ssh root login

Giorgos Pallas gpall at ccf.auth.gr
Sun Nov 4 18:50:23 EET 2007 

Giorgos Keramidas wrote:
> On 2007-11-04 13:15, Giorgos Pallas <gpall at ccf.auth.gr> wrote:
>   
>> Καλημέρα!
>>
>> Δυο ερωτησούλες:
>>
>> Κάποτε το default δεν ήταν στο config του sshd ότι το root login είναι
>> απενεργοποιημένο; Έχει αλλάξει αυτή η πολιτική; Αν ναι, με πιο
>> σκεπτικό;
>>     
>
> Οχι.
>
>   
>> Και η δεύτερη: μπορώ να ρυθμίσω κάπως το sshd να δέχεται root login μόνο
>> με public key και όχι με password, ενώ για τους κοινούς χρήστες να
>> δέχεται και τα δυο;
>>     
>
> Ναι.  Η λύση είναι στο manpage του sshd_config και του sshd(8).
>
> Το πρώτο manpage λέει:
>
>      PermitRootLogin
> 	     Specifies whether root can log in using ssh(1).  The
> 	     argument must be ``yes'', ``without-password'',
> 	     ``forced-commands-only'', or ``no''.  The default is
> 	     ``no''.  Note that if ChallengeResponseAuthentication is
> 	     ``yes'', the root user may be allowed in with its
> 	     password even if PermitRootLogin is set to
> 	     ``without-password''.
>
> 	     If this option is set to ``without-password'', password
> 	     authentication is disabled for root.
>
> Στο .ssh/authorized_keys μπορείς να βάλεις και options, τα οποία
> περιγράφονται στο section ``AUTHORIZED_KEYS FILE FORMAT'' του manpage
> sshd(8).  Ένα παράδειγμα από authorized_keys entry μπορεί να είναι
> και το εξής:
>
>     from="*.sales.example.net,!pc.sales.example.net" ssh-rsa AAAAB2...19Q== john at example.net
>
> Εγώ προσωπικά δε θα άνοιγα το ``PermitRootLogin'' όμως ακόμα και
> με τέτοιο setup στο ``authorized_keys'' file :(
>   

Σ'ευχαριστώ για την υπόδειξη Γιώργο.

Το ότι δεν θα άνοιγες το root login ούτε με τέτοιο setup είναι απλώς
παράνοια ή  ότι κερδίζεις ασφάλεια επειδή απλώς βάζεις άλλο ένα εμπόδιο
σε αυτόν που κατάφερε ήδη να μπει σαν 'keramida' στο σύστημά σου;

Γ.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 6261 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20071104/1dcfb02c/attachment.bin>

More information about the Linux-greek-users mailing list