Hi Markus, nun ist mein Interesse bzw. mein Ehrgeiz geweckt ;-) Am 07.01.2012 17:37, schrieb Markus Hochholdinger: >> Was ich bei Tests >> allerdings nicht nachstellen konnte. Muss da noch irgendwas neu >> gestartet werden? > Nein, es sollte nichts neugestartet werden müssen! Aber ein gern gesehener > Fehler ist, dass ssh mit authorized_keys kein pam-auth verwendet und damit > diese Regel dann nicht zieht, wenn man es in sshd einträgt und der > entsprechende Benutzer authorized_keys verwendet. > Das war genau der Fehler und ist wirklich interessant. Ich habe für den Test auf einem neuen Rechner einen neuen User verwendet für den kein Key hinterlegt ist und der sich also per Passwort authentifizieren muss. Ich habe nun folgendes in die Datei */etc/pam.d/login* eingefügt ###### spezielle Logins verweigern auth required pam_listfile.so item=user sense=deny file=/etc/login-deny In der Datei /etc/login-deny steht nun dieser besagte Testuser drin, aber ich kann mich über ssh dennoch weiterhin anmelden - mit Passwort oder über Key. Trage ich die selben Zeilen oben nun in die Datei */etc/pam.d/sshd* ein, dann kann sich der User nicht mehr über SSH mit einem Passwort anmelden, da dies vorher verweigert wird: pam_listfile(sshd:auth): Refused user media for service sshd Eine Anmeldung über einen SSH-Key funktioniert allerdings weiterhin, da ja dann kein pam-auth verwendet wird. Also stellt das Ganze auch eine Möglichkeit SSH gegenüber dem Internet ein wenig abzusichern, wenn man nur Zugriffe per Key erlaubt. Einen schönen Tag noch zusammen. Gruß Tom -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/Empfangen am 07.01.2012
Dieses Archiv wurde generiert von hypermail 2.2.0 : 07.01.2012 CET