From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.3 required=5.0 tests=AWL,BAYES_00, DNS_FROM_OPENWHOIS autolearn=no version=3.2.5 Date: Wed, 23 Jun 2010 15:24:56 +0300 From: Michael Shigorin To: ALT Linux Sisyphus mailing list Message-ID: <20100623122456.GN14081@osdn.org.ua> Mail-Followup-To: ALT Linux Sisyphus mailing list References: <4C21D3D5.5080804@altlinux.ru> <20100623114441.GJ18051@wo.int.altlinux.org> <87wrtq9d84.fsf@vps2.branbackup.org> <20100622214400.GA22145@wo.int.altlinux.org> <20100622225300.GZ14081@osdn.org.ua> <20100622230857.GB18232@wo.int.altlinux.org> <20100622234523.GG18232@wo.int.altlinux.org> <4C21D3D5.5080804@altlinux.ru> <20100623114441.GJ18051@wo.int.altlinux.org> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <87wrtq9d84.fsf@vps2.branbackup.org> <20100623114441.GJ18051@wo.int.altlinux.org> User-Agent: Mutt/1.4.2.1i Subject: Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: shigorin@gmail.com, ALT Linux Sisyphus discussions List-Id: ALT Linux Sisyphus discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 23 Jun 2010 12:25:01 -0000 Archived-At: List-Archive: List-Post: On Wed, Jun 23, 2010 at 03:44:41PM +0400, Dmitry V. Levin wrote: > Я предлагаю ограничиться > control sshd-password-auth enabled|disabled > control sshd-allow-groups enabled|disabled Угу. > Соответственно, при обновлении никто не пострадает, а спорное > изменение в openssh-server-5.3p1-alt2 можно было бы убрать. Спасибо! > Вопрос в значениях по умолчанию. Меня бы вполне устроили > sshd-password-auth disabled и sshd-allow-groups enabled, > но что-то мне подсказывает, что мои предпочтения в этом > вопросе могут кому-то не подойти. Если бы при создании первого пользователя была разумная возможность положить ему ключик... (или сгенерировать и унести к себе приватную часть) Мне ничего путного на эту тему в голову пока не пришло. С другой стороны, может иметь смысл скинуться тем, как бы кто хотел видеть настройки безопасности "из коробки" в среднем по своим системам _без_ оглядки на других вообще -- и попытаться понять, есть ли возможность сойтись на практичной изкоробочной конфигурации и сделать к ней чё-нить вроде control system hardened. Понятно, что вопрос чувствительный -- что-то можно и на LinuxFest обрисовать. On Wed, Jun 23, 2010 at 11:53:47AM +0000, Vitaly Kuznetsov wrote: > > Вопрос в значениях по умолчанию. Меня бы вполне устроили > > sshd-password-auth disabled и sshd-allow-groups enabled, > > но что-то мне подсказывает, что мои предпочтения в этом > > вопросе могут кому-то не подойти. > Если хочется не ломать работающее, то придётся в дефолтовом > конфиге делать ровно наоборот "enabled disabled" (иначе > у некоторых юзеров после обновления отвалится доступ). > В дистрибутивах предлагаю сделать соответствующий шаг > установщика. Шаги -- "дорогая" штука. _Может_ быть, такую ручку стоит прикрутить около alterator-root в эксперт-режиме? -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/