On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote: > 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin написал: > > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote: > >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin написал: > >> > > >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию > >> > аутентификация по паролю будет выключена для членов группы wheel. > >> > > >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286 > >> > >> А можно ли добавить в политики по умолчанию, для openssh, обратную > >> группу? Группу тех, кого пускают. > > > > Кого пускают, или у кого пароль спрашивают? > > Кого не пускают кроме... > Сценарий 2. > > > Для первого, вообще говоря, существует AllowUsers/AllowGroups. > > Так по-лучше, но могут ли эти опции пускать только из этих групп, а > других не пускать? Не понял, не пускать пользователей, которые входят не только в эти группы? Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5). > > Суть анонсированного изменения в усилении действующей по умолчанию защиты > > "PermitRootLogin without-password": в дополнении к отключению возможности > > удалённого подбора пароля рута теперь отключается возможность удалённого > > подбора паролей пользователей, которые, будучи взломанными, открывали бы > > возможность прямого локального подбора пароля рута. > > > > Хотелось бы быть защищённым не только от "удалённого подбора паролей > пользователей, которые, будучи взломанными, открывали бы возможность > прямого локального подбора пароля рута", но и вообще от подбора > паролей не доверенных пользователей. Тогда пароли доверенных пользователей станут особенно уязвимыми. -- ldv