Re: ssh - kein key Login bei Gruppenschreibrechten in $HOME
Hi Thorsten, *,
Thorsten Haude schrieb am Samstag, 13. Januar 2007 03:02:
>Moin,
>
>* Friedrich Strohmaier wrote (2007-01-13 02:01):
>>Die secure shell meines Sarge servers lässt mich nicht per hostkey
>>einloggen, wenn auf $HOME Gruppenschreibrechte gesetzt sind.
>>Sobald die Gruppe nicht mehr schreiben darf geht's wieder.
>>
>>Passwortlogin funktioniert.
>>
>>Weiß jemand, ob das so soll und wenn, wo man es anders einstellen
>> kann.
>
>Das soll so sein:
>"Note that ssh ignores a private key file if it is accessible by
> others."
das leuchtet ein - allerdings: es gibt überhaupt keinen private key für
diesen user, da nicht vorgesehen ist, dass er sich woanders einloggt. Er
könnte wohl einen anlegen (wie kann ich das als Admin verhindern, ohne
den Zugang abzudrehen?) Im Sinne des obigen Satzes bekommt der user
aber dann keinen key login zu einem _anderen_ Rechner.
>>Nach meinem Verständnis sollte es wenn überhaupt, dann andersrum
>> sein, also Passwortlogin sperren und key weiterhin zulassen.
>
>So ein Shellskript will man nicht haben:
>chmod a+rwx ~strohmaier ~strohmaier/.ssh
>cp ~strohmaier/.ssh/id_dsa ~/schlüssel/
>chmod $oldPerms ~strohmaier ~strohmaier/.ssh
Das war mir in dieser Tragweite nicht bewusst - allerdings
funktioniert dieses nur, wenn der private key selber für mehr als den
user zugänglich ist.
>
>
>Warum Passwörter gefährdet sein sollen, sehe ich jetzt nicht.
In der Tat bin ich der irrigen Annahme erlegen dass Passwörter generell
unsicherer sind als Schlüssel (weil man sie ausprobieren (lassen) kann.)
Da dieses Eisen ein heißes ist, werde ich für das Folgeproblem eine
andere Lösung suchen.
Danke für den nützlichen Hinweis.
--
Beste Grüße von der Schwäbischen Alb
Reply to: