sslug-teknik team mailing list archive

[John Mørck Hansen <john@xxxxxxxxxx>]

On Wed, 07 May 2003 17:43:58 +0200
Troels Arvin <troels@xxxxxxxx> wrote:
> 
> I nogle sammenhænge er det administrativt urealistisk at benytte
> nøglebaseret adgang, fordi nøglegenerereingen og/eller
> nøgletransport+opbevaring er for besværligt. I denne situation kan man
> godt ærgre sig over, at openssh har sammenblandet per-user
> indstillinger med opbevaring af offentlig nøgle.
> 
> Hvis det overhovedet kan lade sig gøre, er nøglebaseret autorisation
> imidlertid langt at foretrække, synes jeg. Bl.a. fordi features såsom
> ssh-agent/agent-forwarding da kan tages i anvendelse og passwords ikke
> hele tiden skal tastes (hver gang et password tastes gives mulighed
> for afluring).

Jeg ville helst have det på den måde at det er brugeren som skal
bestemme om de vil bruge det ene eller det andet. Det der nager mig er
adgangen til en shell ved normal password auth. 

Jeg ved det kan lade sig gører, at man ikke har adgang til en shell men
stadig kan bruge CVS og SSH sammen. Sourceforg.net bruger det. Så, mon
ikke det kan lade sig gøre.


Er der nogen der kender en shell som tillader CVS ved brug af SSH. Men
ikke tillader at man kan lave "normal" login via SSH. 


> Noget, du måske kan udnytte:
> Du kan måske køre en ekstra ssh dæmon på en alternativ port, med en
> alternativ konfigurationsfil, som på en eller anden måde har begrænset
> anvendelighed, men som accepterer alm. password-baseret autorisation.
> Du kan da putte alle cvs-only brugere i en særlig gruppe, som ikke har
> adgang til den normale ssh-dæmon, men kun adgang til den begrænsede.

Det burde ikke være nødvendigt at kører flere SSHd dæmoner. Shell'en
sætter man vel bare i /etc/passwd.

 

(John ;-)
-- 
Din sikre vej til en sikker backup løsning til dit netværk.
Hurtigt, nemt og bekvemt
http://www.adilock.dk/~john/albackup/
http://www.adilock.dk