[sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 237 bytes --]

Hi,

В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
аутентификация по паролю будет выключена для членов группы wheel.

Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Igor Zubkov]

23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> Hi,
>
> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> аутентификация по паролю будет выключена для членов группы wheel.
>
> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286

И к чему это приведёт? Ну т.е. как было и как станет?

-- 
Igor Zubkov
http://hi.im/ice

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Evgeny Sinelnikov]

23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> Hi,
>
> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> аутентификация по паролю будет выключена для членов группы wheel.
>
> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>

А можно ли добавить в политики по умолчанию, для openssh, обратную
группу? Группу тех, кого пускают. Можно это пробить и руками, через
pam_access:
[mastersin@toiit ~]$ grep pam_access.so /etc/pam.d/sshd
auth     required       pam_access.so accessfile=/etc/security/sshd_access.conf
[mastersin@toiit ~]$ grep -v '^#' /etc/security/sshd_access.conf

- : ALL EXCEPT (remote) : ALL EXCEPT LOCAL

Что вы, по этому поводу, думаете?

-- 
Sin (Sinelnikov Evgeny)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> умолчанию аутентификация по паролю будет выключена для членов
> группы wheel.

При обновлении умолчание изменится по сравнению с предыдущим,
если /etc/openssh/sshd_config не трогался?

> Подробнее об этом см.
> https://bugzilla.altlinux.org/show_bug.cgi?id=17286

По-моему, идея никуда не годится в качестве умолчания, которое
может самопроизвольно поменяться при обновлении дистрибутива
с потенциальным DoS.

Как недефолтный вариант для control, в идеале связанный с control
sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
и сам бы пользовался.

Прошу ещё раз подумать.

2 imz: ты серьёзно хотел разгонять остатки сисадминов? :(

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 517 bytes --]

On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > Hi,
> >
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> > аутентификация по паролю будет выключена для членов группы wheel.
> >
> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> 
> И к чему это приведёт? Ну т.е. как было и как станет?

Сменится умолчание: членов группы wheel перестанут пускать по паролю.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1318 bytes --]

On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > умолчанию аутентификация по паролю будет выключена для членов
> > группы wheel.
> 
> При обновлении умолчание изменится по сравнению с предыдущим,
> если /etc/openssh/sshd_config не трогался?

Да, конечно.

> > Подробнее об этом см.
> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> 
> По-моему, идея никуда не годится в качестве умолчания, которое
> может самопроизвольно поменяться при обновлении дистрибутива
> с потенциальным DoS.

Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
но на всякий случай я это изменение анонсировал.

Лично я PasswordAuthentication на сервере использую исключительно тогда,
когда мне нужно протестировать этот режим работы при подготовке новой
версии openssh.

> Как недефолтный вариант для control, в идеале связанный с control
> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
> и сам бы пользовался.
> 
> Прошу ещё раз подумать.

Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
если бы не наткнулся на компромиссный вариант, описанный в #17286,
то так бы и сделал.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 974 bytes --]

On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> > аутентификация по паролю будет выключена для членов группы wheel.
> >
> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> 
> А можно ли добавить в политики по умолчанию, для openssh, обратную
> группу? Группу тех, кого пускают.

Кого пускают, или у кого пароль спрашивают?
Для первого, вообще говоря, существует AllowUsers/AllowGroups.

Суть анонсированного изменения в усилении действующей по умолчанию защиты
"PermitRootLogin without-password": в дополнении к отключению возможности
удалённого подбора пароля рута теперь отключается возможность удалённого
подбора паролей пользователей, которые, будучи взломанными, открывали бы
возможность прямого локального подбора пароля рута.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Vladislav Zavjalov]

On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > умолчанию аутентификация по паролю будет выключена для членов
> > группы wheel.
> 
> При обновлении умолчание изменится по сравнению с предыдущим,
> если /etc/openssh/sshd_config не трогался?
> 
> > Подробнее об этом см.
> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> 
> По-моему, идея никуда не годится в качестве умолчания, которое
> может самопроизвольно поменяться при обновлении дистрибутива
> с потенциальным DoS.

Может, переходный период с

Match Group weel
  Banner /etc/openssh/weel_warn.txt

?

Слава

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 946 bytes --]

On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > умолчанию аутентификация по паролю будет выключена для членов
> > > группы wheel.
> > 
> > При обновлении умолчание изменится по сравнению с предыдущим,
> > если /etc/openssh/sshd_config не трогался?
> > 
> > > Подробнее об этом см.
> > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > 
> > По-моему, идея никуда не годится в качестве умолчания, которое
> > может самопроизвольно поменяться при обновлении дистрибутива
> > с потенциальным DoS.
> 
> Может, переходный период с
> 
> Match Group weel
>   Banner /etc/openssh/weel_warn.txt

Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
уже выключено.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Vladislav Zavjalov]

On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > группы wheel.
> > > 
> > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > если /etc/openssh/sshd_config не трогался?
> > > 
> > > > Подробнее об этом см.
> > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > 
> > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > может самопроизвольно поменяться при обновлении дистрибутива
> > > с потенциальным DoS.
> > 
> > Может, переходный период с
> > 
> > Match Group weel
> >   Banner /etc/openssh/weel_warn.txt
> 
> Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> уже выключено.
> https://lists.altlinux.org/mailman/listinfo/sisyphus

У кого выключено - конфиг не заменится.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Кокарев Константин]

23.06.2010 03:08, Dmitry V. Levin пишет:
>
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> но на всякий случай я это изменение анонсировал.
>
> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> когда мне нужно протестировать этот режим работы при подготовке новой
> версии openssh.
>    
Между серверами удобно файлики scp перебрасывать - ключик страшно 
оставлять, а лишний юзер для проброса файлов неудобно.

-- 
nwtour

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Evgeny Sinelnikov]

23 июня 2010 г. 3:08 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>> > умолчанию аутентификация по паролю будет выключена для членов
>> > группы wheel.
>>
>> При обновлении умолчание изменится по сравнению с предыдущим,
>> если /etc/openssh/sshd_config не трогался?
>
> Да, конечно.
>
>> > Подробнее об этом см.
>> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> По-моему, идея никуда не годится в качестве умолчания, которое
>> может самопроизвольно поменяться при обновлении дистрибутива
>> с потенциальным DoS.
>
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> но на всякий случай я это изменение анонсировал.
>
> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> когда мне нужно протестировать этот режим работы при подготовке новой
> версии openssh.
>
>> Как недефолтный вариант для control, в идеале связанный с control
>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
>> и сам бы пользовался.
>>
>> Прошу ещё раз подумать.
>
> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> если бы не наткнулся на компромиссный вариант, описанный в #17286,
> то так бы и сделал.
>

У не членов группы wheel тоже немало возможностей сделать плохо. Тем
более, что пароли у таких "не рулящих" пользователей могут быть
неудачно потерянными или даже плохими с большей степенью вероятности,
чем у "рулящих". Как пример неудачной практики, имею опыт получения
бота и усасывющего помегабайтный трафик с пятницы по вторник.

Ну, так что по поводу группы remote и политики "кому можно" думается?

Я думаю, что стоит добавить:
а) политику "кому можно" по группе, например remote;
б) политику по качеству пароля на auth.

Как сделать б) я пока не знаю (не пробовал достаточно активно, чтобы
получилось), но тоже очень бы хотел.

Группа remote покрывает больше рабочих сценариев, чем просто "по
ключам". Мало ли у кого ключи лежат, по старой памяти...

Я вижу такие сценарии:
1) Новый.
- члены группы wheel "ходят" только по ключам;
- остальные, как хотят.
2) Мой текущий.
- "ходят" только члены группы remote;
- остальные "не ходят".
3) Гибридный первый.
- "ходят" только члены группы remote;

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1437 bytes --]

On Wed, Jun 23, 2010 at 03:22:16AM +0400, Vladislav Zavjalov wrote:
> On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> > On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > группы wheel.
> > > > 
> > > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > > если /etc/openssh/sshd_config не трогался?
> > > > 
> > > > > Подробнее об этом см.
> > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > > 
> > > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > > может самопроизвольно поменяться при обновлении дистрибутива
> > > > с потенциальным DoS.
> > > 
> > > Может, переходный период с
> > > 
> > > Match Group weel
> > >   Banner /etc/openssh/weel_warn.txt
> > 
> > Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> > уже выключено.
> > https://lists.altlinux.org/mailman/listinfo/sisyphus
> 
> У кого выключено - конфиг не заменится.

Да, пожалуй что у них будет sshd_config.rpmnew; давайте быстренько сочиним
текст для баннера, пока openssh-server-5.3p1-alt2 ещё не добрался до ftp.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 662 bytes --]

On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
> 23.06.2010 03:08, Dmitry V. Levin пишет:
> >
> >Я не верю, что кто-то ещё сознательно 
> >использует PasswordAuthentication,
> >но на всякий случай я это изменение 
> >анонсировал.
> >
> >Лично я PasswordAuthentication на сервере 
> >использую исключительно тогда,
> >когда мне нужно протестировать этот 
> >режим работы при подготовке новой
> >версии openssh.
> >   
> Между серверами удобно файлики scp 
> перебрасывать - ключик страшно 
> оставлять, а лишний юзер для проброса 
> файлов неудобно.

AgentForwarding в сочетании с "ssh-add -c" тоже страшно?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 3153 bytes --]

On Wed, Jun 23, 2010 at 03:32:46AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 3:08 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> >> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> >> > умолчанию аутентификация по паролю будет выключена для членов
> >> > группы wheel.
> >>
> >> При обновлении умолчание изменится по сравнению с предыдущим,
> >> если /etc/openssh/sshd_config не трогался?
> >
> > Да, конечно.
> >
> >> > Подробнее об этом см.
> >> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>
> >> По-моему, идея никуда не годится в качестве умолчания, которое
> >> может самопроизвольно поменяться при обновлении дистрибутива
> >> с потенциальным DoS.
> >
> > Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> > но на всякий случай я это изменение анонсировал.
> >
> > Лично я PasswordAuthentication на сервере использую исключительно тогда,
> > когда мне нужно протестировать этот режим работы при подготовке новой
> > версии openssh.
> >
> >> Как недефолтный вариант для control, в идеале связанный с control
> >> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
> >> и сам бы пользовался.
> >>
> >> Прошу ещё раз подумать.
> >
> > Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> > если бы не наткнулся на компромиссный вариант, описанный в #17286,
> > то так бы и сделал.
> >
> 
> У не членов группы wheel тоже немало возможностей сделать плохо. Тем
> более, что пароли у таких "не рулящих" пользователей могут быть
> неудачно потерянными или даже плохими с большей степенью вероятности,
> чем у "рулящих". Как пример неудачной практики, имею опыт получения
> бота и усасывющего помегабайтный трафик с пятницы по вторник.
> 
> Ну, так что по поводу группы remote и политики "кому можно" думается?
> 
> Я думаю, что стоит добавить:
> а) политику "кому можно" по группе, например remote;
> б) политику по качеству пароля на auth.
> 
> Как сделать б) я пока не знаю (не пробовал достаточно активно, чтобы
> получилось), но тоже очень бы хотел.
> 
> Группа remote покрывает больше рабочих сценариев, чем просто "по
> ключам". Мало ли у кого ключи лежат, по старой памяти...
> 
> Я вижу такие сценарии:
> 1) Новый.
> - члены группы wheel "ходят" только по ключам;
> - остальные, как хотят.
> 2) Мой текущий.
> - "ходят" только члены группы remote;
> - остальные "не ходят".
> 3) Гибридный первый.
> - "ходят" только члены группы remote;

У меня самый распространённый сценарий вида
PasswordAuthentication no
AllowGroups wheel users
(доступ имеют только члены групп wheel и users и только по ключам)
отличается от перечисленных вами.

Вообще, осмысленных сценариев может быть великое множество, я бы не пытался
засунуть их всех в конфиг.

Можно нарисовать какие-нибудь
control sshd-password-auth enabled|disabled|nonwheel
control sshd-allow-groups enabled|disabled|имя_группы
но я не уверен, что оно того стоит.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Vladislav Zavjalov]

On Wed, Jun 23, 2010 at 03:33:16AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 03:22:16AM +0400, Vladislav Zavjalov wrote:
> > On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > > > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > > группы wheel.
> > > > > 
> > > > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > > > если /etc/openssh/sshd_config не трогался?
> > > > > 
> > > > > > Подробнее об этом см.
> > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > > > 
> > > > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > > > может самопроизвольно поменяться при обновлении дистрибутива
> > > > > с потенциальным DoS.
> > > > 
> > > > Может, переходный период с
> > > > 
> > > > Match Group weel
> > > >   Banner /etc/openssh/weel_warn.txt
> > > 
> > > Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> > > уже выключено.
> > > https://lists.altlinux.org/mailman/listinfo/sisyphus
> > 
> > У кого выключено - конфиг не заменится.
> 
> Да, пожалуй что у них будет sshd_config.rpmnew; давайте быстренько сочиним
> текст для баннера, пока openssh-server-5.3p1-alt2 ещё не добрался до ftp.

Может быть, что-то такое (в переводе на английский, разумеется)?

Внимание! Вы входите в группу wheel на этом компьютере. В дефолтной
конфигурации ssh-сервера аутентификация по паролю для этой группы
будет отключена в ближайшее время.
Убедитесь, что вы сможете использовать аутентификацию по ключу, или же
измените конфигурацию ssh-сервера подходящим вам образом.

Еще можно дать ссылку на это обсуждение, или на bugzilla, или на wiki,
туда, где будут простым русским языкм написаны более подробные рецепты (типа
"если вы ничего не хотите менять - просто удалите в кофиге строчки с
Match и Banner")

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Evgeny Sinelnikov]

Что-то как-то порвалось сообщение.

23 июня 2010 г. 3:32 пользователь Evgeny Sinelnikov <sin@altlinux.ru> написал:
> 23 июня 2010 г. 3:08 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>>> > умолчанию аутентификация по паролю будет выключена для членов
>>> > группы wheel.
>>>
>>> При обновлении умолчание изменится по сравнению с предыдущим,
>>> если /etc/openssh/sshd_config не трогался?
>>
>> Да, конечно.
>>
>>> > Подробнее об этом см.
>>> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>>
>>> По-моему, идея никуда не годится в качестве умолчания, которое
>>> может самопроизвольно поменяться при обновлении дистрибутива
>>> с потенциальным DoS.
>>
>> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
>> но на всякий случай я это изменение анонсировал.
>>
>> Лично я PasswordAuthentication на сервере использую исключительно тогда,
>> когда мне нужно протестировать этот режим работы при подготовке новой
>> версии openssh.
>>
>>> Как недефолтный вариант для control, в идеале связанный с control
>>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
>>> и сам бы пользовался.
>>>
>>> Прошу ещё раз подумать.
>>
>> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
>> если бы не наткнулся на компромиссный вариант, описанный в #17286,
>> то так бы и сделал.
>>

У не членов группы wheel тоже немало возможностей сделать плохо. Тем
более, что пароли у таких "не рулящих" пользователей могут быть
неудачно потерянными или даже плохими с большей степенью вероятности,
чем у "рулящих". Как пример неудачной практики, имею опыт получения
бота и усасывющего помегабайтный трафик с пятницы по вторник.

Ну, так что по поводу группы remote и политики "кому можно" думается?

Я думаю, что стоит добавить:
а) политику "кому можно" по группе, например remote;
б) политику по качеству пароля на auth.

Как сделать б) я пока не знаю (не пробовал достаточно активно, чтобы
получилось), но тоже очень бы хотел.

Группа remote покрывает больше рабочих сценариев, чем просто "по
ключам". Мало ли у кого ключи лежат, по старой памяти...

Я вижу такие сценарии:
1) Новый.
- члены группы wheel "ходят" только по ключам;
- остальные, как хотят.
2) Мой текущий.
- "ходят" только члены группы remote;
- остальные "не ходят".
3) Гибридный первый.
- "ходят" только члены группы remote;
- члены группы wheel "ходят" только по ключам и только, если они в
группе remote;
- остальные "не ходят".
4) Гибридный второй.
- "ходят" только члены группы remote и группы wheel, но последние
только по ключам;
- остальные "не ходят".

Отвечаю сразу и на второе письмо:

23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
>> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> >
>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>> > аутентификация по паролю будет выключена для членов группы wheel.
>> >
>> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> А можно ли добавить в политики по умолчанию, для openssh, обратную
>> группу? Группу тех, кого пускают.
>
> Кого пускают, или у кого пароль спрашивают?

Кого не пускают кроме...
Сценарий 2.

> Для первого, вообще говоря, существует AllowUsers/AllowGroups.

Так по-лучше, но могут ли эти опции пускать только из этих групп, а
других не пускать?
 AllowGroupsOnly ?

> Суть анонсированного изменения в усилении действующей по умолчанию защиты
> "PermitRootLogin without-password": в дополнении к отключению возможности
> удалённого подбора пароля рута теперь отключается возможность удалённого
> подбора паролей пользователей, которые, будучи взломанными, открывали бы
> возможность прямого локального подбора пароля рута.
>

Хотелось бы  быть защищённым не только от "удалённого подбора паролей
пользователей, которые, будучи взломанными, открывали бы возможность
прямого локального подбора пароля рута", но и вообще от подбора
паролей не доверенных пользователей.

Кроме того, по группе, удобнее отслеживать и администрировать, тех кто
может "ходить" удалённо.

-- 
Sin (Sinelnikov Evgeny)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1793 bytes --]

On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> >
> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >> > аутентификация по паролю будет выключена для членов группы wheel.
> >> >
> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>
> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
> >> группу? Группу тех, кого пускают.
> >
> > Кого пускают, или у кого пароль спрашивают?
> 
> Кого не пускают кроме...
> Сценарий 2.
> 
> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
> 
> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
> других не пускать?

Не понял, не пускать пользователей, которые входят не только в эти группы?
Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).

> > Суть анонсированного изменения в усилении действующей по умолчанию защиты
> > "PermitRootLogin without-password": в дополнении к отключению возможности
> > удалённого подбора пароля рута теперь отключается возможность удалённого
> > подбора паролей пользователей, которые, будучи взломанными, открывали бы
> > возможность прямого локального подбора пароля рута.
> >
> 
> Хотелось бы  быть защищённым не только от "удалённого подбора паролей
> пользователей, которые, будучи взломанными, открывали бы возможность
> прямого локального подбора пароля рута", но и вообще от подбора
> паролей не доверенных пользователей.

Тогда пароли доверенных пользователей станут особенно уязвимыми.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Evgeny Sinelnikov]

23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
>> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
>> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> >> >
>> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>> >> > аутентификация по паролю будет выключена для членов группы wheel.
>> >> >
>> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>> >>
>> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
>> >> группу? Группу тех, кого пускают.
>> >
>> > Кого пускают, или у кого пароль спрашивают?
>>
>> Кого не пускают кроме...
>> Сценарий 2.
>>
>> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
>>
>> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
>> других не пускать?
>
> Не понял, не пускать пользователей, которые входят не только в эти группы?
> Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
>

Нужно, чтобы всех пользователей, которые не входят в заданную группу,
например remote, не пускали. Как это сделать с помощью sshd_config?
Пример, с pam_access, я приводил.

>> > Суть анонсированного изменения в усилении действующей по умолчанию защиты
>> > "PermitRootLogin without-password": в дополнении к отключению возможности
>> > удалённого подбора пароля рута теперь отключается возможность удалённого
>> > подбора паролей пользователей, которые, будучи взломанными, открывали бы
>> > возможность прямого локального подбора пароля рута.
>> >
>>
>> Хотелось бы  быть защищённым не только от "удалённого подбора паролей
>> пользователей, которые, будучи взломанными, открывали бы возможность
>> прямого локального подбора пароля рута", но и вообще от подбора
>> паролей не доверенных пользователей.
>
> Тогда пароли доверенных пользователей станут особенно уязвимыми.
>

Ну, так сейчас, для всех, кто не wheel, эти пароли уязвимы, а среди
них могут попасться с плохими паролями. Нужно, конечно, за этим
следить. Но безопаснее всех подряд, по сети, не пускать.

Я полагаю, что вы рассматриваете только один сценарий работы системы -
сервер с локальными пользователями. Сценарий, когда система
используется ещё и для локальной работы пользователями, которые не
должны иметь доступа по сети, не рассматривается. Обычный десктоп тоже
не рассматривается.

Да, для сервера лучше сделать по ключам для группы wheel, а других
юзеров, если им не нужно заходить удалённо, вообще лучше не создавать.

Но и у сервера есть трещина, если испольуется LDAP+krb5, например. В
этом случае, нельзя точно знать какие пользователи есть. А всех
пускать - это роскошь. Так что группа, по моему, просто необходима.


-- 
Sin (Sinelnikov Evgeny)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1486 bytes --]

On Wed, Jun 23, 2010 at 04:17:20AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> >> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> >> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> >> >
> >> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >> >> > аутентификация по паролю будет выключена для членов группы wheel.
> >> >> >
> >> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >> >>
> >> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
> >> >> группу? Группу тех, кого пускают.
> >> >
> >> > Кого пускают, или у кого пароль спрашивают?
> >>
> >> Кого не пускают кроме...
> >> Сценарий 2.
> >>
> >> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
> >>
> >> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
> >> других не пускать?
> >
> > Не понял, не пускать пользователей, которые входят не только в эти группы?
> > Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
> >
> Нужно, чтобы всех пользователей, которые не входят в заданную группу,
> например remote, не пускали. Как это сделать с помощью sshd_config?

AllowGroups remote


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1690 bytes --]

On Wed, Jun 23, 2010 at 03:33:16AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 03:22:16AM +0400, Vladislav Zavjalov wrote:
> > On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > > > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > > группы wheel.
> > > > > 
> > > > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > > > если /etc/openssh/sshd_config не трогался?
> > > > > 
> > > > > > Подробнее об этом см.
> > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > > > 
> > > > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > > > может самопроизвольно поменяться при обновлении дистрибутива
> > > > > с потенциальным DoS.
> > > > 
> > > > Может, переходный период с
> > > > 
> > > > Match Group weel
> > > >   Banner /etc/openssh/weel_warn.txt
> > > 
> > > Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> > > уже выключено.
> > > https://lists.altlinux.org/mailman/listinfo/sisyphus
> > 
> > У кого выключено - конфиг не заменится.
> 
> Да, пожалуй что у них будет sshd_config.rpmnew; давайте быстренько сочиним
> текст для баннера, пока openssh-server-5.3p1-alt2 ещё не добрался до ftp.

Нет, Banner не годится, потому что текст показывается перед
аутентификацией, а это уже существенная утечка информации.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Evgeny Sinelnikov]

23 июня 2010 г. 4:19 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> On Wed, Jun 23, 2010 at 04:17:20AM +0400, Evgeny Sinelnikov wrote:
>> 23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> > On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
>> >> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> >> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
>> >> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> >> >> >
>> >> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>> >> >> > аутентификация по паролю будет выключена для членов группы wheel.
>> >> >> >
>> >> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>> >> >>
>> >> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
>> >> >> группу? Группу тех, кого пускают.
>> >> >
>> >> > Кого пускают, или у кого пароль спрашивают?
>> >>
>> >> Кого не пускают кроме...
>> >> Сценарий 2.
>> >>
>> >> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
>> >>
>> >> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
>> >> других не пускать?
>> >
>> > Не понял, не пускать пользователей, которые входят не только в эти группы?
>> > Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
>> >
>> Нужно, чтобы всех пользователей, которые не входят в заданную группу,
>> например remote, не пускали. Как это сделать с помощью sshd_config?
>
> AllowGroups remote

Отлично, а можно эту строку добавить в конфиг, по умолчанию? ;)
Полагаю, что ответ нет, поскольку это точно подстава при обновлении.

Лучше, бы это через control, прикрутить....... Но у нас ведь нет
/etc/openssh/sshd_config.d/, чтобы настройки добавлять, без
необходимости парсинга всего файла ?

Хотя можно и весь файл парсить... Но тяжкое это занятие...

-- 
Sin (Sinelnikov Evgeny)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 3661 bytes --]

On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> Что-то как-то порвалось сообщение.
> 
> 23 июня 2010 г. 3:32 пользователь Evgeny Sinelnikov <sin@altlinux.ru> написал:
> > 23 июня 2010 г. 3:08 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> >>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> >>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> >>> > умолчанию аутентификация по паролю будет выключена для членов
> >>> > группы wheel.
> >>>
> >>> При обновлении умолчание изменится по сравнению с предыдущим,
> >>> если /etc/openssh/sshd_config не трогался?
> >>
> >> Да, конечно.
> >>
> >>> > Подробнее об этом см.
> >>> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>>
> >>> По-моему, идея никуда не годится в качестве умолчания, которое
> >>> может самопроизвольно поменяться при обновлении дистрибутива
> >>> с потенциальным DoS.
> >>
> >> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> >> но на всякий случай я это изменение анонсировал.
> >>
> >> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> >> когда мне нужно протестировать этот режим работы при подготовке новой
> >> версии openssh.
> >>
> >>> Как недефолтный вариант для control, в идеале связанный с control
> >>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
> >>> и сам бы пользовался.
> >>>
> >>> Прошу ещё раз подумать.
> >>
> >> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> >> если бы не наткнулся на компромиссный вариант, описанный в #17286,
> >> то так бы и сделал.
> >>
> 
> У не членов группы wheel тоже немало возможностей сделать плохо. Тем
> более, что пароли у таких "не рулящих" пользователей могут быть
> неудачно потерянными или даже плохими с большей степенью вероятности,
> чем у "рулящих". Как пример неудачной практики, имею опыт получения
> бота и усасывющего помегабайтный трафик с пятницы по вторник.
> 
> Ну, так что по поводу группы remote и политики "кому можно" думается?
> 
> Я думаю, что стоит добавить:
> а) политику "кому можно" по группе, например remote;
> б) политику по качеству пароля на auth.
> 
> Как сделать б) я пока не знаю (не пробовал достаточно активно, чтобы
> получилось), но тоже очень бы хотел.
> 
> Группа remote покрывает больше рабочих сценариев, чем просто "по
> ключам". Мало ли у кого ключи лежат, по старой памяти...
> 
> Я вижу такие сценарии:
> 1) Новый.
> - члены группы wheel "ходят" только по ключам;
> - остальные, как хотят.

Это ровно то, что реализовано в openssh-server-5.3p1-alt2.

> 2) Мой текущий.
> - "ходят" только члены группы remote;
> - остальные "не ходят".

Это просто AllowGroups remote.

> 3) Гибридный первый.
> - "ходят" только члены группы remote;
> - члены группы wheel "ходят" только по ключам и только, если они в
> группе remote;
> - остальные "не ходят".

Это просто AllowGroups remote в сочетании с реализованным в
openssh-server-5.3p1-alt2 отключением PasswordAuthentication для членов
группы wheel.

> 4) Гибридный второй.
> - "ходят" только члены группы remote и группы wheel, но последние
> только по ключам;
> - остальные "не ходят".

Это просто AllowGroups remote wheel в сочетании с реализованным в
openssh-server-5.3p1-alt2...

Собственно говоря, вы предлагаете по умолчанию сделать ещё и
AllowGroups имена_групп_в_которые_будут_входить_те_кого_можно_пускать?

Будет непросто придумать имена таких групп, которые бы устроили всех
заинтересованных.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2509 bytes --]

On Wed, Jun 23, 2010 at 04:34:28AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 4:19 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 04:17:20AM +0400, Evgeny Sinelnikov wrote:
> >> 23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> > On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> >> >> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> >> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> >> >> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> >> >> >
> >> >> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >> >> >> > аутентификация по паролю будет выключена для членов группы wheel.
> >> >> >> >
> >> >> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >> >> >>
> >> >> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
> >> >> >> группу? Группу тех, кого пускают.
> >> >> >
> >> >> > Кого пускают, или у кого пароль спрашивают?
> >> >>
> >> >> Кого не пускают кроме...
> >> >> Сценарий 2.
> >> >>
> >> >> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
> >> >>
> >> >> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
> >> >> других не пускать?
> >> >
> >> > Не понял, не пускать пользователей, которые входят не только в эти группы?
> >> > Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
> >> >
> >> Нужно, чтобы всех пользователей, которые не входят в заданную группу,
> >> например remote, не пускали. Как это сделать с помощью sshd_config?
> >
> > AllowGroups remote
> 
> Отлично, а можно эту строку добавить в конфиг, по умолчанию? ;)
> Полагаю, что ответ нет, поскольку это точно подстава при обновлении.

Миша утверждает, что даже "PasswordAuthentication no" для группы wheel --
это DoS (хотя я примерил это изменение на себя, и мне так не кажется).
А подобное изменение ввиду низкой вероятности существования группы remote
было бы эквивалентно выключению sshd.

> Лучше, бы это через control, прикрутить....... Но у нас ведь нет
> /etc/openssh/sshd_config.d/, чтобы настройки добавлять, без
> необходимости парсинга всего файла ?

А у кого есть такое, и как оно работает?

> Хотя можно и весь файл парсить... Но тяжкое это занятие...

Одну строчку в этом файле несложно парсить, см. напр.
/etc/control.d/facilities/sftp


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Кокарев Константин]

23.06.2010 03:35, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
>    
>> 23.06.2010 03:08, Dmitry V. Levin пишет:
>>      
>>> Я не верю, что кто-то ещё сознательно
>>> использует PasswordAuthentication,
>>> но на всякий случай я это изменение
>>> анонсировал.
>>>
>>> Лично я PasswordAuthentication на сервере
>>> использую исключительно тогда,
>>> когда мне нужно протестировать этот
>>> режим работы при подготовке новой
>>> версии openssh.
>>>
>>>        
>> Между серверами удобно файлики scp
>> перебрасывать - ключик страшно
>> оставлять, а лишний юзер для проброса
>> файлов неудобно.
>>      
> AgentForwarding в сочетании с "ssh-add -c" тоже страшно?
>
>
>    
Спасибо не знал. Мне подходит.

p.s. Жаль теперь при установке два раза придется бегать от серверной к 
компу вместо одного :) А в остальном положительно.

-- 
nwtour

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1058 bytes --]

On Wed, Jun 23, 2010 at 04:48:15AM +0400, Кокарев Константин wrote:
> 23.06.2010 03:35, Dmitry V. Levin пишет:
> >On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
> >   
> >>23.06.2010 03:08, Dmitry V. Levin пишет:
> >>     
> >>>Я не верю, что кто-то ещё сознательно
> >>>использует PasswordAuthentication,
> >>>но на всякий случай я это изменение
> >>>анонсировал.
> >>>
> >>>Лично я PasswordAuthentication на сервере
> >>>использую исключительно тогда,
> >>>когда мне нужно протестировать этот
> >>>режим работы при подготовке новой
> >>>версии openssh.
> >>>
> >>>       
> >>Между серверами удобно файлики scp
> >>перебрасывать - ключик страшно
> >>оставлять, а лишний юзер для проброса
> >>файлов неудобно.
> >>     
> >AgentForwarding в сочетании с "ssh-add -c" тоже 
> >страшно?
> >   
> Спасибо не знал. Мне подходит.
> 
> p.s. Жаль теперь при установке два раза 
> придется бегать от серверной к компу 
> вместо одного :) А в остальном 
> положительно.

Это как-то связано с sshd?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Кокарев Константин]

23.06.2010 04:52, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 04:48:15AM +0400, Кокарев Константин wrote:
>    
>> 23.06.2010 03:35, Dmitry V. Levin пишет:
>>      
>>> On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
>>>
>>>        
>>>> 23.06.2010 03:08, Dmitry V. Levin пишет:
>>>>
>>>>          
>>>>> Я не верю, что кто-то ещё сознательно
>>>>> использует PasswordAuthentication,
>>>>> но на всякий случай я это изменение
>>>>> анонсировал.
>>>>>
>>>>> Лично я PasswordAuthentication на сервере
>>>>> использую исключительно тогда,
>>>>> когда мне нужно протестировать этот
>>>>> режим работы при подготовке новой
>>>>> версии openssh.
>>>>>
>>>>>
>>>>>            
>>>> Между серверами удобно файлики scp
>>>> перебрасывать - ключик страшно
>>>> оставлять, а лишний юзер для проброса
>>>> файлов неудобно.
>>>>
>>>>          
>>> AgentForwarding в сочетании с "ssh-add -c" тоже
>>> страшно?
>>>
>>>        
>> Спасибо не знал. Мне подходит.
>>
>> p.s. Жаль теперь при установке два раза
>> придется бегать от серверной к компу
>> вместо одного :) А в остальном
>> положительно.
>>      
> Это как-то связано с sshd?
>
>    
>
На сервере создаем админского юзера ->
Идем по сети бросаем ~/.ssh/authorized_keys ->
На сервере добавляем его в wheel

Сразу ведь его в wheel добавить нельзя, иначе ключ забросить не получится.

-- 
nwtour

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1112 bytes --]

On Wed, Jun 23, 2010 at 05:02:20AM +0400, Кокарев Константин wrote:
> 23.06.2010 04:52, Dmitry V. Levin пишет:
> >On Wed, Jun 23, 2010 at 04:48:15AM +0400, Кокарев Константин wrote:
> >>23.06.2010 03:35, Dmitry V. Levin пишет:
> >>>On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
[...]
> >>>>Между серверами удобно файлики scp
> >>>>перебрасывать - ключик страшно
> >>>>оставлять, а лишний юзер для проброса
> >>>>файлов неудобно.
> >>>>         
> >>>AgentForwarding в сочетании с "ssh-add -c" тоже
> >>>страшно?
> >>>       
> >>Спасибо не знал. Мне подходит.
> >>
> >>p.s. Жаль теперь при установке два раза
> >>придется бегать от серверной к компу
> >>вместо одного :) А в остальном
> >>положительно.
> >>     
> >Это как-то связано с sshd?
> >
> На сервере создаем админского юзера ->
> Идем по сети бросаем ~/.ssh/authorized_keys ->
> На сервере добавляем его в wheel
> 
> Сразу ведь его в wheel добавить нельзя, 
> иначе ключ забросить не получится.

Ключ можно установить прямо на сервере, скопировав его, например,
с другого сервера. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Кокарев Константин]

23.06.2010 05:14, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 05:02:20AM +0400, Кокарев Константин wrote:
>    
>>
>> На сервере создаем админского юзера ->
>> Идем по сети бросаем ~/.ssh/authorized_keys ->
>> На сервере добавляем его в wheel
>>
>> Сразу ведь его в wheel добавить нельзя,
>> иначе ключ забросить не получится.
>>      
> Ключ можно установить прямо на сервере, скопировав его, например,
> с другого сервера. :)
>
>    
Скопировать его с другого сервера не удастся ибо на других серверах она 
тоже в /home у пользователя в группе wheel к которому по паролю не 
войти. А ключа к ним на новой системе нет по определению. Подойдет 
только заранее запланированое место (spool) - о нем как обычно забываешь.
В последней версии вроде первоначальная настройка через веб-морду 
делается, неплохо бы туда добавить функционал добавления ключика к 
пользователю (такого не заметил).
Было бы шоколадно.

-- 
nwtour

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Sergey]

On Wednesday 23 June 2010, Dmitry V. Levin wrote:

> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
 
Мне кажется, тут лучше было бы подойти с другой стороны:
https://bugzilla.altlinux.org/show_bug.cgi?id=11669

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

--- краткая версия ---

On Wed, Jun 23, 2010 at 03:45:23AM +0400, Dmitry V. Levin wrote:
> Можно нарисовать какие-нибудь
> control sshd-password-auth enabled|disabled|nonwheel
> control sshd-allow-groups enabled|disabled|имя_группы
> но я не уверен, что оно того стоит.

Стоит.  Это local policy decision, а такие вещи нельзя решать
за местного администратора, можно только дать ему ручки в руки
и объяснить, почему напрягались и делали именно так.


     сперва образование,
     потом технология.

Иначе с ишака на истребитель и носом в землю, как на югах бывало.


--- традиционное долгое нытьё ---

On Wed, Jun 23, 2010 at 03:08:57AM +0400, Dmitry V. Levin wrote:
> > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > умолчанию аутентификация по паролю будет выключена для членов
> > > группы wheel.
> > При обновлении умолчание изменится по сравнению с предыдущим,
> > если /etc/openssh/sshd_config не трогался?
> Да, конечно.

Хм, тогда не понял -- до обновления:

# rpm -V openssh-server
#

После:

root@pad ~ # rpm -q --lastchange openssh-server
* Wed Jun 23 2010 Dmitry V. Levin <ldv@altlinux> 5.3p1-alt2
- Enabled sftp by default.
- /etc/pam.d/sshd: Changed to use common-login.
- sshd_config: Disabled PasswordAuthentication for "wheel" group
  members (imz@; closes: #17286).
root@pad ~ # vim /etc/openssh/sshd_config.rpmnew
root@pad ~ # fgrep wheel /etc/pam.d/sshd* /etc/openssh/sshd_config*
/etc/openssh/sshd_config.rpmnew:Match Group wheel

Почему образовался .rpmnew? :)

> > > Подробнее об этом см.
> > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > По-моему, идея никуда не годится в качестве умолчания, которое
> > может самопроизвольно поменяться при обновлении дистрибутива
> > с потенциальным DoS.
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,

А спросить на всякий случай в sysadmins@ -- сложно?

> но на всякий случай я это изменение анонсировал.

И на том спасибо.

> Лично я PasswordAuthentication на сервере использую
> исключительно тогда, когда мне нужно протестировать этот режим
> работы при подготовке новой версии openssh.
> > Прошу ещё раз подумать.
> Я вообще собирался выключить PasswordAuthentication по
> умолчанию, и, если бы не наткнулся на компромиссный вариант,
> описанный в #17286, то так бы и сделал.

Дим, у меня в третий раз ощущение, что с дистрибутивом,
где _так_ делаются _такие_ решения, мне не по дороге.
Пожалуйста, подумай ещё раз -- это LDV Linux или ALT Linux.
И для кого/чего делаются дистрибутивы, помимо обобщения своих
собственных задач.

Давай сделаем метарубильник в виде control security ldv,
который повернёт стопку гаек в закрученное до упора положение.

В частности, если примешь -- могу попробовать нарисовать control
для обсуждаемого поведения, но в качестве умолчания настаиваю на
возможности использовать парольную авторизацию -- или же написать
_сперва_ на всех углах, что в альте и это не работает во имя
блага пользователя, которого он обычно не осознаёт.


On Wed, Jun 23, 2010 at 03:45:23AM +0400, Dmitry V. Levin wrote:
> У меня самый распространённый сценарий вида
> PasswordAuthentication no
> AllowGroups wheel users
> (доступ имеют только члены групп wheel и users и только по ключам)
> отличается от перечисленных вами.
> 
> Вообще, осмысленных сценариев может быть великое множество,
> я бы не пытался засунуть их всех в конфиг.

Ну твой я бы подумал взять на вооружение, только лучше не явочным
порядком, а всё-таки осознанно.

Дистрибутив всё-таки -- в том числе и набор удобных шаблонов
на базе опыта создававших его людей, но есть же разница между
предложением резонного и навязыванием неожиданного.


On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> Хотелось бы  быть защищённым не только от "удалённого подбора
> паролей пользователей, которые, будучи взломанными, открывали
> бы возможность прямого локального подбора пароля рута", но и
> вообще от подбора паролей не доверенных пользователей.
> 
> Кроме того, по группе, удобнее отслеживать и администрировать,
> тех кто может "ходить" удалённо.

Полностью согласен.  Но описать то, как тебе или мне на машинку
с пользовательскими аккаунтами, _позже_ выставленную :22 в инет,
повесили бота, _и_ какие действия мы по обнаружении сего факта
предприняли -- это одно, а попытаться переставить мебель в чужой
комнате -- это другое.


On Wed, Jun 23, 2010 at 04:47:03AM +0400, Dmitry V. Levin wrote:
> > > AllowGroups remote
> > Отлично, а можно эту строку добавить в конфиг, по умолчанию? ;)
> > Полагаю, что ответ нет, поскольку это точно подстава при обновлении.
> Миша утверждает, что даже "PasswordAuthentication no" для группы wheel --
> это DoS (хотя я примерил это изменение на себя, и мне так не кажется).

У тебя выполняются недистрибутивные условия -- сгенерированы
_и_ разложены ключи.

Если бы была возможна сколь-нибудь надёжная проверка, что хотя бы
один пользователь в группе wheel имеет публичный ключ хотя бы в
дефолтном месте... первым приближением может послужить
приложенный скрипт, но он тоже 80%, а не 100%.

Собсно напоминаю типичный use case с Server 4.0+ -- первый
созданный пользователь попадает в группу wheel без своего участия
помимо использования инсталятора и введения логина-пароля, при
этом ни создать ключик (объяснив, зачем и как пользоваться),
ни предупредить -- ничего этого не было и сейчас тоже нет.

Если ты будешь навязывать ключи людям, то мой прогноз --
будут они повально беспарольными.  Потому как неосознанно
у тех, кого угораздит:

- выбрать альт
- взгромоздить на своё железо
- поднять свои задачи
- добраться до причины, по которой ssh+su "не работает"

> А подобное изменение ввиду низкой вероятности существования
> группы remote было бы эквивалентно выключению sshd.

Именно.

"Тогда уж и на другой порт сразу пересаживайте" почти (c)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

[-- Attachment #1.1: Type: text/plain, Size: 421 bytes --]

On Wed, Jun 23, 2010 at 10:53:37AM +0300, I wrote:
> Если бы была возможна сколь-нибудь надёжная проверка, что хотя бы
> один пользователь в группе wheel имеет публичный ключ хотя бы в
> дефолтном месте... первым приближением может послужить
> приложенный скрипт, но он тоже 80%, а не 100%.

Забыл, исправляюсь.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: sshd-wheel-test.sh --]
[-- Type: application/x-sh, Size: 454 bytes --]

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Андрей Черепанов]

23 июня 2010 Dmitry V. Levin написал:
> On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> > 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > > Hi,
> > > 
> > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> > > аутентификация по паролю будет выключена для членов группы wheel.
> > > 
> > > Подробнее об этом см.
> > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > 
> > И к чему это приведёт? Ну т.е. как было и как станет?
> 
> Сменится умолчание: членов группы wheel перестанут пускать по паролю.
То есть ssh для первого заведённого пользователя будет недоступен. /то 
означает, что удалённо администрировать свежепоставленную ОС становится 
невозможно, использовать nx на этой системе становится невозможно (зная 
квалификацию подобных целевых пользователей.

IMHO, крайне спорный шаг, усугубляющий текущее и без того крайне несовместимое 
и неудобную модель по безопасности. Фактически мы отрываем ручки, не предлагая 
дешёвого способа исправить ситуацию.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Алексей Шенцев]

23.06.2010 12:08, Андрей Черепанов пишет:
> 23 июня 2010 Dmitry V. Levin написал:
>   
>> On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
>>     
>>> 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
>>>       
>>>> Hi,
>>>>
>>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>>>> аутентификация по паролю будет выключена для членов группы wheel.
>>>>
>>>> Подробнее об этом см.
>>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>>>         
>>> И к чему это приведёт? Ну т.е. как было и как станет?
>>>       
>> Сменится умолчание: членов группы wheel перестанут пускать по паролю.
>>     
> То есть ssh для первого заведённого пользователя будет недоступен. /то 
> означает, что удалённо администрировать свежепоставленную ОС становится 
> невозможно, 
Выходит так.
> использовать nx на этой системе становится невозможно (зная 
> квалификацию подобных целевых пользователей.
>   
id nx
uid=117(nx) gid=61(nx) группы=61(nx)

Как я вижу nx не входит в группу wheel.
Т.е. это его не касается.
Или я не правильно понимаю?

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 365 bytes --]

On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> То есть ssh для первого заведённого пользователя будет недоступен. /то 
> означает, что удалённо администрировать свежепоставленную ОС становится 
> невозможно,
Ключики можно добавлять через альтератор.  Удалённо.

-- 
Regards,    --
Sir Raorn.   --- http://thousandsofhate.blogspot.com/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Андрей Черепанов]

23 июня 2010 Dmitry V. Levin написал:
> Это просто AllowGroups remote wheel в сочетании с реализованным в
> openssh-server-5.3p1-alt2...
> 
> Собственно говоря, вы предлагаете по умолчанию сделать ещё и
> AllowGroups имена_групп_в_которые_будут_входить_те_кого_можно_пускать?
Кстати, весьма дельная идея и максимально понятная.

> Будет непросто придумать имена таких групп, которые бы устроили всех
> заинтересованных.
Дима, а как в других дистрибутивах? Проводилось сравнение и анализ? Или у нас 
снова свои велосипеды?

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Андрей Черепанов]

23 июня 2010 Alexey I. Froloff написал:
> On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> > То есть ssh для первого заведённого пользователя будет недоступен. /то
> > означает, что удалённо администрировать свежепоставленную ОС становится
> > невозможно,
> 
> Ключики можно добавлять через альтератор.  Удалённо.
А на десктопных машинах? Я имел ввиду помощь в установке обычных десктопных 
ОС.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

[sisyphus] [JT] quests (was: I: openssh-server-5.3p1-alt2)

[Michael Shigorin]

On Wed, Jun 23, 2010 at 12:13:20PM +0400, Alexey I. Froloff wrote:
> > То есть ssh для первого заведённого пользователя будет
> > недоступен. /то означает, что удалённо администрировать
> > свежепоставленную ОС становится невозможно,
> Ключики можно добавлять через альтератор.  Удалённо.

Угу -- кто-то под скамейками ночами ищет следующие координаты,
а кто-то будет сидеть с pstree, netstat -p и nmap :)

PS: кто ещё смотрел RHEL6 beta?  У меня ощущения от прощупывания
после чтения release notes остались сдержанно неплохие, хотя
будучи установленным (курсы читал) -- тормозит оно заметно
сильнее сизифа.  Но поучиться явно есть чему.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Андрей Черепанов]

23 июня 2010 Алексей Шенцев написал:
> 23.06.2010 12:08, Андрей Черепанов пишет:
> > 23 июня 2010 Dmitry V. Levin написал:
> >> On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> >>> 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> >>>> Hi,
> >>>> 
> >>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >>>> аутентификация по паролю будет выключена для членов группы wheel.
> >>>> 
> >>>> Подробнее об этом см.
> >>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>> 
> >>> И к чему это приведёт? Ну т.е. как было и как станет?
> >> 
> >> Сменится умолчание: членов группы wheel перестанут пускать по паролю.
> > 
> > То есть ssh для первого заведённого пользователя будет недоступен. /то
> > означает, что удалённо администрировать свежепоставленную ОС становится
> > невозможно,
> 
> Выходит так.
То есть мы не помогаем обычным пользователям. Ok.
 
> > использовать nx на этой системе становится невозможно (зная
> > квалификацию подобных целевых пользователей.
> 
> id nx
> uid=117(nx) gid=61(nx) группы=61(nx)
> 
> Как я вижу nx не входит в группу wheel.
> Т.е. это его не касается.
> Или я не правильно понимаю?
При входе пользователя по NX указывается его имя и пароль. Вот тут вопрос 
знатокам NX, коснётся ли это изменение NX-пользователей.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 03:18:38AM +0400, Dmitry V. Levin wrote:
> Суть анонсированного изменения в усилении действующей по
> умолчанию защиты "PermitRootLogin without-password": в
> дополнении к отключению возможности удалённого подбора пароля
> рута теперь отключается возможность удалённого подбора паролей
> пользователей, которые, будучи взломанными, открывали бы
> возможность прямого локального подбора пароля рута.

Может, комплексный подход с использованием нескольких пунктов
из набора:

1. PermitRootLogin
2. это изменение

3. AllowGroups
4. Port

5. iptables conn throttling
6. sshutout

Примерно как 1+2?+(3/4)?+5/6.

С удобным осознанием и включением такого хозяйства.
Но не без осознания, увы.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 12:22:26PM +0400, Андрей Черепанов wrote:
> При входе пользователя по NX указывается его имя и пароль. Вот
> тут вопрос знатокам NX, коснётся ли это изменение
> NX-пользователей.

Там есть возможность ходить по ключу, но для организации проброса
требуется действительно отдельный псевдопользователь.  И кстати
-- напоминаю, что installer-feature-freenx-0.2-alt2 конфигурирует
публичный ключ с широко известным приватным.  Но придумать схему
создания+разнесения ключей у меня в разумные сроки не получилось.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Gleb Kulikov]

В сообщении от [Среда 23 июня 2010 Dmitry V. Levin] написал:

> аутентификация по паролю будет выключена для членов группы wheel.
> 
> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286

Объясните, чем это лучше для безопасности?
Случаев "утекающих" ключей, если не ошибаюсь, в сети описано предостаточно.
Так что, учитывая очевидные неудобства предлагаемого решения... как-то 
неуютно.

-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Alexey Gladkov]

23.06.2010 03:45, Dmitry V. Levin wrote:
> Можно нарисовать какие-нибудь
> control sshd-password-auth enabled|disabled|nonwheel
> control sshd-allow-groups enabled|disabled|имя_группы
> но я не уверен, что оно того стоит.

Думаю создание control будет оптимальным, при смене умолчания, которое
влияет на доступ.

-- 
Rgrds, legion

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Vitaly Kuznetsov]

Андрей Черепанов <cas@altlinux.ru> writes:

> 23 июня 2010 Alexey I. Froloff написал:
>> On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
>> > То есть ssh для первого заведённого пользователя будет
> недоступен. /то
>> > означает, что удалённо администрировать свежепоставленную ОС
> становится
>> > невозможно,
>> 
>> Ключики можно добавлять через альтератор.  Удалённо.
> А на десктопных машинах? Я имел ввиду помощь в установке обычных
> десктопных ОС.

Если будет control, то нарисовать соответствующий шаг установщика
("alt-specific") с галочкой "Пускать тех-то по паролю" (дефолт
обсуждаем) очень несложно.

