Re: shellinabox, google-authenticator, pam und screen
Hi!
* Alexander Reichle-Schmehl <alexander@alphamar.org> [190602 15:13]:
[..]
> Hintergrund: Ich muss ohne ssh Zugriff auf einem bestimmten Rechner eine
> shell oeffnen koennen. Die einfachste Loesung hierzu ist wohl
> shellinabox. Das funktioniert an sich auch gut.
>
> Um das ganze etwas besser abzusichern, habe ich wie ihn
> https://github.com/shellinabox/shellinabox/issues/187 beschrieben,
> google-authenticator als pam Modul eingebunden. google-authenticator
> selbst funktioniert auch (und sicher bei dem Rechner Beispielsweise auch
> regulaeren ssh login und sudo).
[..]
> Aber versuche ich nach dem einloggen screen aufzurufen (egal ob neu,
> oder reconnect auf eine existierende session) erhalte ich folgene
> Meldung:
>
> Cannot open your terminal '/dev/pts/7' - please check.
Ich habe zwar nicht herausgefunden, wie ich das Zugriffsproblem geloest
bekomme, aber eine akzeptablen Workarround gefunden:
shellinabox einfach via ssh login laufen lassen.
Dazu einfach in /etc/default/shellinabox in der Zeile SHELLINABOX_ARGS
den Paramter '--service=/:SSH:localhost' ergaenzen. Dadurch baut
shellinabox eine ssh Verbindung mit localhost auf, und benutzt die
entsprechenden zur Authentifizierung pam nicht selbst, sondern
ueberlaesst dies ssh. Und ssh habe ich ohnehin mit 2fa versehen,
insofern passt das.
Bislang keine Einschraenkungen gefunden.
Mit besten Gruessen,
Alexander
Reply to: