Re: sshd_config: Nebenwirkungen von `UsePAM no' zu erwarten
Hallo Andreas,
Andreas Pakulat schrieb am 09.02.2006 15:47:
> On 09.02.06 15:22:47, Christoph Bier wrote:
>
>>Hallo zusammen!
>>
>>Um auf einem Rechner nur noch Schlüssel-Authentfikation zuzulassen,
>>reicht es nicht in /etc/ssh/sshd_config
>>
>> PasswordAuthentication no
>>
>>zu setzen.
>
> Richtig.
Wenigstens das ...
>>Es ist zusätzlich notwendig
>>
>> UsePAM no
>
> Falsch. Du moechtest noch ChallengeResponseAuthentication deaktivieren.
> UsePAM kann aktiviert bleiben.
Aha, ok. Wäre ich nicht drauf gekommen.
>>zu setzen. Letzteres sollte laut der sshd_config-Manpage
>>Voreinstellung sein, was bei mir aber nicht der Fall war.
>
> Bei debian ist UsePAM yes Default.
Ok (zu meiner Verteidigung muss ich sagen, dass ich wenigstens
/usr/share/doc/ssh/README.Debian.gz konsultiert hatte ... aber eben
nicht die komplette changelog.Debian.gz gelesen hatte :-/).
>>Muss ich nun noch mit Nebenwirkungen rechnen, dadurch, dass ich
>>`UsePAM no' gesetzt habe?
>
> Ja, alles was in /etc/pam.d/ssh steht wird nicht mehr ausgefuehrt.
Ich hätte mir eine Interpretation gewünscht ;-). Aber mir ist erst
mal wichtig, dass ich jetzt weiß, wie ich es richtig mache. Danke!
>>Dass beide Optionen überhaupt gesetzt werden müssen, um mein Ziel zu
>>erreichen, habe ich erst durch eine Suche im Netz herausgefunden.
>
> Dann sind die Aussagen dort falsch.
War in einer FreeBSD-Gruppe. Aber: Wer lesen kann ist klar im
Vorteil. Dort standen in einer Antwort unter anderem diese beiden
Zeilen:
-------------------------------------
Disable PAM authentication:
ChallengeResponseAuthentication no
--------------------------------------
Aber nach der ersten Zeile war ich wohl so begeistert, dass ich mich
an eine Option UsePAM erinnerte, dass ich die zweite Zeile nicht
mehr wahrnahm. Entschuldigung!
>>Wäre nicht in der Manpage von sshd_config unter
>>PasswordAuthentication der geeignete Ort auf UsePAM hinzuweisen?
>
> Wieso? Es steht doch ein paar Zeilen weiter unten? Und unter UsePAM sind
> Verweise auf PA und CRA
Ich als normaler Anwender verstehe aber die Zusammenhänge nicht. Und
dass trotz `PasswordAuthentication no' noch eine
Passwort-Authentifizierung möglich ist, erwarte ich auch nicht. Dass
ChallengeResponseAuthentication auch etwas damit zu tun hat, hätte
ich ebenfalls nicht gedacht.
>>Vielleicht kann mir auch noch jemand sagen, warum unter UsePAM
>>darauf hingewiesen wird, dass PasswordAuthentication ausgeschaltet
>>werden sollte, wenn man UsePAM einschaltet. Oder gilt das nur, wenn
>>man Passwort-Authentifizierung eben doch zulassen möchte?
>
> Das steht doch alles dort?
Also nur, dass ich sshd nur als Root starten kann? Mehr verstehe ich
von dem Geschriebenen nicht.
Ich, ohne Informatik-Hintergrund, finde Manpages ehrlich gesagt
häufig nicht so hilfreich, weil eine mir fremde Terminologie
verwendet wird. Obwohl ich schon seit etwa acht Jahren Debian
verwende. Erst wenn ich gegoogelt, »Linux-Kompaktreferenz« von
Karsten Günther oder »Linux Kurz & Gut« von Daniel J. Barrett zu
Rate gezogen habe, bekomme ich eine Idee -- oder eben durch die
Erfahrung über die Jahre ...
> Es gilt nur bei passwd-auth und es erfuellt
> eine aehnliche Rolle wie die 2 anderen. Wenn alle gleichzeitig aktiviert
> sind wirds wohl Probleme geben (z.B. 2x Passwort eintippen - hab sowas
> nie getestet)
Vielen Dank für deine Antwort durch die ich nun weiß, wie ich es
machen muss!
Viele Grüße,
Christoph
--
+++ Typografie-Regeln: http://www.zvisionwelt.de/typokurz.pdf (1.4)
Reply to: