sslug-teknik team mailing list archive

[Troels Arvin <troels@xxxxxxxx>]

On Wed, 07 May 2003 14:51:18 +0200, John Mørck Hansen wrote:

> Med nedenstående kræver det jo at jeg laver private/public key til
> alle brugere og på en eller anden sikker måde får givet dem deres
> private-key.

Ja (og måske nej).

I nogle sammenhænge er det administrativt urealistisk at benytte
nøglebaseret adgang, fordi nøglegenerereingen og/eller
nøgletransport+opbevaring er for besværligt. I denne situation kan man
godt ærgre sig over, at openssh har sammenblandet per-user indstillinger
med opbevaring af offentlig nøgle.

Hvis det overhovedet kan lade sig gøre, er nøglebaseret autorisation
imidlertid langt at foretrække, synes jeg. Bl.a. fordi features såsom
ssh-agent/agent-forwarding da kan tages i anvendelse og passwords ikke
hele tiden skal tastes (hver gang et password tastes gives mulighed for
afluring).

Noget, du måske kan udnytte:
Du kan måske køre en ekstra ssh dæmon på en alternativ port, med en
alternativ konfigurationsfil, som på en eller anden måde har begrænset
anvendelighed, men som accepterer alm. password-baseret autorisation. Du
kan da putte alle cvs-only brugere i en særlig gruppe, som ikke har
adgang til den normale ssh-dæmon, men kun adgang til den begrænsede.

I denne forbindelse henleder jeg opmærksomheden på følgende sshd_config
parametre (se også manualsiden "sshd_config"):
AllowGroups
DenyGroups

Hvordan begrænsningerne skal bringes ind i billedet ved jeg ikke lige,
men jeg kunne forestille mig, at man kan få idéer ved at læse afsnittet
"LOGIN PROCESS" i sshd's manualside.

/Troels