sslug-teknik team mailing list archive

[Anders Bruun Olsen <anders@xxxxxxxxxxxxxxx>]

On Fri, Jul 25, 2003 at 10:05:28AM +0200, Jesper Honig Spring wrote:
> Er der nogen som ved om det er muligt at konfigurerer sshd således at den
> kun acceptere logins fra brugere, som har certifikater? Har kigget i man
> siderne, men synes ikke, at noget indikere dette - men jeg kan jo tage fejl.

Sæt følgende linier i /etc/sshd/sshd_config:

PasswordAuthentication no
RSAAuthentication yes

Så kan brugere kun logge ind hvis de har keys opsat.

> Vil man rent sikkerhedsmæssigt overhovedet opnå noget ved at lave denne
> begrænsning?

Tja.. man opnår ihvertfald at det ikke er muligt at bruteforce kodeordet
op, samt at en bruger kun kan logge ind fra en maskine hvor hans private
key ligger (altså er det svært at logge ind på serveren fra en maskine
ude i byen..)

Det kan give en del besværligheder for brugerne hvis du vælger at gøre
dette, men det kommer jo an på hvor brugerne skal have mulighed for at
logge på fra, hvor smarte brugerne er samt hvor mange brugere du har
(husk at når du opretter en ny bruger skal du lægge hans pubkey ind for
ham da han jo ikke kan logge på maskinen med password for at lægge sin
pubkey ind! Det giver dig ekstra arbejde hvis der skal oprettes mange
brugere ofte!)

-- 
Anders
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/O d--@ s:+ a-- C++ $UL+++ P++ L+++ E- W+ N(+) o K? w O- M-- V
PS+ PE@ Y+ PGP+ t 5 X R+ tv+ b+ DI+++ D+ G e- h !r y?
------END GEEK CODE BLOCK------
PGPKey: http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x8BFECB41