-- 
Vitaly Kuznetsov, ALT Linux

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 03:08, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>>> умолчанию аутентификация по паролю будет выключена для членов
>>> группы wheel.
>>
>> При обновлении умолчание изменится по сравнению с предыдущим,
>> если /etc/openssh/sshd_config не трогался?
>
> Да, конечно.
>
>>> Подробнее об этом см.
>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> По-моему, идея никуда не годится в качестве умолчания, которое
>> может самопроизвольно поменяться при обновлении дистрибутива
>> с потенциальным DoS.
>
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> но на всякий случай я это изменение анонсировал.

Используют вовсю.

>
> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> когда мне нужно протестировать этот режим работы при подготовке новой
> версии openssh.

А как ты первый раз на свежепоставленный сервер кладёшь ключик ?

Тем более, если установка выполняется удалённо ?

>
>> Как недефолтный вариант для control, в идеале связанный с control
>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
>> и сам бы пользовался.
>>
>> Прошу ещё раз подумать.
>
> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> если бы не наткнулся на компромиссный вариант, описанный в #17286,
> то так бы и сделал.

Сделай, пожалуйста, control.

Мне это изменение не удобно - сервера я разливаю удалённо через 
специальный интерфейс (проброс видеокарты через сеть, аппаратная 
штучка), соответственно ключик скопировать возможности не будет без 
заведения левого пользователя с авторизацией по паролю, или отключение 
группы wheel для ряда системных утилит.

И то и то - криво, хотелось бы иметь возможность авторизовываться по паролю.

И да, у меня в системе альтератор отсутствует как класс, соответственно 
пробросить ключик через web-интерфейс нет никакой возможности.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 03:45, Dmitry V. Levin пишет:
>
> Вообще, осмысленных сценариев может быть великое множество, я бы не пытался
> засунуть их всех в конфиг.

Это верно. Как верно и то, что предыдущие дефолты устраивали очень 
большое количество специалистов.

>
> Можно нарисовать какие-нибудь
> control sshd-password-auth enabled|disabled|nonwheel
> control sshd-allow-groups enabled|disabled|имя_группы
> но я не уверен, что оно того стоит.

Оно того стоит, по крайней мере для меня.

Я бы лучше WEB-интерфейс убрал, который позволяет сразу после установки 
системы рутовый пароль ввести...

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 03:21, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
>> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>>>> умолчанию аутентификация по паролю будет выключена для членов
>>>> группы wheel.
>>>
>>> При обновлении умолчание изменится по сравнению с предыдущим,
>>> если /etc/openssh/sshd_config не трогался?
>>>
>>>> Подробнее об этом см.
>>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>>
>>> По-моему, идея никуда не годится в качестве умолчания, которое
>>> может самопроизвольно поменяться при обновлении дистрибутива
>>> с потенциальным DoS.
>>
>> Может, переходный период с
>>
>> Match Group weel
>>    Banner /etc/openssh/weel_warn.txt
>
> Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> уже выключено.

А он может конфиг поправить.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 03:49, Vladislav Zavjalov пишет:
<skip>
> Может быть, что-то такое (в переводе на английский, разумеется)?
>
> Внимание! Вы входите в группу wheel на этом компьютере. В дефолтной
> конфигурации ssh-сервера аутентификация по паролю для этой группы
> будет отключена в ближайшее время.
> Убедитесь, что вы сможете использовать аутентификацию по ключу, или же
> измените конфигурацию ssh-сервера подходящим вам образом.
>
> Еще можно дать ссылку на это обсуждение, или на bugzilla, или на wiki,
> туда, где будут простым русским языкм написаны более подробные рецепты (типа
> "если вы ничего не хотите менять - просто удалите в кофиге строчки с
> Match и Banner")

Друзья мои, в какое ближайшее время ?


Просто напишите ворнинг, что нужно использовать аутентификацию по ключу...

как минимум один серверный дистрибутив должен выйти с таким сообщением, 
что бы настало "ближайшее время".

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Boris Savelev]

2010/6/23 Андрей Черепанов <cas@altlinux.ru>:
> При входе пользователя по NX указывается его имя и пароль. Вот тут вопрос
> знатокам NX, коснётся ли это изменение NX-пользователей.

коснётся.
логин происходит в 2 этапа:
1) авторизация по ssh (по ключу) пользователя nx
2) авторизация конечного пользователя разными методами -- в том числе
по ssh (с паролем) в настройке по умолчанию.
после этого изменения пользователь, находящийся в группе wheel, зайти
по nx с настройками по умолчанию не сможет.

-- 
Boris

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 11:23, Sergey пишет:
> On Wednesday 23 June 2010, Dmitry V. Levin wrote:
>
>> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
> Мне кажется, тут лучше было бы подойти с другой стороны:
> https://bugzilla.altlinux.org/show_bug.cgi?id=11669

согласен, мне лично такой вариант нравится гораздо больше.


2ldv: посмотри, пожалуйста, на это предложение.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1441 bytes --]

On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> 23 июня 2010 Dmitry V. Levin написал:
> > On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> > > 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > > > 
> > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> > > > аутентификация по паролю будет выключена для членов группы wheel.
> > > > 
> > > > Подробнее об этом см.
> > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > 
> > > И к чему это приведёт? Ну т.е. как было и как станет?
> > 
> > Сменится умолчание: членов группы wheel перестанут пускать по паролю.
> То есть ssh для первого заведённого пользователя будет недоступен.

Почему?  sshd будет недоступен по паролю, но это не одно и то же.

> /то 
> означает, что удалённо администрировать свежепоставленную ОС становится 
> невозможно,

Почему?  А как же Альтератор?

> использовать nx на этой системе становится невозможно (зная 
> квалификацию подобных целевых пользователей.

Почему?

> IMHO, крайне спорный шаг,

Конечно.

> усугубляющий текущее и без того крайне несовместимое 
> и неудобную модель по безопасности. Фактически мы отрываем ручки, не предлагая 
> дешёвого способа исправить ситуацию.

У нас есть веб-интерфейс.  Пока в нашем инсталяторе нет штатного
интерфейса выключить PasswordAuthentication вообще, это разумный
компромисс.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1084 bytes --]

On Wed, Jun 23, 2010 at 11:31:56AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 03:18:38AM +0400, Dmitry V. Levin wrote:
> > Суть анонсированного изменения в усилении действующей по
> > умолчанию защиты "PermitRootLogin without-password": в
> > дополнении к отключению возможности удалённого подбора пароля
> > рута теперь отключается возможность удалённого подбора паролей
> > пользователей, которые, будучи взломанными, открывали бы
> > возможность прямого локального подбора пароля рута.
> 
> Может, комплексный подход с использованием нескольких пунктов
> из набора:
> 
> 1. PermitRootLogin
> 2. это изменение
> 
> 3. AllowGroups
> 4. Port

Я бы не стал объединять 3. и 4. в одну группу.

> 5. iptables conn throttling

На это тему давно висит FR:
https://bugzilla.altlinux.org/show_bug.cgi?id=11669
Только мне не понятно, как это реализовать дистрибутивно.

> 6. sshutout
> 
> Примерно как 1+2?+(3/4)?+5/6.
> 
> С удобным осознанием и включением такого хозяйства.
> Но не без осознания, увы.

Осознание бывает удобным?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 430 bytes --]

On Wed, Jun 23, 2010 at 11:23:57AM +0400, Sergey wrote:
> On Wednesday 23 June 2010, Dmitry V. Levin wrote:
> 
> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>  
> Мне кажется, тут лучше было бы подойти с другой стороны:
> https://bugzilla.altlinux.org/show_bug.cgi?id=11669

Этот FR висит давно, но никто ещё не предложил дистрибутивного решения.
Видимо, это не так просто.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Gorlov]

Anton Farygin пишет:

> И то и то - криво, хотелось бы иметь возможность авторизовываться по 
> паролю.
> И да, у меня в системе альтератор отсутствует как класс, соответственно 
> пробросить ключик через web-интерфейс нет никакой возможности.

+1.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 841 bytes --]

On Wed, Jun 23, 2010 at 03:49:39PM +0700, Gleb Kulikov wrote:
> В сообщении от [Среда 23 июня 2010 Dmitry V. Levin] написал:
> 
> > аутентификация по паролю будет выключена для членов группы wheel.
> > 
> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> 
> Объясните, чем это лучше для безопасности?

Это слишком большая тема, чтобы её здесь разворачивать.  Тема достаточно
полно отражена в более специализированных ресурсах.

> Случаев "утекающих" ключей, если не ошибаюсь, в сети описано предостаточно.

Конечно, атаки на клиентские системы, использующие ключи, существуют.
Но это не значит, что вероятность такой атак выше, чем атаки на сервер со
слабыми паролями.

> Так что, учитывая очевидные неудобства предлагаемого решения... как-то 
> неуютно.

А как было бы уютно?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 14:57, Dmitry V. Levin пишет:
>
> У нас есть веб-интерфейс.  Пока в нашем инсталяторе нет штатного
> интерфейса выключить PasswordAuthentication вообще, это разумный
> компромисс.

WEB-интерфейс есть далеко не у всех дистрибутивов, и это важно.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Evgen]

23.06.2010 15:05, Anton Gorlov пишет:
> Anton Farygin пишет:
>
>> И то и то - криво, хотелось бы иметь возможность авторизовываться по
>> паролю.
>> И да, у меня в системе альтератор отсутствует как класс,
>> соответственно пробросить ключик через web-интерфейс нет никакой
>> возможности.
>
> +1.
Аналогично. Интересно, кто-нибудь держит на серверной системе этот 
альтератор? Или эта пришлёпка для того, чтоб систему чистить подольше?

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 15:03, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 11:23:57AM +0400, Sergey wrote:
>> On Wednesday 23 June 2010, Dmitry V. Levin wrote:
>>
>>> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> Мне кажется, тут лучше было бы подойти с другой стороны:
>> https://bugzilla.altlinux.org/show_bug.cgi?id=11669
>
> Этот FR висит давно, но никто ещё не предложил дистрибутивного решения.
> Видимо, это не так просто.

Дистрибутивное решение - положить правильные конфиги для firewall в etcnet.

а ты всё ещё используешь анахронизм в виде iptables-save ?

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Sergey]

On Wednesday 23 June 2010, Dmitry V. Levin wrote:

> > Мне кажется, тут лучше было бы подойти с другой стороны:
> > https://bugzilla.altlinux.org/show_bug.cgi?id=11669
> 
> Этот FR висит давно, но никто ещё не предложил дистрибутивного решения.
> Видимо, это не так просто.
 
Как вариант, можно класть готовый /etc/sys/iptables с этим правилом.
Незакомментированным. Плохих последствий от такого я не вижу пока.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 496 bytes --]

On Wed, Jun 23, 2010 at 03:10:01PM +0400, Anton Farygin wrote:
> 23.06.2010 14:57, Dmitry V. Levin пишет:
> >
> >У нас есть веб-интерфейс.  Пока в нашем 
> >инсталяторе нет штатного
> >интерфейса выключить PasswordAuthentication 
> >вообще, это разумный
> >компромисс.
> 
> WEB-интерфейс есть далеко не у всех 
> дистрибутивов, и это важно.

У всех наших обычных дистрибутивов есть веб-интерфейс.
А у специализированных дистрибутивов и так специализированные конфиги.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 15:11, Evgen пишет:
> 23.06.2010 15:05, Anton Gorlov пишет:
>> Anton Farygin пишет:
>>
>>> И то и то - криво, хотелось бы иметь возможность авторизовываться по
>>> паролю.
>>> И да, у меня в системе альтератор отсутствует как класс,
>>> соответственно пробросить ключик через web-интерфейс нет никакой
>>> возможности.
>>
>> +1.
> Аналогично. Интересно, кто-нибудь держит на серверной системе этот
> альтератор? Или эта пришлёпка для того, чтоб систему чистить подольше?

Я использую дистрибутив, в котором альтератор вычищается после установки 
более чем полностью.

Собственно говоря, при наличии необходимого control, я бы включил 
обратно авторизацию по паролю.

Альтератор безусловно нужен некоторому количеству пользователей, но 
перейти на использование исключительно альтератора я готов только после 
того, как на его использование перейдёт лично ldv@ на всех серверах ;)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 15:13, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 03:10:01PM +0400, Anton Farygin wrote:
>> 23.06.2010 14:57, Dmitry V. Levin пишет:
>>>
>>> У нас есть веб-интерфейс.  Пока в нашем
>>> инсталяторе нет штатного
>>> интерфейса выключить PasswordAuthentication
>>> вообще, это разумный
>>> компромисс.
>>
>> WEB-интерфейс есть далеко не у всех
>> дистрибутивов, и это важно.
>
> У всех наших обычных дистрибутивов есть веб-интерфейс.
> А у специализированных дистрибутивов и так специализированные конфиги.

Нет, они не специализированные. У обычных дистрибутивов обычные конфиги.

Впрочем, что мы спорим ? сделай плз control, я в скриптах сменю дефолты 
после установки.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Slava Dubrovskiy]

23.06.2010 14:11, Evgen пишет:
> 23.06.2010 15:05, Anton Gorlov пишет:
>> Anton Farygin пишет:
>>
>>> И то и то - криво, хотелось бы иметь возможность авторизовываться по
>>> паролю.
>>> И да, у меня в системе альтератор отсутствует как класс,
>>> соответственно пробросить ключик через web-интерфейс нет никакой
>>> возможности.
>>
>> +1.
> Аналогично.
Тоже поддерживаю.

-- 
WBR,
Dubrovskiy Vyacheslav

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1156 bytes --]

On Wed, Jun 23, 2010 at 10:53:37AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 03:08:57AM +0400, Dmitry V. Levin wrote:
> > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > группы wheel.
> > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > если /etc/openssh/sshd_config не трогался?
> > Да, конечно.
> 
> Хм, тогда не понял -- до обновления:
> 
> # rpm -V openssh-server
> #
> 
> После:
> 
> root@pad ~ # rpm -q --lastchange openssh-server
> * Wed Jun 23 2010 Dmitry V. Levin <ldv@altlinux> 5.3p1-alt2
> - Enabled sftp by default.
> - /etc/pam.d/sshd: Changed to use common-login.
> - sshd_config: Disabled PasswordAuthentication for "wheel" group
>   members (imz@; closes: #17286).
> root@pad ~ # vim /etc/openssh/sshd_config.rpmnew
> root@pad ~ # fgrep wheel /etc/pam.d/sshd* /etc/openssh/sshd_config*
> /etc/openssh/sshd_config.rpmnew:Match Group wheel
> 
> Почему образовался .rpmnew? :)

Значит, ты неосознанно изменил свой /etc/openssh/sshd_config.
Вряд ли rpmi мог ошибиться.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Алексей Шенцев]

23.06.2010 15:12, Anton Farygin пишет:
> а ты всё ещё используешь анахронизм в виде iptables-save ?
Я к примеру использую. И перекладывать ~3000 строк правил для firewall
из iptables на etcnet как то трудозатратно. А сервак должен работать и
работает. Из-за этого и ещё ряда причин не использую альтератор для
управления как файерволом, так и сетью, dhcp. Эти модули гробят наши
стевые настройки.
Вот такие вот прироги ... :)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 826 bytes --]

On Wed, Jun 23, 2010 at 03:12:38PM +0400, Anton Farygin wrote:
> 23.06.2010 15:03, Dmitry V. Levin пишет:
> >On Wed, Jun 23, 2010 at 11:23:57AM +0400, Sergey wrote:
> >>On Wednesday 23 June 2010, Dmitry V. Levin wrote:
> >>
> >>>Подробнее об этом см. 
> >>>https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>
> >>Мне кажется, тут лучше было бы подойти с 
> >>другой стороны:
> >>https://bugzilla.altlinux.org/show_bug.cgi?id=11669
> >
> >Этот FR висит давно, но никто ещё не 
> >предложил дистрибутивного решения.
> >Видимо, это не так просто.
> 
> Дистрибутивное решение - положить 
> правильные конфиги для firewall в etcnet.
> 
> а ты всё ещё используешь анахронизм в 
> виде iptables-save ?

Да, я не использую firewall в etcnet.
Я традиционно предпочитаю iptables-save/restore.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Sergey]

On Wednesday 23 June 2010, Anton Farygin wrote:

> Дистрибутивное решение - положить правильные конфиги для firewall
> в etcnet. 

Тут есть сложность: непонятно, как будут именоваться интерфейсы. Для etcnet
это должен делать какой-то конфигуратор. Или у самого etcnet должно быть
место, куда кладутся глобальные правила (если ещё нет).

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 472 bytes --]

On Wed, Jun 23, 2010 at 03:25:06PM +0400, Алексей Шенцев wrote:
> 23.06.2010 15:12, Anton Farygin пишет:
> > а ты всё ещё используешь анахронизм в виде iptables-save ?
> Я к примеру использую. И перекладывать ~3000 строк правил для firewall
> из iptables на etcnet как то трудозатратно.

Насколько я понимаю, firewall в etcnet не использует iptables-restore, и,
как следствие, установка ~3000 правил происходит на 3 порядка дольше.
Это неприемлемо.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

[sisyphus] Q: openssh-server: AllowGroups by default

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 960 bytes --]

On Wed, Jun 23, 2010 at 12:14:14PM +0400, Андрей Черепанов wrote:
> 23 июня 2010 Dmitry V. Levin написал:
> > Это просто AllowGroups remote wheel в сочетании с реализованным в
> > openssh-server-5.3p1-alt2...
> > 
> > Собственно говоря, вы предлагаете по умолчанию сделать ещё и
> > AllowGroups имена_групп_в_которые_будут_входить_те_кого_можно_пускать?
> Кстати, весьма дельная идея и максимально понятная.

За исключением выбора групп, легко реализуемая.
Какие мне выбрать, чтобы всем угодить?

Я предлагаю
AllowGroups wheel users
- эти группы создаются в системе по умолчанию.

В сочетании с
control sshd-allow-groups enabled|disabled
никто не пострадает при обновлении.

> > Будет непросто придумать имена таких групп, которые бы устроили всех
> > заинтересованных.
> Дима, а как в других дистрибутивах? Проводилось сравнение и анализ? Или у нас 
> снова свои велосипеды?

Насколько мне известно, другие не парятся.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Sergey]

On Wednesday 23 June 2010, Sergey wrote:

> готовый /etc/sys/iptables

/etc/sysconfig/iptables в смысле.

-- 
С уважением, Сергей
a_s_y@sama.ru

[sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1002 bytes --]

On Wed, Jun 23, 2010 at 01:28:53PM +0400, Alexey Gladkov wrote:
> 23.06.2010 03:45, Dmitry V. Levin wrote:
> > Можно нарисовать какие-нибудь
> > control sshd-password-auth enabled|disabled|nonwheel
> > control sshd-allow-groups enabled|disabled|имя_группы
> > но я не уверен, что оно того стоит.
> 
> Думаю создание control будет оптимальным, при смене умолчания, которое
> влияет на доступ.

control sshd-allow-groups имя_группы не очень просто реализовать, а
control sshd-password-auth nonwheel реализовать ещё сложнее.

Я предлагаю ограничиться
control sshd-password-auth enabled|disabled
control sshd-allow-groups enabled|disabled

Соответственно, при обновлении никто не пострадает, а спорное
изменение в openssh-server-5.3p1-alt2 можно было бы убрать.

Вопрос в значениях по умолчанию.  Меня бы вполне устроили
sshd-password-auth disabled и sshd-allow-groups enabled,
но что-то мне подсказывает, что мои предпочтения в этом
вопросе могут кому-то не подойти.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Vladislav Zavjalov]

On Wed, Jun 23, 2010 at 03:26:07PM +0400, Sergey wrote:
> On Wednesday 23 June 2010, Anton Farygin wrote:
> 
> > Дистрибутивное решение - положить правильные конфиги для firewall
> > в etcnet. 
> 
> Тут есть сложность: непонятно, как будут именоваться интерфейсы. Для etcnet
> это должен делать какой-то конфигуратор. Или у самого etcnet должно быть
> место, куда кладутся глобальные правила (если ещё нет).

Вроде, там есть интерфейс "default"?

Кстати, правила iptables из #11669 я могу добавить в alterator-net-iptables --
он ведь еще используется для каких-то office-server'ов?

Слава

Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Vitaly Kuznetsov]

"Dmitry V. Levin" <ldv@altlinux.org> writes:

> Я предлагаю ограничиться
> control sshd-password-auth enabled|disabled
> control sshd-allow-groups enabled|disabled
>
> Соответственно, при обновлении никто не пострадает, а спорное
> изменение в openssh-server-5.3p1-alt2 можно было бы убрать.
>
> Вопрос в значениях по умолчанию.  Меня бы вполне устроили
> sshd-password-auth disabled и sshd-allow-groups enabled,
> но что-то мне подсказывает, что мои предпочтения в этом
> вопросе могут кому-то не подойти.

Если хочется не ломать работающее, то придётся в дефолтовом конфиге
делать ровно наоборот "enabled disabled" (иначе у некоторых юзеров после
обновления отвалится доступ). В дистрибутивах предлагаю сделать
соответствующий шаг установщика.

-- 
Vitaly Kuznetsov, ALT Linux

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 09:48:07AM +0000, Vitaly Kuznetsov wrote:
> >> Ключики можно добавлять через альтератор.  Удалённо.
> > А на десктопных машинах? Я имел ввиду помощь в установке
> > обычных десктопных ОС.
> Если будет control, то нарисовать соответствующий шаг
> установщика ("alt-specific") с галочкой "Пускать тех-то
> по паролю" (дефолт обсуждаем) очень несложно.

Это слишком существенное загромождение инсталера как такового,
но с другой стороны -- "подсунуть" пять строк о мерах
безопасности _и_ соответствующую ручку вполне резонно.

PS: не нашёл картинку насчёт бронедвери в траве, но:
http://failblog.files.wordpress.com/2009/08/fail-owned-airport-security-fail.jpg

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 02:06:32PM +0400, Anton Farygin wrote:
> как минимум один серверный дистрибутив должен выйти с таким
> сообщением, что бы настало "ближайшее время".

+1

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Michael Shigorin]

On Wed, Jun 23, 2010 at 03:44:41PM +0400, Dmitry V. Levin wrote:
> Я предлагаю ограничиться
> control sshd-password-auth enabled|disabled
> control sshd-allow-groups enabled|disabled

Угу.

> Соответственно, при обновлении никто не пострадает, а спорное
> изменение в openssh-server-5.3p1-alt2 можно было бы убрать.

Спасибо!

> Вопрос в значениях по умолчанию.  Меня бы вполне устроили
> sshd-password-auth disabled и sshd-allow-groups enabled,
> но что-то мне подсказывает, что мои предпочтения в этом
> вопросе могут кому-то не подойти.

Если бы при создании первого пользователя была разумная
возможность положить ему ключик... (или сгенерировать и
унести к себе приватную часть)

Мне ничего путного на эту тему в голову пока не пришло.

С другой стороны, может иметь смысл скинуться тем, как бы
кто хотел видеть настройки безопасности "из коробки" в среднем
по своим системам _без_ оглядки на других вообще -- и попытаться
понять, есть ли возможность сойтись на практичной изкоробочной
конфигурации и сделать к ней чё-нить вроде control system hardened.

Понятно, что вопрос чувствительный -- что-то можно и на LinuxFest
обрисовать.


On Wed, Jun 23, 2010 at 11:53:47AM +0000, Vitaly Kuznetsov wrote:
> > Вопрос в значениях по умолчанию.  Меня бы вполне устроили
> > sshd-password-auth disabled и sshd-allow-groups enabled,
> > но что-то мне подсказывает, что мои предпочтения в этом
> > вопросе могут кому-то не подойти.
> Если хочется не ломать работающее, то придётся в дефолтовом
> конфиге делать ровно наоборот "enabled disabled" (иначе
> у некоторых юзеров после обновления отвалится доступ).
> В дистрибутивах предлагаю сделать соответствующий шаг
> установщика.

Шаги -- "дорогая" штука.  _Может_ быть, такую ручку стоит
прикрутить около alterator-root в эксперт-режиме?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 02:01:45PM +0400, Anton Farygin wrote:
> Я бы лучше WEB-интерфейс убрал, который позволяет сразу после
> установки системы рутовый пароль ввести...

Да, это была неудачная шутка.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Q: openssh-server: AllowGroups by default

[Anton Farygin]

23.06.2010 15:35, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 12:14:14PM +0400, Андрей Черепанов wrote:
>> 23 июня 2010 Dmitry V. Levin написал:
>>> Это просто AllowGroups remote wheel в сочетании с реализованным в
>>> openssh-server-5.3p1-alt2...
>>>
>>> Собственно говоря, вы предлагаете по умолчанию сделать ещё и
>>> AllowGroups имена_групп_в_которые_будут_входить_те_кого_можно_пускать?
>> Кстати, весьма дельная идея и максимально понятная.
>
> За исключением выбора групп, легко реализуемая.
> Какие мне выбрать, чтобы всем угодить?
>
> Я предлагаю
> AllowGroups wheel users
> - эти группы создаются в системе по умолчанию.
>
> В сочетании с
> control sshd-allow-groups enabled|disabled
> никто не пострадает при обновлении.


Мне эта идея нравится.

>
>>> Будет непросто придумать имена таких групп, которые бы устроили всех
>>> заинтересованных.
>> Дима, а как в других дистрибутивах? Проводилось сравнение и анализ? Или у нас
>> снова свои велосипеды?
>
> Насколько мне известно, другие не парятся.

Всё верно, у RHEL можно идти под рутом по умолчанию по паролю.

Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Dmitriy Kruglikov]

23 июня 2010 г. 15:24 пользователь Michael Shigorin написал:
> С другой стороны, может иметь смысл скинуться тем, как бы
> кто хотел видеть настройки безопасности "из коробки" в среднем
> по своим системам _без_ оглядки на других вообще -- и попытаться
> понять, есть ли возможность сойтись на практичной изкоробочной
> конфигурации и сделать к ней чё-нить вроде control system hardened.
>
А не было бы удобнее при сотворении пользователя одним чекбоксом
разрешить ему доступ по SSH ?
Если да, то прописать его в AllowUsers ?
Или добавить в группу, которая дефолтом прописана в sshd_config как Allow...

Я, например, давно и успешно применяю AllowUsers...

Другие же настройки по умолчанию имеют смысл в разрезе роли сервера.
А эту роль имеет смысл указывать на некотором шаге инсталлера...
Тогда из набора ролевых шаблонов можно и iptables настраивать, и много
чего еще ...
Но это будет отдельная тема...
-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 15:25, Алексей Шенцев пишет:
> 23.06.2010 15:12, Anton Farygin пишет:
>> а ты всё ещё используешь анахронизм в виде iptables-save ?
> Я к примеру использую. И перекладывать ~3000 строк правил для firewall
> из iptables на etcnet как то трудозатратно. А сервак должен работать и
> работает. Из-за этого и ещё ряда причин не использую альтератор для
> управления как файерволом, так и сетью, dhcp. Эти модули гробят наши
> стевые настройки.
> Вот такие вот прироги ... :)

я ~3000 строк правил смигрировал тут как-то на ipset, осталось около 
100, которые прекрасно разложились на отдельные файлики в etcnet.

Впрочем, зависит.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 15:28, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 03:25:06PM +0400, Алексей Шенцев wrote:
>> 23.06.2010 15:12, Anton Farygin пишет:
>>> а ты всё ещё используешь анахронизм в виде iptables-save ?
>> Я к примеру использую. И перекладывать ~3000 строк правил для firewall
>> из iptables на etcnet как то трудозатратно.
>
> Насколько я понимаю, firewall в etcnet не использует iptables-restore, и,
> как следствие, установка ~3000 правил происходит на 3 порядка дольше.
> Это неприемлемо.

Точнее сказать, что необходимость в 3000 правилах для файрволла сама по 
себе довольно странна.

есть же ipset, который по моим оценкам на таком количестве правил снизил 
нагрузку на систему в целом на пять-десять процентов при 70 мегабитах.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

23.06.2010 15:26, Sergey пишет:
> On Wednesday 23 June 2010, Anton Farygin wrote:
>
>> Дистрибутивное решение - положить правильные конфиги для firewall
>> в etcnet.
>
> Тут есть сложность: непонятно, как будут именоваться интерфейсы. Для etcnet
> это должен делать какой-то конфигуратор. Или у самого etcnet должно быть
> место, куда кладутся глобальные правила (если ещё нет).

Конечно, у etcnet всё это есть.

Глобальные правила укладываются в  /etc/net/ifaces/default/fw/

Re: [sisyphus] Q: openssh-server: AllowGroups by default

[Michael Shigorin]

On Wed, Jun 23, 2010 at 03:35:35PM +0400, Dmitry V. Levin wrote:
> За исключением выбора групп, легко реализуемая.
> Какие мне выбрать, чтобы всем угодить?
> 
> Я предлагаю AllowGroups wheel users
> - эти группы создаются в системе по умолчанию.

Согласен.

Ещё припоминается, что в некоторый набор групп alterator-users
добавлял заводимых с его помощью пользователей.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 03:03:23PM +0400, Dmitry V. Levin wrote:
> > > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > Мне кажется, тут лучше было бы подойти с другой стороны:
> > https://bugzilla.altlinux.org/show_bug.cgi?id=11669
> Этот FR висит давно, но никто ещё не предложил дистрибутивного
> решения.  Видимо, это не так просто.

Могу рекомендовать к установке из коробки sshutout.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Mikhail Efremov]

On Wed, 23 Jun 2010 03:18:38 +0400 Dmitry V. Levin wrote:
> Суть анонсированного изменения в усилении действующей по умолчанию
> защиты "PermitRootLogin without-password": в дополнении к отключению
> возможности удалённого подбора пароля рута теперь отключается
> возможность удалённого подбора паролей пользователей, которые, будучи
> взломанными, открывали бы возможность прямого локального подбора
> пароля рута.

Но чтобы начать подбор пароля пользователя надо знать логин этого
пользователя, а он в общем случае неизвестен. Может проблема все-таки
не настолько серьезна для смены умолчаний?

P.S. Мне думается, что у мифического "обычного пользователя" на
десктопе вообще не должен быть запущен sshd. А если уж он его запустил,
значит он не такой уж и "обычный" и вполне в состоянии man прочитать.
Так что можно считать, что речь тут только о серверах.
Лично я вполне оправдываю принесение удобства в жертву безопасности. Но
я и не сисадмин ни разу, на своих полутора системах я и руками конфиги
поправлю как считаю нужным.

-- 
WBR, Mikhail Efremov

Re: [sisyphus] Q: openssh-server: AllowGroups by default

[Dmitriy Kruglikov]

23 июня 2010 г. 15:54 пользователь Michael Shigorin написал:

> Ещё припоминается, что в некоторый набор групп alterator-users
> добавлял заводимых с его помощью пользователей.
>
alterator-ldap-users:
default_groups="cdwriter cdrom audio proc radio camera floppy xgrp
scanner uucp users"

alterator-users:
default_groups="cdwriter cdrom audio proc radio camera floppy xgrp scanner uucp"
default_groups_file=/usr/share/install3/default-groups


-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 03:25:07PM +0400, Dmitry V. Levin wrote:
> > Дистрибутивное решение - положить правильные конфиги для
> > firewall в etcnet.  а ты всё ещё используешь анахронизм в
> > виде iptables-save ?
> Да, я не использую firewall в etcnet.

Я один раз применял, но его как раз тогда перелопачивали (2005).

> Я традиционно предпочитаю iptables-save/restore.

Многие предпочитают самописные скрипты по причине возможности
описать объекты и логику, а ещё в сизифе есть генераторы правил
из высокоуровневых описаний (guarddog, shorewall...).

Замыкаться тут на чём-то одном не стоит, бояться сноса
iptables-restore'ом правил, порождённых антисканилкой --
IMHO тоже не стоит: природа этих атак такова, что правила
восстановятся автоматически.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1072 bytes --]

On Wed, Jun 23, 2010 at 11:53:47AM +0000, Vitaly Kuznetsov wrote:
> "Dmitry V. Levin" <ldv@altlinux.org> writes:
> 
> > Я предлагаю ограничиться
> > control sshd-password-auth enabled|disabled
> > control sshd-allow-groups enabled|disabled
> >
> > Соответственно, при обновлении никто не пострадает, а спорное
> > изменение в openssh-server-5.3p1-alt2 можно было бы убрать.
> >
> > Вопрос в значениях по умолчанию.  Меня бы вполне устроили
> > sshd-password-auth disabled и sshd-allow-groups enabled,
> > но что-то мне подсказывает, что мои предпочтения в этом
> > вопросе могут кому-то не подойти.
> 
> Если хочется не ломать работающее, то придётся в дефолтовом конфиге
> делать ровно наоборот "enabled disabled" (иначе у некоторых юзеров после
> обновления отвалится доступ).

Меня, кажется, пытаются учить программировать на control. :-)

Вопрос не в том, как упаковать дефолтный sshd_config, а в том, каким
должен получиться sshd_config по окончании установки (не обновления,
а именно первичной установки) пакета openssh-server.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Андрей Черепанов]

23 июня 2010 Vitaly Kuznetsov написал:
> Андрей Черепанов <cas@altlinux.ru> writes:
> > 23 июня 2010 Alexey I. Froloff написал:
> >> On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> >> > То есть ssh для первого заведённого пользователя будет
> > 
> > недоступен. /то
> > 
> >> > означает, что удалённо администрировать свежепоставленную ОС
> > 
> > становится
> > 
> >> > невозможно,
> >> 
> >> Ключики можно добавлять через альтератор.  Удалённо.
> > 
> > А на десктопных машинах? Я имел ввиду помощь в установке обычных
> > десктопных ОС.
> 
> Если будет control, то нарисовать соответствующий шаг установщика
> ("alt-specific") с галочкой "Пускать тех-то по паролю" (дефолт
> обсуждаем) очень несложно.
99% вероятности, что авторы такого дефолта писать ни документацию, ни тем паче 
модуль alterator не будут.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Андрей Черепанов]

[-- Attachment #1: Type: Text/Plain, Size: 2300 bytes --]

23 июня 2010 Dmitry V. Levin написал:
> On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> > 23 июня 2010 Dmitry V. Levin написал:
> > > On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> > > > 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > группы wheel.
> > > > > 
> > > > > Подробнее об этом см.
> > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > > 
> > > > И к чему это приведёт? Ну т.е. как было и как станет?
> > > 
> > > Сменится умолчание: членов группы wheel перестанут пускать по паролю.
> > 
> > То есть ssh для первого заведённого пользователя будет недоступен.
> 
> Почему?  sshd будет недоступен по паролю, но это не одно и то же.
Ключ на удалённую машину просто не передашь. Следовательно о доступе по 
дефолту по SSH на такую машину стоит забыть.
 
> > /то
> > означает, что удалённо администрировать свежепоставленную ОС становится
> > невозможно,
> 
> Почему?  А как же Альтератор?
Который на дестопных дистрибутивах не идёт, а если и идёт, то не запущен?

[cas@cas installed]$ grep alterator-fbi *
list-ark-server.txt:alterator-fbi-5.25-alt2.M51.3
list-school-junior.txt:alterator-fbi-5.25-alt2.M51.3
list-school-master.txt:alterator-fbi-5.25-alt2.M51.3
list-school-server.txt:alterator-fbi-5.25-alt2.M51.3


> > использовать nx на этой системе становится невозможно (зная
> > квалификацию подобных целевых пользователей.
> 
> Почему?
Я уже попросил спецов по NX осветить ситуацию. Мне казалось, что он работает 
по SSH и с этим дефолтом без ключа и по паролю использовать его невозможно. 
Или возможно, но никаких административных привилегий и возможностей 
переключения через su.

> > IMHO, крайне спорный шаг,
> 
> Конечно.
> 
> > усугубляющий текущее и без того крайне несовместимое
> > и неудобную модель по безопасности. Фактически мы отрываем ручки, не
> > предлагая дешёвого способа исправить ситуацию.
> 
> У нас есть веб-интерфейс.  Пока в нашем инсталяторе нет штатного
> интерфейса выключить PasswordAuthentication вообще, это разумный
> компромисс.
У нас этот интерфейс есть только в серверных дистрибутивах.


-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 03:13:05PM +0400, Dmitry V. Levin wrote:
> У всех наших обычных дистрибутивов есть веб-интерфейс.

Дим, IMHO защищать отсутствие выставления рутового пароля
в инсталяторе -- неразумно.  Только ленивый не выругался.

> А у специализированных дистрибутивов и так специализированные
> конфиги.

Вопрос в том, что считаем нормой, а что -- дивергенцией.

И так половина installer-feature* просится на интеграцию
в репозиторий (являясь местом, где RM может переспорить
майнтейнера) -- это хорошо бы уменьшать, а не наоборот.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Алексей Шенцев]

23.06.2010 16:36, Anton Farygin пишет:
> 23.06.2010 15:28, Dmitry V. Levin пишет:
>> On Wed, Jun 23, 2010 at 03:25:06PM +0400, Алексей Шенцев wrote:
>>> 23.06.2010 15:12, Anton Farygin пишет:
>>>> а ты всё ещё используешь анахронизм в виде iptables-save ?
>>> Я к примеру использую. И перекладывать ~3000 строк правил для firewall
>>> из iptables на etcnet как то трудозатратно.
>>
>> Насколько я понимаю, firewall в etcnet не использует
>> iptables-restore, и,
>> как следствие, установка ~3000 правил происходит на 3 порядка дольше.
>> Это неприемлемо.
>
> Точнее сказать, что необходимость в 3000 правилах для файрволла сама
> по себе довольно странна.
Так исторически сложилось. На одном интерфейсе по несколько ip-адресов,
несколько интерфейсов.
Впускать, выпускать ip видеофоны, голосовая ip телефония, банкоматы и
т.д. и т.п.
> есть же ipset, который по моим оценкам на таком количестве правил
> снизил нагрузку на систему в целом на пять-десять процентов при 70
> мегабитах.
Там ещё p5, так что ipset вроде не применим. Жду b6, тогда и буду
переходить и крутить ipset.
Держать рабочий сервер на сизифе пока нет желания ... ;)

Но вот за инфу, что при использовании ipset снижается на ~5-10%
нагрузка, спасибо.

Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Michael Shigorin]

On Wed, Jun 23, 2010 at 05:06:57PM +0400, Dmitry V. Levin wrote:
> Вопрос не в том, как упаковать дефолтный sshd_config, а в том,
> каким должен получиться sshd_config по окончании установки
> (не обновления, а именно первичной установки) пакета
> openssh-server.

Как в Server 4.0, pls.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Anton Farygin]

23.06.2010 17:06, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 11:53:47AM +0000, Vitaly Kuznetsov wrote:
>> "Dmitry V. Levin"<ldv@altlinux.org>  writes:
>>
>>> Я предлагаю ограничиться
>>> control sshd-password-auth enabled|disabled
>>> control sshd-allow-groups enabled|disabled
>>>
>>> Соответственно, при обновлении никто не пострадает, а спорное
>>> изменение в openssh-server-5.3p1-alt2 можно было бы убрать.
>>>
>>> Вопрос в значениях по умолчанию.  Меня бы вполне устроили
>>> sshd-password-auth disabled и sshd-allow-groups enabled,
>>> но что-то мне подсказывает, что мои предпочтения в этом
>>> вопросе могут кому-то не подойти.
>>
>> Если хочется не ломать работающее, то придётся в дефолтовом конфиге
>> делать ровно наоборот "enabled disabled" (иначе у некоторых юзеров после
>> обновления отвалится доступ).
>
> Меня, кажется, пытаются учить программировать на control. :-)
>
> Вопрос не в том, как упаковать дефолтный sshd_config, а в том, каким
> должен получиться sshd_config по окончании установки (не обновления,
> а именно первичной установки) пакета openssh-server.

Текущий вид этого конфига вполне приемлем.

Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Michael Shigorin]

On Wed, Jun 23, 2010 at 03:33:23PM +0300, Dmitriy Kruglikov wrote:
> А не было бы удобнее при сотворении пользователя одним
> чекбоксом разрешить ему доступ по SSH ?

Набросаешь?

> Если да, то прописать его в AllowUsers ?  Или добавить в
> группу, которая дефолтом прописана в sshd_config как Allow...

Лучше второе, и как обсудили -- предварительно группа users.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Dmitriy Kruglikov]

23 июня 2010 г. 17:08 пользователь Michael Shigorin написал:
> On Wed, Jun 23, 2010 at 03:33:23PM +0300, Dmitriy Kruglikov wrote:
>> А не было бы удобнее при сотворении пользователя одним
>> чекбоксом разрешить ему доступ по SSH ?
>
> Набросаешь?
Что именно?
Пририсовать чекбокс в интерфейс? Без проблем ...
Там же, где и "Входит в группу администраторов" ...
Или backend?
Прямым редактированием конфигов, или дождаться control ?

> Лучше второе, и как обсудили -- предварительно группа users.
Для серверов я бы предложил wheel...
Именно потому, что в ней те, которые админы ...

Теоретически, после того, как в единое ТЗ соберется набор изменений
к существующим модулям, нарисую ...
Можно и модуль alterator-sshd ...

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 484 bytes --]

On Wed, Jun 23, 2010 at 05:07:12PM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 05:06:57PM +0400, Dmitry V. Levin wrote:
> > Вопрос не в том, как упаковать дефолтный sshd_config, а в том,
> > каким должен получиться sshd_config по окончании установки
> > (не обновления, а именно первичной установки) пакета
> > openssh-server.
> 
> Как в Server 4.0, pls.

В каком смысле?  В Server 4.0 была другая версия openssh, там, несомненно,
другой конфиг.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

[sisyphus] I: openssh-server-5.3p1-alt3

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1365 bytes --]

On Wed, Jun 23, 2010 at 03:44:41PM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 01:28:53PM +0400, Alexey Gladkov wrote:
> > 23.06.2010 03:45, Dmitry V. Levin wrote:
> > > Можно нарисовать какие-нибудь
> > > control sshd-password-auth enabled|disabled|nonwheel
> > > control sshd-allow-groups enabled|disabled|имя_группы
> > > но я не уверен, что оно того стоит.
> > 
> > Думаю создание control будет оптимальным, при смене умолчания, которое
> > влияет на доступ.
> 
> control sshd-allow-groups имя_группы не очень просто реализовать, а
> control sshd-password-auth nonwheel реализовать ещё сложнее.
> 
> Я предлагаю ограничиться
> control sshd-password-auth enabled|disabled
> control sshd-allow-groups enabled|disabled
> 
> Соответственно, при обновлении никто не пострадает, а спорное
> изменение в openssh-server-5.3p1-alt2 можно было бы убрать.

Удивительно, но это предложение не вызвало разногласий, поэтому
openssh-server-5.3p1-alt3 с этими изменениями отправлен в Сизиф.

> Вопрос в значениях по умолчанию.  Меня бы вполне устроили
> sshd-password-auth disabled и sshd-allow-groups enabled,
> но что-то мне подсказывает, что мои предпочтения в этом
> вопросе могут кому-то не подойти.

OK, оставим пока прежние умолчания, поскольку создатели дистрибутивов
всё равно сделают всё по своему усмотрению.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Gleb Kulikov]

В сообщении от [Среда 23 июня 2010 Dmitry V. Levin] написал:

> Конечно, атаки на клиентские системы, использующие ключи, существуют.
> Но это не значит, что вероятность такой атак выше, чем атаки на сервер со
> слабыми паролями.

особенно, когда забываем убирать ключи старых юзеров, ага.

> А как было бы уютно?

Штатно оставить на усмотрение хозяина системы?

-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Gleb Kulikov]

В сообщении от [Среда 23 июня 2010 Mikhail Efremov] написал:

> P.S. Мне думается, что у мифического "обычного пользователя" на
> десктопе вообще не должен быть запущен sshd. А если уж он его запустил,

Первое, с чем (с удовольствием!) знакомится среднестатистический пользователь. 
это удалённый доступ. ssh и nx.

-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Eugene Prokopiev]

23 июня 2010 г. 15:21 пользователь Slava Dubrovskiy
<slava@tangramltd.com> написал:
> 23.06.2010 14:11, Evgen пишет:
>> 23.06.2010 15:05, Anton Gorlov пишет:
>>> Anton Farygin пишет:
>>>
>>>> И то и то - криво, хотелось бы иметь возможность авторизовываться по
>>>> паролю.
>>>> И да, у меня в системе альтератор отсутствует как класс,
>>>> соответственно пробросить ключик через web-интерфейс нет никакой
>>>> возможности.
>>>
>>> +1.
>> Аналогично.
> Тоже поддерживаю.

+1

-- 
С уважением,
Прокопьев Евгений

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Evgen]

23.06.2010 15:15, Anton Farygin пишет:

> Альтератор безусловно нужен некоторому количеству пользователей, но
> перейти на использование исключительно альтератора я готов только после
> того, как на его использование перейдёт лично ldv@ на всех серверах ;)

Более, чем убедительно.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

24.06.2010 07:24, Gleb Kulikov пишет:
> В сообщении от [Среда 23 июня 2010 Dmitry V. Levin] написал:
>
>> Конечно, атаки на клиентские системы, использующие ключи, существуют.
>> Но это не значит, что вероятность такой атак выше, чем атаки на сервер со
>> слабыми паролями.
>
> особенно, когда забываем убирать ключи старых юзеров, ага.
>
>> А как было бы уютно?
>
> Штатно оставить на усмотрение хозяина системы?

Оно и в том и в том случае на усмотрении хозяина системы. Речь идёт об 
удобных умолчаниях.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Gleb Kulikov]

В сообщении от [Четверг 24 июня 2010 Anton Farygin] написал:

> Оно и в том и в том случае на усмотрении хозяина системы. Речь идёт об
> удобных умолчаниях.

Как при предлагаемых умолчаниях удобно зайти/залить ключ на свежепоставленную 
систему, физический доступ к которой затруднён а ssh-copy-id, по "очевидным 
удобным умолчаниям" посылает в сад, канавы рыть?

-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Motsyo Gennadi aka Drool]

Gleb Kulikov пишет:
> Как при предлагаемых умолчаниях удобно зайти/залить ключ на свежепоставленную 
> систему, физический доступ к которой затруднён а ssh-copy-id, по "очевидным 
> удобным умолчаниям" посылает в сад, канавы рыть?

	А мне также не совсем понятен смысл такого поведения в небольших сетях 
внутри контор, офисов и организаций. Далеко не 100% линукс-систем 
являются критичными серверами, на которые злобными хацкерами ведутся 
атаки снаружи. Мне, к примеру, такое по умолчанию ну нафиг не нужно. 
Хотя на двух своих серверах, имеющих доступ с интернета я сделал 
авторизацию по ключу за пару минут.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Sergey]

On Thursday 24 June 2010, Motsyo Gennadi aka Drool wrote:

> Далеко не 100% линукс-систем являются критичными серверами, на которые
> злобными хацкерами ведутся атаки снаружи.

Не "злобными хацкерами", а "тупыми железными червями". Они просто ползают,
где могут, вне зависимости от важности хоста.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

24.06.2010 10:55, Motsyo Gennadi aka Drool пишет:
> Gleb Kulikov пишет:
>> Как при предлагаемых умолчаниях удобно зайти/залить ключ на
>> свежепоставленную систему, физический доступ к которой затруднён а
>> ssh-copy-id, по "очевидным удобным умолчаниям" посылает в сад, канавы
>> рыть?
>
> А мне также не совсем понятен смысл такого поведения в небольших сетях
> внутри контор, офисов и организаций. Далеко не 100% линукс-систем
> являются критичными серверами, на которые злобными хацкерами ведутся
> атаки снаружи. Мне, к примеру, такое по умолчанию ну нафиг не нужно.
> Хотя на двух своих серверах, имеющих доступ с интернета я сделал
> авторизацию по ключу за пару минут.

100% линукс-систем является потенциально уязвимыми для программ-червей, 
которые атакуют методом перебора.

После успешной атаки такие системы, как правило, используются для 
рассылки спама или распределённой атаки на другие сервера.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

24.06.2010 10:50, Gleb Kulikov пишет:
> В сообщении от [Четверг 24 июня 2010 Anton Farygin] написал:
>
>> Оно и в том и в том случае на усмотрении хозяина системы. Речь идёт об
>> удобных умолчаниях.
>
> Как при предлагаемых умолчаниях удобно зайти/залить ключ на свежепоставленную
> систему, физический доступ к которой затруднён а ssh-copy-id, по "очевидным
> удобным умолчаниям" посылает в сад, канавы рыть?

Уже исправили, всё будет работать.
Вопрос закрыт.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Motsyo Gennadi aka Drool]

Sergey пишет:
> On Thursday 24 June 2010, Motsyo Gennadi aka Drool wrote:
> 
>> Далеко не 100% линукс-систем являются критичными серверами, на которые
>> злобными хацкерами ведутся атаки снаружи.
> 
> Не "злобными хацкерами", а "тупыми железными червями". Они просто ползают,
> где могут, вне зависимости от важности хоста.

	Для того, чтобы ползать где могут, им нужно сначала проползти мимо 
сервера/роутера/etc. Вот там и нужно такое поведение, но не на обычных 
пользовательских десктопах, стоящих внутри сети. Тем более, что sshd в 
последнее время на десктопах по умолчанию заглушен.
	Я понимаю - партия решила, то сделают. Ну так хоть сделайте какую-то 
простую ручку (alterator-sshd или control sshd), зачем усложнять простые 
вещи? Лично мне сильно проще перевести на своем роутере авторизацию на 
ключ, чем внутри сети отключать эту "фишку" на некотором количестве машин.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

24.06.2010 12:54, Motsyo Gennadi aka Drool пишет:
> Sergey пишет:
>> On Thursday 24 June 2010, Motsyo Gennadi aka Drool wrote:
>>
>>> Далеко не 100% линукс-систем являются критичными серверами, на которые
>>> злобными хацкерами ведутся атаки снаружи.
>>
>> Не "злобными хацкерами", а "тупыми железными червями". Они просто
>> ползают,
>> где могут, вне зависимости от важности хоста.
>
> Для того, чтобы ползать где могут, им нужно сначала проползти мимо
> сервера/роутера/etc. Вот там и нужно такое поведение, но не на обычных
> пользовательских десктопах, стоящих внутри сети. Тем более, что sshd в
> последнее время на десктопах по умолчанию заглушен.
> Я понимаю - партия решила, то сделают. Ну так хоть сделайте какую-то
> простую ручку (alterator-sshd или control sshd), зачем усложнять простые
> вещи? Лично мне сильно проще перевести на своем роутере авторизацию на
> ключ, чем внутри сети отключать эту "фишку" на некотором количестве машин.

не понимаю - поправить /etc/openssh/sshd_config с помощью текстового 
редактора уже запрещено ?

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Motsyo Gennadi aka Drool]

Anton Farygin пишет:
> не понимаю - поправить /etc/openssh/sshd_config с помощью текстового 
> редактора уже запрещено ?

	Антон, не все держат в голове точный синтаксис конфига sshd. Не 
запрещено, но и ручка для этого была бы удобней. Иначе нафига тогда 
вообще все эти велосипеды с альтераторами да control-ом.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

24.06.2010 14:24, Motsyo Gennadi aka Drool пишет:
> Anton Farygin пишет:
>> не понимаю - поправить /etc/openssh/sshd_config с помощью текстового
>> редактора уже запрещено ?
>
> Антон, не все держат в голове точный синтаксис конфига sshd. Не
> запрещено, но и ручка для этого была бы удобней. Иначе нафига тогда
> вообще все эти велосипеды с альтераторами да control-ом.

Какой там точный синтаксис... всё просто. Загляните в него хотя-бы один 
разочек ради интереса.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Motsyo Gennadi aka Drool]

Anton Farygin пишет:
> Какой там точный синтаксис... всё просто. Загляните в него хотя-бы один 
> разочек ради интереса.

	Если Вы внимательно читали мои посты - я туда заглядывал, когда нужно. 
Но поскольку мне это нужно было всего пару раз, как и большинству - мне 
понадобилось почитать документацию, чтоб переключить авторизацию на 
ключ, точно также переключить на авторизацию по паролю с закрытими 
глазами не смогу. Это во-первых, во-вторых - ручная правка конфига на >= 
1 десктопе по времени сильно дольше, чем конструкция типа

control sshd password

	Или я один такой, у кого внутри сети, закрытой модемом в режиме 
роутера, а после него циской, нафиг не нужен интим с ключами для того, 
чтоб на соседней машине запустить k3b или ООо через ssh -Y?

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Mykola S. Grechukh]

2010/6/24 Motsyo Gennadi aka Drool <>:
>        Или я один такой, у кого внутри сети, закрытой модемом в режиме
> роутера, а после него циской, нафиг не нужен интим с ключами для того, чтоб
> на соседней машине запустить k3b или ООо через ssh -Y?

Ровно для названного Вами проще и удобнее использовать авторизацию по
ключам, а не тренироваться в скоростном печатании паролей.

И, о каком интиме с ключами идёт речь?

-- 
Mykola Grechukh
RISC Group IT Solutions

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Motsyo Gennadi aka Drool]

Mykola S. Grechukh пишет:
> Ровно для названного Вами проще и удобнее использовать авторизацию по
> ключам, а не тренироваться в скоростном печатании паролей.

	А... Ключи без пароля.. Ну-ну...

> И, о каком интиме с ключами идёт речь?

	Я не признаю ключей без пролей. А поскольку пароль мне приходится 
набирать и так, и так, то интимом считаю лишние (для меня) телодвижения 
по переключению на авторизацию по паролю, либо по генерации ключей там, 
где они по уровню безопасности не нужны.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Mykola S. Grechukh]

2010/6/24 Motsyo Gennadi aka Drool <>:
> Mykola S. Grechukh пишет:
>>
>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>> ключам, а не тренироваться в скоростном печатании паролей.
>
>        А... Ключи без пароля.. Ну-ну...

нет, ssh-agent(1)

>
>> И, о каком интиме с ключами идёт речь?
>
>   либо по генерации ключей там, где они
> по уровню безопасности не нужны.

Зачем их генерить?

-- 
Mykola Grechukh
RISC Group IT Solutions

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Motsyo Gennadi aka Drool]

Mykola S. Grechukh пишет:
>>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>>> ключам, а не тренироваться в скоростном печатании паролей.
>>        А... Ключи без пароля.. Ну-ну...
> 
> нет, ssh-agent(1)

	И генерировать ключики уже не нужно? А то "disabled 
PasswordAuthentication for "wheel" group members" как-бы намекает.

> Зачем их генерить?

	Чтоб они появились.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

24.06.2010 15:46, Motsyo Gennadi aka Drool пишет:
> Mykola S. Grechukh пишет:
>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>> ключам, а не тренироваться в скоростном печатании паролей.
>
> А... Ключи без пароля.. Ну-ну...
>
>> И, о каком интиме с ключами идёт речь?
>
> Я не признаю ключей без пролей. А поскольку пароль мне приходится
> набирать и так, и так, то интимом считаю лишние (для меня) телодвижения
> по переключению на авторизацию по паролю, либо по генерации ключей там,
> где они по уровню безопасности не нужны.

man ssh-add

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Mykola S. Grechukh]

2010/6/24 Motsyo Gennadi aka Drool <>:
> Mykola S. Grechukh пишет:
>>>>
>>>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>>>> ключам, а не тренироваться в скоростном печатании паролей.
>>>
>>>       А... Ключи без пароля.. Ну-ну...
>>
>> нет, ssh-agent(1)
>
>        И генерировать ключики уже не нужно?

не пытайтесь сменить тему. Мы обсуждали сравнительное удобство
использования парольной аутентификации и ключей с паролем.

>  А то "disabled
> PasswordAuthentication for "wheel" group members" как-бы намекает.
>> Зачем их генерить?
>        Чтоб они появились.

То есть у Вас нет ни одного ключа? Ну сгенерите один, делов-то. Я не
понял зачем их генерить сотнями.

-- 
Mykola Grechukh
RISC Group IT Solutions

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

24.06.2010 15:58, Motsyo Gennadi aka Drool пишет:
> Mykola S. Grechukh пишет:
>>>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>>>> ключам, а не тренироваться в скоростном печатании паролей.
>>> А... Ключи без пароля.. Ну-ну...
>>
>> нет, ssh-agent(1)
>
> И генерировать ключики уже не нужно? А то "disabled
> PasswordAuthentication for "wheel" group members" как-бы намекает.

Глюч генерится один раз на десктопе (или сервере) сисамдина.

>
>> Зачем их генерить?
>
> Чтоб они появились.

Ключ должен быть один. у того, кто заходит на сервер.

Не надо на каждом сервере что-то генерить. То, что надо - сгенериться само.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Motsyo Gennadi aka Drool]

Anton Farygin пишет:
> Глюч генерится один раз на десктопе (или сервере) сисамдина.

	Серьезно? Не знал.

> Ключ должен быть один. у того, кто заходит на сервер.
> 
> Не надо на каждом сервере что-то генерить. То, что надо - сгенериться само.

	А публичную часть ключа на принимающую машину ложить не нужно?


P.S. На какие только аргументы не пойдут, лишь бы не облегчить другим 
жизнь, сделав банальную ручку, меняющую несколько строк конфига, 
банального для опытного админа. Нафига вообще что-то обсуждать? Ставить 
перед фактом - "с сегодняшнего дня вот так, встречайте. Возражения и 
пожелания не принимаются."

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 548 bytes --]

On Thu, Jun 24, 2010 at 03:15:55PM +0300, Motsyo Gennadi aka Drool wrote:
[...]
> P.S. На какие только аргументы не пойдут, 
> лишь бы не облегчить другим жизнь, сделав 
> банальную ручку, меняющую несколько 
> строк конфига, банального для опытного 
> админа. Нафига вообще что-то обсуждать? 
> Ставить перед фактом - "с сегодняшнего 
> дня вот так, встречайте. Возражения и 
> пожелания не принимаются."

Перечитайте весь тред, пожалуйста.  У некоторых писем менялся Subject,
не пропустите их -- они были самые важные.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

24.06.2010 16:15, Motsyo Gennadi aka Drool пишет:
> Anton Farygin пишет:
>> Глюч генерится один раз на десктопе (или сервере) сисамдина.
>
> Серьезно? Не знал.

Конечно.

>
>> Ключ должен быть один. у того, кто заходит на сервер.
>>
>> Не надо на каждом сервере что-то генерить. То, что надо - сгенериться
>> само.
>
> А публичную часть ключа на принимающую машину ложить не нужно?

Нужно. О чём и речь.

>
>
> P.S. На какие только аргументы не пойдут, лишь бы не облегчить другим
> жизнь, сделав банальную ручку, меняющую несколько строк конфига,
> банального для опытного админа. Нафига вообще что-то обсуждать? Ставить
> перед фактом - "с сегодняшнего дня вот так, встречайте. Возражения и
> пожелания не принимаются."

Эта ручка уже сделана, читайте весь тред.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitriy Kruglikov]

24 июня 2010 г. 16:07 пользователь Anton Farygin  написал:
> 24.06.2010 16:15, Motsyo Gennadi aka Drool пишет:
>> А публичную часть ключа на принимающую машину ложить не нужно?
>
> Нужно. О чём и речь.
Видать о том, что включение по умолчанию авторизацию _только_ по ключу
для пользователей из группы wheel делает невозможным размещение этого
ключа на целевую ситстему ...
Даже при условии знания пароля ...


-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Motsyo Gennadi aka Drool]

Anton Farygin пишет:
> Эта ручка уже сделана, читайте весь тред.

	Я следил за всем тредом с Вашего самого первого сообщения. Видать, 
что-то пропустил, только-что перечитал снова весь тред. Но, наверное, я 
как-то по своему воспринимаю выражение "уже сделано", т.к. ни в одном 
письме выражения "ок, так и решили, делаем так-то и так-то/такую-то и 
такую-то ручку" не встретил. Тем более, что большинство ответивших в 
этом треде высказались за сомнительное удобство нового умолчания (без 
рубильника).
	За сим откланиваюсь.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 635 bytes --]

On Thu, Jun 24, 2010 at 04:38:26PM +0300, Motsyo Gennadi aka Drool wrote:
> Anton Farygin пишет:
> >Эта ручка уже сделана, читайте весь тред.
> 
> 	Я следил за всем тредом с Вашего 
> 	самого первого сообщения. Видать, что-то 
> пропустил, только-что перечитал снова 
> весь тред. Но, наверное, я как-то по своему 
> воспринимаю выражение "уже сделано", т.к. 
> ни в одном письме выражения "ок, так и 
> решили, делаем так-то и так-то/такую-то и 
> такую-то ручку" не встретил.

Принимая во внимание необъятность треда, даю точную ссылку:
http://lists.altlinux.org/pipermail/sisyphus/2010-June/348009.html


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

24.06.2010 17:10, Dmitriy Kruglikov пишет:
> 24 июня 2010 г. 16:07 пользователь Anton Farygin  написал:
>> 24.06.2010 16:15, Motsyo Gennadi aka Drool пишет:
>>> А публичную часть ключа на принимающую машину ложить не нужно?
>>
>> Нужно. О чём и речь.
> Видать о том, что включение по умолчанию авторизацию _только_ по ключу
> для пользователей из группы wheel делает невозможным размещение этого
> ключа на целевую ситстему ...
> Даже при условии знания пароля ...

Это уже откатили.

Теперь данное изменение целиком на совести дистрибутива/программы установки.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitriy Kruglikov]

24 июня 2010 г. 18:23 пользователь Anton Farygin написал:
>
> Это уже откатили.
Уже заметил :)

> Теперь данное изменение целиком на совести дистрибутива/программы установки.

Теперь можно можно спокойно прикинуть ТЗ на модуль альтератора...
Составить список настроек, которыми нужно рулить, а остальное уже дело
техники ...

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 754 bytes --]

On Thu, Jun 24, 2010 at 03:15:55PM +0300, Motsyo Gennadi aka Drool wrote:

MGaD> 	А публичную часть ключа на принимающую машину ложить не нужно?

А пароль на пользователя устанавливать не надо? А еще и запоминать и
хранить где-то.

Или у вас еще и пароли на всех этих машинах одинаковые???

P.S. Если у человека машин _много_, то куда проще один раз сделать
пакетик, который создает пользователя и кладет ему public key. Для
упрощения установки клиентских машин -- у меня такой пакетик есть, и в
образе дистрибутива, который я выдаю клиентам такой пакетик -- есть, и
устанавливается одним кликом в инсталляторе.

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Eugene Prokopiev]

24 июня 2010 г. 19:55 пользователь Денис Смирнов <mithraen@altlinux.ru> написал:

> P.S. Если у человека машин _много_, то куда проще один раз сделать
> пакетик, который создает пользователя и кладет ему public key. Для
> упрощения установки клиентских машин -- у меня такой пакетик есть, и в
> образе дистрибутива, который я выдаю клиентам такой пакетик -- есть, и
> устанавливается одним кликом в инсталляторе.

А public key пакет кладет в ~ или есть более дистрибутивное место? И
установка этого пакета из твоего образа опциональна?

Когда профиль с пакетом показывать будешь? :)

-- 
С уважением,
Прокопьев Евгений

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Anton Farygin]

25.06.2010 08:15, Eugene Prokopiev пишет:
> 24 июня 2010 г. 19:55 пользователь Денис Смирнов<mithraen@altlinux.ru>  написал:
>
>> P.S. Если у человека машин _много_, то куда проще один раз сделать
>> пакетик, который создает пользователя и кладет ему public key. Для
>> упрощения установки клиентских машин -- у меня такой пакетик есть, и в
>> образе дистрибутива, который я выдаю клиентам такой пакетик -- есть, и
>> устанавливается одним кликом в инсталляторе.
>
> А public key пакет кладет в ~ или есть более дистрибутивное место? И
> установка этого пакета из твоего образа опциональна?

Есть каталоги
/etc/openssh/authorized_keys*/

ключ - файл, имя которого соответствует имени пользователя, нужно 
положить в один из этих каталогов.

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1731 bytes --]

On Fri, Jun 25, 2010 at 08:15:12AM +0400, Eugene Prokopiev wrote:

EP> А public key пакет кладет в ~ или есть более дистрибутивное место? И

/etc/openssh/authorized_keys2

EP> установка этого пакета из твоего образа опциональна?

Да, потому как этот образ используется в том числе некоторыми коллегами,
которым ну никак не надо давать мне доступ к машинкам своих клиентов :)

Подожди, ты же вроде видел этот волшебный секретный образ? Там среди групп
пакетов последний в списке -- удаленный доступ для меня.

EP> Когда профиль с пакетом показывать будешь? :)

А что там показывать? Я сие не выкладываю а держу внутри по одной простой
причине -- чтобы кто-нибудь себе случайно не собрал дистрибутив с моим
ключиком. Это-ж бэкдор получается, из коробки.

С клиентами понятно -- им это надо, чтобы не учить их организовывать мне
удаленный доступ, ибо виндузятнику объяснять что надо "создать
пользователя, добавить его в wheel, добваить его в sudo, и т.д." проще
убиться.

В том образе, который я буду выкладывать публично -- видимо этого
волшебного пакетика не будет. Возможно будет ссылка apt-репо где этот
пакетик лежит, и краткая инструкция как этот пакетик поставить.

Уж чего-чего, а жалоб от какого-нибудь ламера, который ткнул галку не
глядя а потом стал вопить что злобный mithraen@ делает бэкдоры -- мне
слышать совсем не хочется.

Собственно ровно по той же причине этого пакета нет в Сизифе. Ну и вообще
-- кому кроме моих клиентов такой пакет нужен? :)

Хочешь дать мне на все свои сервера удаленный доступ с беспарольным sudo?
;-) А нафига он мне? ;-)

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Eugene Prokopiev]

25 июня 2010 г. 11:44 пользователь Денис Смирнов <mithraen@altlinux.ru> написал:
> On Fri, Jun 25, 2010 at 08:15:12AM +0400, Eugene Prokopiev wrote:
>
> EP> А public key пакет кладет в ~ или есть более дистрибутивное место? И
>
> /etc/openssh/authorized_keys2
>
> EP> установка этого пакета из твоего образа опциональна?
>
> Да, потому как этот образ используется в том числе некоторыми коллегами,
> которым ну никак не надо давать мне доступ к машинкам своих клиентов :)
>
> Подожди, ты же вроде видел этот волшебный секретный образ? Там среди групп
> пакетов последний в списке -- удаленный доступ для меня.

Не видел :( И, как сам понимаешь, меня больше профиль интересует, чем
готовый образ ;)

> EP> Когда профиль с пакетом показывать будешь? :)
>
> А что там показывать? Я сие не выкладываю а держу внутри по одной простой
> причине -- чтобы кто-нибудь себе случайно не собрал дистрибутив с моим
> ключиком. Это-ж бэкдор получается, из коробки.
>
> С клиентами понятно -- им это надо, чтобы не учить их организовывать мне
> удаленный доступ, ибо виндузятнику объяснять что надо "создать
> пользователя, добавить его в wheel, добваить его в sudo, и т.д." проще
> убиться.
>
> В том образе, который я буду выкладывать публично -- видимо этого
> волшебного пакетика не будет. Возможно будет ссылка apt-репо где этот
> пакетик лежит, и краткая инструкция как этот пакетик поставить.
>
> Уж чего-чего, а жалоб от какого-нибудь ламера, который ткнул галку не
> глядя а потом стал вопить что злобный mithraen@ делает бэкдоры -- мне
> слышать совсем не хочется.
>
> Собственно ровно по той же причине этого пакета нет в Сизифе. Ну и вообще
> -- кому кроме моих клиентов такой пакет нужен? :)
>
> Хочешь дать мне на все свои сервера удаленный доступ с беспарольным sudo?
> ;-) А нафига он мне? ;-)

Нет, я всего лишь хочу сделать git clone пакета и профиля ;)

-- 
С уважением,
Прокопьев Евгений

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Sergei Epiphanov]

В сообщении от 25 июня 2010 11:44:10 автор Денис Смирнов написал:
> Да, потому как этот образ используется в том числе некоторыми коллегами,
> которым ну никак не надо давать мне доступ к машинкам своих клиентов :)

Вам на сервер заходить с рабочей машины? Тогда:
1) сделать им такой же образ, но без пакета с ключом
2) В пакет с ключом положить только публичный ключ, а не приватный. Публичный 
без приватного никому не нужен.

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Денис Смирнов]

[-- Attachment #1.1: Type: text/plain, Size: 584 bytes --]

On Fri, Jun 25, 2010 at 01:04:33PM +0400, Eugene Prokopiev wrote:

EP> Не видел :( И, как сам понимаешь, меня больше профиль интересует, чем
EP> готовый образ ;)

А! :) Вообще следи за mkimage-profiles-desktop -- я туда потихоньку по
мере тестирования все это счастье сливаю.

EP> Нет, я всего лишь хочу сделать git clone пакета и профиля ;)

В аттаче спек от моего суперпакета :)

Не думаю что мой /etc/sudo.d/mithraen и ключ так уж нужны :)

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #1.2: internal-mithraen.spec --]
[-- Type: text/plain, Size: 1879 bytes --]

Name: internal-mithraen
Summary: Package for servers that I admin
Version: 0.0.5
Release: alt1
License: For internal use
Group: System/Servers
BuildArch: noarch
Packager: Denis Smirnov <mithraen@altlinux.ru>
Source: %name-%version.tar

%package admin
Summary: Package for servers that I admin
Group: System/Servers
Requires(pre): internal-mithraen-user = %version-%release
Requires: appliance-base-glibc

%description admin
Package for servers that I admin

%package user
Summary: Package for servers that I admin
Group: System/Servers
Requires(pre): shadow-utils
Requires(pre): shadow-groups
Requires(pre): zsh
Requires(pre): asterisk-user

%description user
Package for servers that I admin

%description
Package for servers that I admin


%prep
%setup

%install
install -D -m 644 id_dsa.pub %buildroot%_sysconfdir/openssh/authorized_keys2/mithraen
install -D -m 644 id_dsa.pub %buildroot%_sysconfdir/openssh/authorized_keys2/root
install -D -m 400 sudoers    %buildroot%_sysconfdir/sudo.d/mithraen

%pre user
groupadd -f mithraen
useradd -s /bin/zsh -c "Denis Smirnov" -g mithraen -G wheel,rpm,proc,cdwriter,pbxadmin  -m mithraen 2> /dev/null ||:
usermod -s /bin/zsh -c "Denis Smirnov" -G wheel,rpm,proc,cdwriter,pbxadmin mithraen ||:
gpasswd -a mithraen cdrom

%files admin
%_sysconfdir/openssh/authorized_keys2/root

%files user
%_sysconfdir/sudo.d/mithraen
%_sysconfdir/openssh/authorized_keys2/mithraen

%changelog
* Fri Mar 26 2010 Denis Smirnov <mithraen@altlinux.ru> 0.0.5-alt1
- update sudo config

* Thu Sep 17 2009 Denis Smirnov <mithraen@altlinux.ru> 0.0.4-alt1
- add mithraen to 'pbxadmin' group

* Wed Sep 09 2009 Denis Smirnov <mithraen@altlinux.ru> 0.0.3-alt1
- more updates in user creation

* Tue Sep 08 2009 Denis Smirnov <mithraen@altlinux.ru> 0.0.2-alt1
- fix user creation

* Sun Jul 12 2009 Denis Smirnov <mithraen@altlinux.ru> 0.0.1-alt1
- first build


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 659 bytes --]

On Fri, Jun 25, 2010 at 01:05:28PM +0400, Sergei Epiphanov wrote:

SE> Вам на сервер заходить с рабочей машины? Тогда:
SE> 1) сделать им такой же образ, но без пакета с ключом
SE> 2) В пакет с ключом положить только публичный ключ, а не приватный. Публичный 
SE> без приватного никому не нужен.

Дык так и сделано - есть образ с публичным ключом, который по одному клику
в инсталлере будет у них установлен.

Засада в том, что такая вещь, если устанавливается по умолчанию и без
громких матюков -- называется backdoor.

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Sergei Epiphanov]

В сообщении от 25 июня 2010 13:51:13 автор Денис Смирнов написал:
> SE> Вам на сервер заходить с рабочей машины? Тогда:
> SE> 1) сделать им такой же образ, но без пакета с ключом
> SE> 2) В пакет с ключом положить только публичный ключ, а не приватный.
> Публичный  SE> без приватного никому не нужен.
> 
> Дык так и сделано - есть образ с публичным ключом, который по одному клику
> в инсталлере будет у них установлен.
> 
> Засада в том, что такая вещь, если устанавливается по умолчанию и без
> громких матюков -- называется backdoor.

Да я знаю про backdoor. Но что мешает им сделать образ без этого пакета? Ваш 
же образ как-то сделан.

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Eugene Prokopiev]

25 июня 2010 г. 13:49 пользователь Денис Смирнов <mithraen@altlinux.ru> написал:
> On Fri, Jun 25, 2010 at 01:04:33PM +0400, Eugene Prokopiev wrote:
>
> EP> Не видел :( И, как сам понимаешь, меня больше профиль интересует, чем
> EP> готовый образ ;)
>
> А! :) Вообще следи за mkimage-profiles-desktop -- я туда потихоньку по
> мере тестирования все это счастье сливаю.

Свистни как сольешь и скажи имя цели :)

> EP> Нет, я всего лишь хочу сделать git clone пакета и профиля ;)
>
> В аттаче спек от моего суперпакета :)
>
> Не думаю что мой /etc/sudo.d/mithraen и ключ так уж нужны :)

Не могу взять в толк, чем и кому публикация этого пакета на git.alt
могла бы повредить ;) Однако все равно спасибо :)

-- 
С уважением,
Прокопьев Евгений

[sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Thu, Jun 24, 2010 at 04:01:40PM +0400, Anton Farygin wrote:
> Глюч генерится один раз на десктопе (или сервере) сисамдина.

JFYI: некоторые мои знакомые генерят на каждый хост/группу,
и мне сложно обвинить их в безграмотности.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Aleksey Novodvorsky]

25.06.10, Michael Shigorin<mike@osdn.org.ua> написал(а):
> On Thu, Jun 24, 2010 at 04:01:40PM +0400, Anton Farygin wrote:
>  > Глюч генерится один раз на десктопе (или сервере) сисамдина.
>
>
> JFYI: некоторые мои знакомые генерят на каждый хост/группу,
>  и мне сложно обвинить их в безграмотности.

Это Вы к чему? Чем не устраивает принятое решение?

Rgrds, Алексей

[sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)

[Michael Shigorin]

On Wed, Jun 23, 2010 at 05:27:10PM +0300, Dmitriy Kruglikov wrote:
> >> А не было бы удобнее при сотворении пользователя одним
> >> чекбоксом разрешить ему доступ по SSH ?
> > Набросаешь?
> Что именно?  Пририсовать чекбокс в интерфейс? Без проблем ...

Угу.

> Прямым редактированием конфигов, или дождаться control ?

Второе.

> > Лучше второе, и как обсудили -- предварительно группа users.
> Для серверов я бы предложил wheel...
> Именно потому, что в ней те, которые админы ...

Включение в группу wheel имеет совсем другие последствия,
чем получение удалённого доступа.  То есть обсуждать надо
отдельно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Wed, Jun 23, 2010 at 03:22:53PM +0400, Dmitry V. Levin wrote:
> > # rpm -V openssh-server
> > #
> > Почему образовался .rpmnew? :)
> Значит, ты неосознанно изменил свой /etc/openssh/sshd_config.
> Вряд ли rpmi мог ошибиться.

Удивился пустому выводу rpm -V, ну да ладно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Mykola S. Grechukh]

2010/6/25 Michael Shigorin <mike@osdn.org.ua>:
> On Thu, Jun 24, 2010 at 04:01:40PM +0400, Anton Farygin wrote:
>> Глюч генерится один раз на десктопе (или сервере) сисамдина.
>
> JFYI: некоторые мои знакомые генерят на каждый хост/группу,
> и мне сложно обвинить их в безграмотности.

Разные случаи бывают.

-- 
Mykola Grechukh
RISC Group IT Solutions

Re: [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)

[Michael Shigorin]

On Fri, Jun 25, 2010 at 03:03:43PM +0300, Dmitriy Kruglikov wrote:
> >> Что именно?  Пририсовать чекбокс в интерфейс? Без проблем ...
> > Угу.
> Прототип в git://git.altlinux.org/people/dkr/packages/alterator-sshd.git
> Пока только статус сервиса читает и включает/выключает его
> через chkconfig ...

Для этого per se есть alterator-services. :)

> Скриншот - чистая вестка, без функционала.
> Чего не хватает, что лишнее - внемлю...

sftp в[ы]ключается control sftp. :)

> Жду предложенией/рекомендаций по интерфейсу загрузки ключей
> пользователей на сервер.

В ковчеге есть.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Fri, Jun 25, 2010 at 03:14:45PM +0300, Mykola S. Grechukh wrote:
> >> Глюч генерится один раз на десктопе (или сервере) сисамдина.
> > JFYI: некоторые мои знакомые генерят на каждый хост/группу,
> > и мне сложно обвинить их в безграмотности.
> Разные случаи бывают.

Вот и я о чём. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Michael Shigorin]

On Fri, Jun 25, 2010 at 03:40:41PM +0400, Aleksey Novodvorsky wrote:
> > > Глюч генерится один раз на десктопе (или сервере) сисамдина.
> > JFYI: некоторые мои знакомые генерят на каждый хост/группу,
> > и мне сложно обвинить их в безграмотности.
> Это Вы к чему? Чем не устраивает принятое решение?

Уже устраивает -- жаль, что очередной раз произошёл %post flame,
а не "поинтересоваться заранее", ну да хоть не явочным порядком.

Думаю, обсуждение _практик_ и впрямь лучше унести в sysadmins@,
если ещё требуется.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)

[Dmitriy Kruglikov]

25 июня 2010 г. 15:46 пользователь Michael Shigorin написал:
> Для этого per se есть alterator-services. :)
>
Видел рекомендации Стаса вынести это в интерфейс каждого сервиса ...
> sftp в[ы]ключается control sftp. :)
Это вопросы бакенда ...
А в интерфейсе он просто присутствует ...

>> Жду предложенией/рекомендаций по интерфейсу загрузки ключей
>> пользователей на сервер.
>
> В ковчеге есть.
Там только для root, если я не ошибаюсь ...

Если нужно просто сохранить загружаемый файл
в  /etc/openssh/authorized_keys2/$user_name, то без проблем ...

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Slava Dubrovskiy]

24.06.2010 18:55, Денис Смирнов пишет:
> On Thu, Jun 24, 2010 at 03:15:55PM +0300, Motsyo Gennadi aka Drool wrote:
>
> MGaD> 	А публичную часть ключа на принимающую машину ложить не нужно?
>
> А пароль на пользователя устанавливать не надо? А еще и запоминать и
> хранить где-то.
>
> Или у вас еще и пароли на всех этих машинах одинаковые???
>
> P.S. Если у человека машин _много_, то куда проще один раз сделать
> пакетик, который создает пользователя и кладет ему public key. Для
> упрощения установки клиентских машин -- у меня такой пакетик есть, и в
> образе дистрибутива, который я выдаю клиентам такой пакетик -- есть, и
> устанавливается одним кликом в инсталляторе.
>   
А я сделал скриптик который положил в пакетик
installer-feature-copy-key-to-root в preinstall.d
Скриптик копирует все публичные ключи из metadata.

Тоже очень удобно. Особенно для сетевой установки. Положил ключик в
метадата и начинаешь сетапиться с сети и автоматом получаешь доступ.

-- 
WBR,
Dubrovskiy Vyacheslav

Re: [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)

[Michael Shigorin]

On Fri, Jun 25, 2010 at 03:59:13PM +0300, Dmitriy Kruglikov wrote:
> > Для этого per se есть alterator-services. :)
> Видел рекомендации Стаса вынести это в интерфейс каждого сервиса ...

В смысле "если только для этого".

> > sftp в[ы]ключается control sftp. :)
> Это вопросы бакенда ...
> А в интерфейсе он просто присутствует ...

В интерфейсе заморочки вместо "on/off" ("enabled/disabled").
Вообще хороший интерфейс напоминает человеческий язык,
а не куски конфига. :)

> Если нужно просто сохранить загружаемый файл
> в  /etc/openssh/authorized_keys2/$user_name, то без проблем ...

Угу.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)

[Dmitriy Kruglikov]

25 июня 2010 г. 16:04 пользователь Michael Shigorin написал:
> В смысле "если только для этого".
Я согласен с тем, что "прыгать" из одного интерфейса в другой для
в[ы]ключения сервиса нерационально ...

> В интерфейсе заморочки вместо "on/off" ("enabled/disabled").
Чекбоксом "on/off", а строкой - значение ...

> Вообще хороший интерфейс напоминает человеческий язык,
> а не куски конфига. :)
Мы и на "человечьем" не всегда друг друга понимаем :)
По этому я вынес в интерфейс те настройки, которые сам когда-либо менял.
Есть еще несколько параметров, типа MaxStartups, но их лучше один раз
обсудить и прописать дефолтом, дабы не перегружать интерфейс ...

>> Если нужно просто сохранить загружаемый файл
>> в  /etc/openssh/authorized_keys2/$user_name, то без проблем ...
>
> Угу.
Если "угу", то ко вторнику будет, что потестить ...

P.S.
Жду более активной ругани, а то так и пойдет в Сизиф, на сборку.
Или все согласны ?

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 514 bytes --]

On Fri, Jun 25, 2010 at 02:06:49PM +0400, Sergei Epiphanov wrote:

SE> Да я знаю про backdoor. Но что мешает им сделать образ без этого пакета? Ваш 
SE> же образ как-то сделан.

Вы невнимательно читали :)

Нет проблемы сделать образ без этого пакета. И нет проблемы сделать образ
с этим пакетом. Проблемы вообще нет -- есть сложная ситуация, свое решение
которой я озвучил :)

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 689 bytes --]

On Fri, Jun 25, 2010 at 02:52:13PM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 03:22:53PM +0400, Dmitry V. Levin wrote:
> > > # rpm -V openssh-server
> > > #
> > > Почему образовался .rpmnew? :)
> > Значит, ты неосознанно изменил свой /etc/openssh/sshd_config.
> > Вряд ли rpmi мог ошибиться.
> 
> Удивился пустому выводу rpm -V, ну да ладно.

Людям свойственно удивляться явлениям, для которых не находится
подходящего объяснения.  Однако ничего потустороннего в данном случае нет:
%attr(600,root,root) %config(noreplace) %verify(not size md5 mtime) %_sysconfdir/%name/sshd_config
- так иногда поступают с файлами, которые редактирует control(8).


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 534 bytes --]

On Fri, Jun 25, 2010 at 04:01:50PM +0300, Slava Dubrovskiy wrote:

SD> А я сделал скриптик который положил в пакетик
SD> installer-feature-copy-key-to-root в preinstall.d
SD> Скриптик копирует все публичные ключи из metadata.
SD> Тоже очень удобно. Особенно для сетевой установки. Положил ключик в
SD> метадата и начинаешь сетапиться с сети и автоматом получаешь доступ.

Ценнейшая вещь! Спасибо.

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]