On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > умолчанию аутентификация по паролю будет выключена для членов
> > группы wheel.
> 
> При обновлении умолчание изменится по сравнению с предыдущим,
> если /etc/openssh/sshd_config не трогался?

Да, конечно.

> > Подробнее об этом см.
> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> 
> По-моему, идея никуда не годится в качестве умолчания, которое
> может самопроизвольно поменяться при обновлении дистрибутива
> с потенциальным DoS.

Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
но на всякий случай я это изменение анонсировал.

Лично я PasswordAuthentication на сервере использую исключительно тогда,
когда мне нужно протестировать этот режим работы при подготовке новой
версии openssh.

> Как недефолтный вариант для control, в идеале связанный с control
> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
> и сам бы пользовался.
> 
> Прошу ещё раз подумать.

Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
если бы не наткнулся на компромиссный вариант, описанный в #17286,
то так бы и сделал.


-- 
ldv