[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: sshd_config: Nebenwirkungen von `UsePAM no' zu erwarten



Hallo Andreas,

Andreas Pakulat schrieb am 09.02.2006 15:47:

> On 09.02.06 15:22:47, Christoph Bier wrote:
> 
>>Hallo zusammen!
>>
>>Um auf einem Rechner nur noch Schlüssel-Authentfikation zuzulassen,
>>reicht es nicht in /etc/ssh/sshd_config
>>
>>	PasswordAuthentication no
>>
>>zu setzen.
> 
> Richtig.

Wenigstens das ...

>>Es ist zusätzlich notwendig
>>
>>	UsePAM no
> 
> Falsch. Du moechtest noch ChallengeResponseAuthentication deaktivieren.
> UsePAM kann aktiviert bleiben.

Aha, ok. Wäre ich nicht drauf gekommen.

>>zu setzen. Letzteres sollte laut der sshd_config-Manpage
>>Voreinstellung sein, was bei mir aber nicht der Fall war.
> 
> Bei debian ist UsePAM yes Default.

Ok (zu meiner Verteidigung muss ich sagen, dass ich wenigstens
/usr/share/doc/ssh/README.Debian.gz konsultiert hatte ... aber eben
nicht die komplette changelog.Debian.gz gelesen hatte :-/).

>>Muss ich nun noch mit Nebenwirkungen rechnen, dadurch, dass ich
>>`UsePAM no' gesetzt habe?
> 
> Ja, alles was in /etc/pam.d/ssh steht wird nicht mehr ausgefuehrt.

Ich hätte mir eine Interpretation gewünscht ;-). Aber mir ist erst
mal wichtig, dass ich jetzt weiß, wie ich es richtig mache. Danke!

>>Dass beide Optionen überhaupt gesetzt werden müssen, um mein Ziel zu
>>erreichen, habe ich erst durch eine Suche im Netz herausgefunden.
> 
> Dann sind die Aussagen dort falsch.

War in einer FreeBSD-Gruppe. Aber: Wer lesen kann ist klar im
Vorteil. Dort standen in einer Antwort unter anderem diese beiden
Zeilen:

-------------------------------------
Disable PAM authentication:

ChallengeResponseAuthentication  no
--------------------------------------

Aber nach der ersten Zeile war ich wohl so begeistert, dass ich mich
an eine Option UsePAM erinnerte, dass ich die zweite Zeile nicht
mehr wahrnahm. Entschuldigung!

>>Wäre nicht in der Manpage von sshd_config unter
>>PasswordAuthentication der geeignete Ort auf UsePAM hinzuweisen?
> 
> Wieso? Es steht doch ein paar Zeilen weiter unten? Und unter UsePAM sind
> Verweise auf PA und CRA

Ich als normaler Anwender verstehe aber die Zusammenhänge nicht. Und
dass trotz `PasswordAuthentication no' noch eine
Passwort-Authentifizierung möglich ist, erwarte ich auch nicht. Dass
ChallengeResponseAuthentication auch etwas damit zu tun hat, hätte
ich ebenfalls nicht gedacht.

>>Vielleicht kann mir auch noch jemand sagen, warum unter UsePAM
>>darauf hingewiesen wird, dass PasswordAuthentication ausgeschaltet
>>werden sollte, wenn man UsePAM einschaltet. Oder gilt das nur, wenn
>>man Passwort-Authentifizierung eben doch zulassen möchte?
> 
> Das steht doch alles dort?

Also nur, dass ich sshd nur als Root starten kann? Mehr verstehe ich
von dem Geschriebenen nicht.

Ich, ohne Informatik-Hintergrund, finde Manpages ehrlich gesagt
häufig nicht so hilfreich, weil eine mir fremde Terminologie
verwendet wird. Obwohl ich schon seit etwa acht Jahren Debian
verwende. Erst wenn ich gegoogelt, »Linux-Kompaktreferenz« von
Karsten Günther oder »Linux Kurz & Gut« von Daniel J. Barrett zu
Rate gezogen habe, bekomme ich eine Idee -- oder eben durch die
Erfahrung über die Jahre ...

> Es gilt nur bei passwd-auth und es erfuellt
> eine aehnliche Rolle wie die 2 anderen. Wenn alle gleichzeitig aktiviert
> sind wirds wohl Probleme geben (z.B. 2x Passwort eintippen - hab sowas
> nie getestet)

Vielen Dank für deine Antwort durch die ich nun weiß, wie ich es
machen muss!

Viele Grüße,
	Christoph
-- 
+++ Typografie-Regeln: http://www.zvisionwelt.de/typokurz.pdf (1.4)



Reply to: