Moin,
* Friedrich Strohmaier wrote (2007-01-14 19:59):
>Thorsten Haude schrieb am Samstag, 13. Januar 2007 03:02:
>>* Friedrich Strohmaier wrote (2007-01-13 02:01):
>>>Die secure shell meines Sarge servers lässt mich nicht per hostkey
>>>einloggen, wenn auf $HOME Gruppenschreibrechte gesetzt sind.
>>>Sobald die Gruppe nicht mehr schreiben darf geht's wieder.
>>>
>>>Passwortlogin funktioniert.
>>>
>>>Weiß jemand, ob das so soll und wenn, wo man es anders einstellen
>>> kann.
>>
>>Das soll so sein:
>>"Note that ssh ignores a private key file if it is accessible by
>> others."
>
>das leuchtet ein - allerdings: es gibt überhaupt keinen private key für
>diesen user, da nicht vorgesehen ist, dass er sich woanders einloggt.
Stimmt, ich habe falsch gedacht. Tja, dann sieht es so aus, als würde
SSH das auch in dieser Richtung machen. Wie lautet denn die Ausgabe
von 'ssh -vv ...'?
>Er könnte wohl einen anlegen (wie kann ich das als Admin verhindern,
>ohne den Zugang abzudrehen?)
Du kannst den Defaultplatz verhindern, indem Du eine Datei anlegst,
die er nicht schreiben kann. Er kann aber den Schlüssel anderswo
anlegen und von dort nutzen.
Den Keyagent solltest Du deaktivieren.
>>>Nach meinem Verständnis sollte es wenn überhaupt, dann andersrum
>>> sein, also Passwortlogin sperren und key weiterhin zulassen.
>>
>>So ein Shellskript will man nicht haben:
>>chmod a+rwx ~strohmaier ~strohmaier/.ssh
>>cp ~strohmaier/.ssh/id_dsa ~/schlüssel/
>>chmod $oldPerms ~strohmaier ~strohmaier/.ssh
>
>Das war mir in dieser Tragweite nicht bewusst - allerdings
>funktioniert dieses nur, wenn der private key selber für mehr als den
>user zugänglich ist.
Klar, der ist sowieso wichtiger.
Thorsten
--
He who receives an idea from me, receives instruction himself without lessening
mine; as he who lights his taper at mine, receives light without darkening me.
- Thomas Jefferson
Attachment:
pgpcrfEbOylJU.pgp
Description: PGP signature