Re: Login/Authentifizierung nur an lokaler virtueller console?

[Thomas Stiefel <Tom@xxxxxxx>]

Hi Markus,

nun ist mein Interesse bzw. mein Ehrgeiz geweckt ;-)

Am 07.01.2012 17:37, schrieb Markus Hochholdinger:
> > Was ich bei Tests
> > allerdings nicht nachstellen konnte. Muss da noch irgendwas neu
> > gestartet werden?
> Nein, es sollte nichts neugestartet werden muessen! Aber ein gern gesehener
> Fehler ist, dass ssh mit authorized_keys kein pam-auth verwendet und damit
> diese Regel dann nicht zieht, wenn man es in sshd eintraegt und der
> entsprechende Benutzer authorized_keys verwendet.
> 
Das war genau der Fehler und ist wirklich interessant.

Ich habe fuer den Test auf einem neuen Rechner einen neuen User verwendet fuer
den kein Key hinterlegt ist und der sich also per Passwort authentifizieren
muss.
Ich habe nun folgendes in die Datei */etc/pam.d/login* eingefuegt

######  spezielle Logins verweigern
auth    required        pam_listfile.so item=user sense=deny
file=/etc/login-deny

In der Datei /etc/login-deny steht nun dieser besagte Testuser drin, aber ich
kann mich ueber ssh dennoch weiterhin anmelden - mit Passwort oder ueber Key.
Trage ich die selben Zeilen oben nun in die Datei */etc/pam.d/sshd* ein, dann
kann sich der User nicht mehr ueber SSH mit einem Passwort anmelden, da dies
vorher verweigert wird:
pam_listfile(sshd:auth): Refused user media for service sshd

Eine Anmeldung ueber einen SSH-Key funktioniert allerdings weiterhin, da ja
dann kein pam-auth verwendet wird. Also stellt das Ganze auch eine Moeglichkeit
SSH gegenueber dem Internet ein wenig abzusichern, wenn man nur Zugriffe per
Key erlaubt.

Einen schoenen Tag noch zusammen.

Gruss Tom



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/