From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <slazav@altlinux.org>
Date: Wed, 23 Jun 2010 03:49:50 +0400
From: Vladislav Zavjalov <slazav@altlinux.org>
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
Message-ID: <20100622234950.GC19626@imap.altlinux.org>
References: <20100622214400.GA22145@wo.int.altlinux.org>
	<20100622225300.GZ14081@osdn.org.ua>
	<20100622231844.GA19626@imap.altlinux.org>
	<20100622232124.GD18232@wo.int.altlinux.org>
	<20100622232216.GB19626@imap.altlinux.org>
	<20100622233316.GE18232@wo.int.altlinux.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20100622233316.GE18232@wo.int.altlinux.org>
User-Agent: Mutt/1.4.2.3i
Subject: Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled
	PasswordAuthentication for "wheel" group members
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 22 Jun 2010 23:49:54 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20100622234950.GC19626@imap.altlinux.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

On Wed, Jun 23, 2010 at 03:33:16AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 03:22:16AM +0400, Vladislav Zavjalov wrote:
> > On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > > > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > > группы wheel.
> > > > > 
> > > > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > > > если /etc/openssh/sshd_config не трогался?
> > > > > 
> > > > > > Подробнее об этом см.
> > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > > > 
> > > > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > > > может самопроизвольно поменяться при обновлении дистрибутива
> > > > > с потенциальным DoS.
> > > > 
> > > > Может, переходный период с
> > > > 
> > > > Match Group weel
> > > >   Banner /etc/openssh/weel_warn.txt
> > > 
> > > Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> > > уже выключено.
> > > https://lists.altlinux.org/mailman/listinfo/sisyphus
> > 
> > У кого выключено - конфиг не заменится.
> 
> Да, пожалуй что у них будет sshd_config.rpmnew; давайте быстренько сочиним
> текст для баннера, пока openssh-server-5.3p1-alt2 ещё не добрался до ftp.

Может быть, что-то такое (в переводе на английский, разумеется)?

Внимание! Вы входите в группу wheel на этом компьютере. В дефолтной
конфигурации ssh-сервера аутентификация по паролю для этой группы
будет отключена в ближайшее время.
Убедитесь, что вы сможете использовать аутентификацию по ключу, или же
измените конфигурацию ssh-сервера подходящим вам образом.

Еще можно дать ссылку на это обсуждение, или на bugzilla, или на wiki,
туда, где будут простым русским языкм написаны более подробные рецепты (типа
"если вы ничего не хотите менять - просто удалите в кофиге строчки с
Match и Banner")