Re: Sicherheit von Public-Key-Authorisierung mit und ohne Passwort

[Frank Evers <fevers@uni-osnabrueck.de>]

Am Freitag, 2. Dezember 2005 13:22 schrieb Frank Evers:
> Am Freitag, 2. Dezember 2005 12:07 schrieb Andreas Pakulat:
> > Hmm, da muss ich noch ein wenig lesen, Root nur bestimmte Kommandos
> > erlauben hattest du in einer anderen Mail ja schon erwaehnt (was mit
> > Force...), aber das ich einem Key sagen kann er ist nur fuer IP X und
> > Kommando Y gueltig ist mir neu. Auch dass das mit mehr als einer
> > Key-Datei in .ssh funktioniert...
>
> Root login ist IMHO nicht nötig, und das mit dem Festnageln klappt z.B.
> indem man einen speziellen unprivilegierten Nutzer dafür anlegt und ihm
> mittels sudoers die entsprechenden (minimalen) Zugriffsrechte gibt.

Ja, lesen bildet...auch mich.

in sshd_config(5) gibts zu lesen, dass die option PermitRootLogin auf 
forced-commands-only getetzt werden kann und dann nur Kommandos für root 
ausgeführt wurden die in authorized_keys mit der command option (sshd(8)) 
an einen bestimmten Schlüssel gefesselt wurden, alle anderen 
Login-Verfahren sind verboten...

Man muss den OpenBSD-Leuten ja lassen, dass sie durchweg sehr ordentliche 
Arbeit abliefern...
-- 
Gruß Frank