besiddelse af dit root password.

Men hvis vi nu taler om en situation, hvor systemadministratoren har
adgangskoden i hovedet og aldrig nogen sinde skriver den ned, emailer
den eller lignende, og han samtidig sørger for aldrig nogen sinde at
sende adgangskoden i klar tekst, ja, så burde der da ikke være den store
risiko.

--
Jonas Koch Bentzen

http://understroem.dk/

---

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> Men hvis vi nu taler om en situation, hvor systemadministratoren har
> adgangskoden i hovedet og aldrig nogen sinde skriver den ned, emailer
> den eller lignende, og han samtidig sørger for aldrig nogen sinde at
> sende adgangskoden i klar tekst, ja, så burde der da ikke være den store
> risiko.

Hvor paraniod er du, og hvor stor tiltro har du til kolleger[2] og hardware[1]?

[1] Der findes dimser man kan saette paa tastaturet saa den sladrer om
alt hvad man skriver.

[2] Kolleger kan hurtigt lurer hvad man skriver paa tastaturet.
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear

---

Den Mon, 28 Jan 2002 14:35:27 +0100 skrev Jonas Koch Bentzen:
>J. Martin Petersen skrev:
>> Hvis du *virkelig* vil
>> kunne logge på som root, så husk 'PermitRootLogin'.
>
>Er det et sikkerhedsproblem, siden du siger "*virkelig*"? Jeg havde den
>opfattelse, at det kun var et problem med telnet, fordi adgangskoden dér
>ryger ud i klar tekst.

Med telnet er det et problem uanset om man logger ind som root, eller
bruger su.

Med SSH er problemet at man ikke kan se *hvem* der har overtaget
maskinen - man opdager det først når det er forsent. Hvis man skal
logge ind som en bruger først, er der en chance for at opdage et angreb
inden angriberen når at finde en måde at overtage root. Plus det står
i log-filen hvem der har su'et til root.

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

---

J. Martin Petersen wrote:

> Intet, det er sshd_config, der hører til sshd-serveren. 'AllowUsers'
> og 'DenyUsers' kan være af interesse for dig. Hvis du *virkelig* vil
> kunne logge på som root, så husk 'PermitRootLogin'.

Så vidt jeg kan se er der ikke mulighed for at man kan angive en række
brugere i en anden fil?

--
Jesper

---

On Mon, 28 Jan 2002 15:17:11 +0100, "Jesper FA" <news@skydiver.dk> wrote:

> Så vidt jeg kan se er der ikke mulighed for at man kan angive en række
> brugere i en anden fil?

Jo, det er der indirekte, idet openssh undersøtter PAM. Med PAM kan man
med en passende /etc/pam.d/sshd fx. bede PAM tjekke en fil såsom
/etc/ssh-allowed i forb. med ssh login.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin wrote:

>> Så vidt jeg kan se er der ikke mulighed for at man kan angive en række
>> brugere i en anden fil?
>
> Jo, det er der indirekte, idet openssh undersøtter PAM. Med PAM kan man
> med en passende /etc/pam.d/sshd fx. bede PAM tjekke en fil såsom
> /etc/ssh-allowed i forb. med ssh login.

Joo.. men PAM bliver ikke brugt ved public key authentication.
Jeg bruger allerede PAM og listfiles ved mine andre services, så derfor
genere det mig lidt at jeg ikke kan det med ssh.

--
Jesper

---

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> Er det et sikkerhedsproblem, siden du siger "*virkelig*"? Jeg havde den
> opfattelse, at det kun var et problem med telnet, fordi adgangskoden dér
> ryger ud i klar tekst.

Alt der er beregnet til at kunne give root-adgang skalerer eventuelle
sikkerhedsproblemer om mange gange. Hvis du ikke tillader root-adgang
gennem ssh og der så bliver fundet er sikkerhedshul i ssh så har du
stadigvæk en sikret root-konto og det er kun dine almindelige
brugerkonti, der bliver ramt.

(Ja, altså alt efter karakteren af sikkerhedshullet)

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix