From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: "Dmitry V. Levin" To: ALT Linux Spring mailing list Message-ID: <20010814151810.A16172@ldv.office.alt-linux.org> Mail-Followup-To: "Dmitry V. Levin" , ALT Linux Spring mailing list References: <200108140920.f7E9KAU53576@www3.mailru.com> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="7JfCtLOvnd9MIVvH" Content-Disposition: inline In-Reply-To: <200108140920.f7E9KAU53576@www3.mailru.com>; from rromas@mailru.com on Tue, Aug 14, 2001 at 01:20:10PM +0400 X-fingerprint: 9658 398D 181B 1200 8FC5 26B8 F6F8 846B C1E2 3429 Subject: [mdk-re] Re: =?koi8-r?B?W21kay1yZV0g8M/Uxc7DycHM2M7B0SDE2dLBIMnMySDOxdQ/?= Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Tue Aug 14 15:27:35 2001 X-Original-Date: Tue, 14 Aug 2001 15:18:10 +0400 Archived-At: List-Archive: List-Post: --7JfCtLOvnd9MIVvH Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Tue, Aug 14, 2001 at 01:20:10PM +0400, Roman S wrote: > Обнаружил в архиве логов интересную штуку - удалённый > вход через SSH по профилю, который уже был заблокирован! Что понимается под "профиль, который уже был заблокирован"? > У профиля в доме валялся SSH-ключик... chown 0:0 ~профиль chmod 0 ~профиль userdel профиль Эта последовательность надежно блокирует профиль. :) > В связи с тем, что сейчас нет системы для экспериментов > - Вопрос: > Это исходное отверстие в Slackware (вход по SSH > заблокированным пользователем) или "творчество" > администратора? Это специфика авторизации openssh при использовании ключа. Поведением можно управлять при помощи /etc/pam.d/sshd, имея в виду, что при авторизации по ключу "auth" обрабатываться не будет. > Если дыра, то есть ли в Spring? > Если есть, то как бороть? В очередной версии, скорее всего, будет 2 pam-файла для openssh: один для pam auth и другой для не-pam auth (например, по ключу). Ибо сейчас, например, при авторизации по ключу строка auth required /lib/security/pam_nologin.so просто не отрабатывает. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.ru/ Fandra Project http://www.fandra.org/ +-------------------------------------------------------------------------+ --7JfCtLOvnd9MIVvH Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE7eQjy9viEa8HiNCkRAkhdAJ9pbwbwRd4g8MbnzYwYpoZOnbzGuwCfYE82 T3NgKBU4tjBL9XkkZeymC8c= =1DBA -----END PGP SIGNATURE----- --7JfCtLOvnd9MIVvH--