On Wed, Jun 23, 2010 at 03:33:16AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 03:22:16AM +0400, Vladislav Zavjalov wrote:
> > On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > > > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > > группы wheel.
> > > > > 
> > > > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > > > если /etc/openssh/sshd_config не трогался?
> > > > > 
> > > > > > Подробнее об этом см.
> > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > > > 
> > > > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > > > может самопроизвольно поменяться при обновлении дистрибутива
> > > > > с потенциальным DoS.
> > > > 
> > > > Может, переходный период с
> > > > 
> > > > Match Group weel
> > > >   Banner /etc/openssh/weel_warn.txt
> > > 
> > > Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> > > уже выключено.
> > > https://lists.altlinux.org/mailman/listinfo/sisyphus
> > 
> > У кого выключено - конфиг не заменится.
> 
> Да, пожалуй что у них будет sshd_config.rpmnew; давайте быстренько сочиним
> текст для баннера, пока openssh-server-5.3p1-alt2 ещё не добрался до ftp.

Нет, Banner не годится, потому что текст показывается перед
аутентификацией, а это уже существенная утечка информации.


-- 
ldv