On Wed, Jun 23, 2010 at 04:34:28AM +0400, Evgeny Sinelnikov wrote: > 23 июня 2010 г. 4:19 пользователь Dmitry V. Levin написал: > > On Wed, Jun 23, 2010 at 04:17:20AM +0400, Evgeny Sinelnikov wrote: > >> 23 июня 2010 г. 4:03 пользователь Dmitry V. Levin написал: > >> > On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote: > >> >> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin написал: > >> >> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote: > >> >> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin написал: > >> >> >> > > >> >> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию > >> >> >> > аутентификация по паролю будет выключена для членов группы wheel. > >> >> >> > > >> >> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286 > >> >> >> > >> >> >> А можно ли добавить в политики по умолчанию, для openssh, обратную > >> >> >> группу? Группу тех, кого пускают. > >> >> > > >> >> > Кого пускают, или у кого пароль спрашивают? > >> >> > >> >> Кого не пускают кроме... > >> >> Сценарий 2. > >> >> > >> >> > Для первого, вообще говоря, существует AllowUsers/AllowGroups. > >> >> > >> >> Так по-лучше, но могут ли эти опции пускать только из этих групп, а > >> >> других не пускать? > >> > > >> > Не понял, не пускать пользователей, которые входят не только в эти группы? > >> > Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5). > >> > > >> Нужно, чтобы всех пользователей, которые не входят в заданную группу, > >> например remote, не пускали. Как это сделать с помощью sshd_config? > > > > AllowGroups remote > > Отлично, а можно эту строку добавить в конфиг, по умолчанию? ;) > Полагаю, что ответ нет, поскольку это точно подстава при обновлении. Миша утверждает, что даже "PasswordAuthentication no" для группы wheel -- это DoS (хотя я примерил это изменение на себя, и мне так не кажется). А подобное изменение ввиду низкой вероятности существования группы remote было бы эквивалентно выключению sshd. > Лучше, бы это через control, прикрутить....... Но у нас ведь нет > /etc/openssh/sshd_config.d/, чтобы настройки добавлять, без > необходимости парсинга всего файла ? А у кого есть такое, и как оно работает? > Хотя можно и весь файл парсить... Но тяжкое это занятие... Одну строчку в этом файле несложно парсить, см. напр. /etc/control.d/facilities/sftp -- ldv