Moin moin,
wir (Felix, Jeffrey und ich) haben für eine SHK-Stelle im PC-Pool unserer Fachrichtung einen Benutzer einrichten lassen und da ein Git-Repository raufgepackt. Mit ssh-copy-id haben wir unsere Public Keys installiert und authentifizieren uns jetzt über ebendiese anstatt über die standardmäßige Passwortabfrage.
Da würde es mich mal interessieren, ob man für diesen einen Benutzer Passwortabfragen verbieten kann. Das geht, soweit ich bis jetzt weiß, nur über die /etc/sshd/ssh_config, an die wir aber a) nicht rankommen und in der das b) nur global möglich wäre.
Weiß jemand zufällig, ob die gewünschte Konfiguration mit unseren Rechten möglich ist?
Gruß Stefan
Hi Stefan,
-----Ursprüngliche Nachricht----- Von: lug-dd-bounces@mailman.schlittermann.de [mailto:lug-dd- bounces@mailman.schlittermann.de] Im Auftrag von Stefan Majewsky Gesendet: Samstag, 4. Juli 2009 11:57 An: lug-dd@mailman.schlittermann.de Betreff: SSH-Config nur für den eigenen Benutzer ändern
Moin moin,
wir (Felix, Jeffrey und ich) haben für eine SHK-Stelle im PC-Pool unserer Fachrichtung einen Benutzer einrichten lassen und da ein Git- Repository raufgepackt. Mit ssh-copy-id haben wir unsere Public Keys installiert und authentifizieren uns jetzt über ebendiese anstatt über die standardmäßige Passwortabfrage.
Da würde es mich mal interessieren, ob man für diesen einen Benutzer Passwortabfragen verbieten kann. Das geht, soweit ich bis jetzt weiß, nur über die /etc/sshd/ssh_config, an die wir aber a) nicht rankommen und in der das b) nur global möglich wäre.
Weiß jemand zufällig, ob die gewünschte Konfiguration mit unseren Rechten möglich ist?
Gruß Stefan
Soweit ich das grad in der manpage von ssh sehe, kannst du eine user basierte config unter ~/.ssh/config anlegen:
~/.ssh/config This is the per-user configuration file. The file format and configuration options are described in ssh_config(5). Because of the potentiall for abuse, this file must have strict permissions: read/write for the user, and not accessible by others. It may be group-writable provided that the group in question contains only the user.
MfG Maddin
Maddin schrieb:
Soweit ich das grad in der manpage von ssh sehe, kannst du eine user basierte config unter ~/.ssh/config anlegen:
~/.ssh/config This is the per-user configuration file. The file format and configuration options are described in ssh_config(5). Because of the potentiall for abuse, this file must have strict permissions: read/write for the user, and not accessible by others. It may be group-writable provided that the group in question contains only the user.
Weiter oben steht:
NAME ssh_config - OpenSSH SSH client configuration files
wogegen hier nach einer Server-Config gefragt wurde:
NAME sshd_config - OpenSSH SSH daemon configuration file
SYNOPSIS /etc/ssh/sshd_config
Der Server liest also scheinbar beim Einloggen ~/.ssh/config nicht ein.
Eventuell kann man sich mit ~/.ssh/rc was basteln. Aber ich habe jetzt noch nicht gesehen, wie man das anstellt.
Alternativ wäre noch rauszukriegen, ob man evtl. in ~/.ssh/authorized_keys einen Dummy-Eintrag für keinen Key hat.
Eine Idee: Biege in ~/.ssh/authorized_keys das rc-script für jeden erlaubten Schlüssel um. Und versuche ~/.ssh/rc zu benutzen, um jegliches Login zu verbieten.
Andere Alternative: Erlaube gar kein Login via SSH und log Dich mit Deiner Nutzerkennung ein und nutze su oder sudo.
Das würde mich auch interessieren.
Tobias
Am Sonntag 05 Juli 2009 13:59:36 schrieb Tobias Schlemmer:
Andere Alternative: Erlaube gar kein Login via SSH und log Dich mit Deiner Nutzerkennung ein und nutze su oder sudo.
Was hat sudo damit zu tun? Ich will als Benutzer eingeloggt sein, Superuser ist der Administrator des PC-Pools (also insb. != ich).
Gruß Stefan
Stefan Majewsky schrieb:
Am Sonntag 05 Juli 2009 13:59:36 schrieb Tobias Schlemmer:
Andere Alternative: Erlaube gar kein Login via SSH und log Dich mit Deiner Nutzerkennung ein und nutze su oder sudo.
Was hat sudo damit zu tun? Ich will als Benutzer eingeloggt sein, Superuser ist der Administrator des PC-Pools (also insb. != ich).
man sudo
siehe „-u“
Tobias
lug-dd@mailman.schlittermann.de
-
Maddin -
Stefan Majewsky -
Tobias Schlemmer