* [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
@ 2010-06-22 21:44 Dmitry V. Levin
2010-06-22 22:48 ` Igor Zubkov
` (4 more replies)
0 siblings, 5 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-22 21:44 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 237 bytes --]
Hi,
В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
аутентификация по паролю будет выключена для членов группы wheel.
Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 21:44 [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
@ 2010-06-22 22:48 ` Igor Zubkov
2010-06-22 22:59 ` Dmitry V. Levin
2010-06-22 22:51 ` Evgeny Sinelnikov
` (3 subsequent siblings)
4 siblings, 1 reply; 153+ messages in thread
From: Igor Zubkov @ 2010-06-22 22:48 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> Hi,
>
> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> аутентификация по паролю будет выключена для членов группы wheel.
>
> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
И к чему это приведёт? Ну т.е. как было и как станет?
--
Igor Zubkov
http://hi.im/ice
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 21:44 [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
2010-06-22 22:48 ` Igor Zubkov
@ 2010-06-22 22:51 ` Evgeny Sinelnikov
2010-06-22 23:18 ` Dmitry V. Levin
2010-06-22 22:53 ` Michael Shigorin
` (2 subsequent siblings)
4 siblings, 1 reply; 153+ messages in thread
From: Evgeny Sinelnikov @ 2010-06-22 22:51 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> Hi,
>
> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> аутентификация по паролю будет выключена для членов группы wheel.
>
> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
А можно ли добавить в политики по умолчанию, для openssh, обратную
группу? Группу тех, кого пускают. Можно это пробить и руками, через
pam_access:
[mastersin@toiit ~]$ grep pam_access.so /etc/pam.d/sshd
auth required pam_access.so accessfile=/etc/security/sshd_access.conf
[mastersin@toiit ~]$ grep -v '^#' /etc/security/sshd_access.conf
- : ALL EXCEPT (remote) : ALL EXCEPT LOCAL
Что вы, по этому поводу, думаете?
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 21:44 [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
2010-06-22 22:48 ` Igor Zubkov
2010-06-22 22:51 ` Evgeny Sinelnikov
@ 2010-06-22 22:53 ` Michael Shigorin
2010-06-22 23:08 ` Dmitry V. Levin
2010-06-22 23:18 ` Vladislav Zavjalov
2010-06-23 7:23 ` Sergey
2010-06-23 8:49 ` Gleb Kulikov
4 siblings, 2 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-22 22:53 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list; +Cc: imz
On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> умолчанию аутентификация по паролю будет выключена для членов
> группы wheel.
При обновлении умолчание изменится по сравнению с предыдущим,
если /etc/openssh/sshd_config не трогался?
> Подробнее об этом см.
> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
По-моему, идея никуда не годится в качестве умолчания, которое
может самопроизвольно поменяться при обновлении дистрибутива
с потенциальным DoS.
Как недефолтный вариант для control, в идеале связанный с control
sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
и сам бы пользовался.
Прошу ещё раз подумать.
2 imz: ты серьёзно хотел разгонять остатки сисадминов? :(
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 22:48 ` Igor Zubkov
@ 2010-06-22 22:59 ` Dmitry V. Levin
2010-06-23 8:08 ` Андрей Черепанов
0 siblings, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-22 22:59 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 517 bytes --]
On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > Hi,
> >
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> > аутентификация по паролю будет выключена для членов группы wheel.
> >
> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
> И к чему это приведёт? Ну т.е. как было и как станет?
Сменится умолчание: членов группы wheel перестанут пускать по паролю.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 22:53 ` Michael Shigorin
@ 2010-06-22 23:08 ` Dmitry V. Levin
2010-06-22 23:23 ` Кокарев Константин
` (2 more replies)
2010-06-22 23:18 ` Vladislav Zavjalov
1 sibling, 3 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-22 23:08 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list; +Cc: imz
[-- Attachment #1: Type: text/plain, Size: 1318 bytes --]
On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > умолчанию аутентификация по паролю будет выключена для членов
> > группы wheel.
>
> При обновлении умолчание изменится по сравнению с предыдущим,
> если /etc/openssh/sshd_config не трогался?
Да, конечно.
> > Подробнее об этом см.
> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
> По-моему, идея никуда не годится в качестве умолчания, которое
> может самопроизвольно поменяться при обновлении дистрибутива
> с потенциальным DoS.
Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
но на всякий случай я это изменение анонсировал.
Лично я PasswordAuthentication на сервере использую исключительно тогда,
когда мне нужно протестировать этот режим работы при подготовке новой
версии openssh.
> Как недефолтный вариант для control, в идеале связанный с control
> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
> и сам бы пользовался.
>
> Прошу ещё раз подумать.
Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
если бы не наткнулся на компромиссный вариант, описанный в #17286,
то так бы и сделал.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 22:51 ` Evgeny Sinelnikov
@ 2010-06-22 23:18 ` Dmitry V. Levin
2010-06-23 8:31 ` Michael Shigorin
2010-06-23 12:59 ` Mikhail Efremov
0 siblings, 2 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-22 23:18 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 974 bytes --]
On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> > аутентификация по паролю будет выключена для членов группы wheel.
> >
> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
> А можно ли добавить в политики по умолчанию, для openssh, обратную
> группу? Группу тех, кого пускают.
Кого пускают, или у кого пароль спрашивают?
Для первого, вообще говоря, существует AllowUsers/AllowGroups.
Суть анонсированного изменения в усилении действующей по умолчанию защиты
"PermitRootLogin without-password": в дополнении к отключению возможности
удалённого подбора пароля рута теперь отключается возможность удалённого
подбора паролей пользователей, которые, будучи взломанными, открывали бы
возможность прямого локального подбора пароля рута.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 22:53 ` Michael Shigorin
2010-06-22 23:08 ` Dmitry V. Levin
@ 2010-06-22 23:18 ` Vladislav Zavjalov
2010-06-22 23:21 ` Dmitry V. Levin
1 sibling, 1 reply; 153+ messages in thread
From: Vladislav Zavjalov @ 2010-06-22 23:18 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > умолчанию аутентификация по паролю будет выключена для членов
> > группы wheel.
>
> При обновлении умолчание изменится по сравнению с предыдущим,
> если /etc/openssh/sshd_config не трогался?
>
> > Подробнее об этом см.
> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
> По-моему, идея никуда не годится в качестве умолчания, которое
> может самопроизвольно поменяться при обновлении дистрибутива
> с потенциальным DoS.
Может, переходный период с
Match Group weel
Banner /etc/openssh/weel_warn.txt
?
Слава
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:18 ` Vladislav Zavjalov
@ 2010-06-22 23:21 ` Dmitry V. Levin
2010-06-22 23:22 ` Vladislav Zavjalov
2010-06-23 10:04 ` Anton Farygin
0 siblings, 2 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-22 23:21 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 946 bytes --]
On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > умолчанию аутентификация по паролю будет выключена для членов
> > > группы wheel.
> >
> > При обновлении умолчание изменится по сравнению с предыдущим,
> > если /etc/openssh/sshd_config не трогался?
> >
> > > Подробнее об этом см.
> > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >
> > По-моему, идея никуда не годится в качестве умолчания, которое
> > может самопроизвольно поменяться при обновлении дистрибутива
> > с потенциальным DoS.
>
> Может, переходный период с
>
> Match Group weel
> Banner /etc/openssh/weel_warn.txt
Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
уже выключено.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:21 ` Dmitry V. Levin
@ 2010-06-22 23:22 ` Vladislav Zavjalov
2010-06-22 23:33 ` Dmitry V. Levin
2010-06-23 10:04 ` Anton Farygin
1 sibling, 1 reply; 153+ messages in thread
From: Vladislav Zavjalov @ 2010-06-22 23:22 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > группы wheel.
> > >
> > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > если /etc/openssh/sshd_config не трогался?
> > >
> > > > Подробнее об этом см.
> > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > >
> > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > может самопроизвольно поменяться при обновлении дистрибутива
> > > с потенциальным DoS.
> >
> > Может, переходный период с
> >
> > Match Group weel
> > Banner /etc/openssh/weel_warn.txt
>
> Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> уже выключено.
> https://lists.altlinux.org/mailman/listinfo/sisyphus
У кого выключено - конфиг не заменится.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:08 ` Dmitry V. Levin
@ 2010-06-22 23:23 ` Кокарев Константин
2010-06-22 23:35 ` Dmitry V. Levin
2010-06-22 23:32 ` Evgeny Sinelnikov
2010-06-23 9:58 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
2 siblings, 1 reply; 153+ messages in thread
From: Кокарев Константин @ 2010-06-22 23:23 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23.06.2010 03:08, Dmitry V. Levin пишет:
>
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> но на всякий случай я это изменение анонсировал.
>
> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> когда мне нужно протестировать этот режим работы при подготовке новой
> версии openssh.
>
Между серверами удобно файлики scp перебрасывать - ключик страшно
оставлять, а лишний юзер для проброса файлов неудобно.
--
nwtour
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:08 ` Dmitry V. Levin
2010-06-22 23:23 ` Кокарев Константин
@ 2010-06-22 23:32 ` Evgeny Sinelnikov
2010-06-22 23:45 ` Dmitry V. Levin
2010-06-22 23:50 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Evgeny Sinelnikov
2010-06-23 9:58 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
2 siblings, 2 replies; 153+ messages in thread
From: Evgeny Sinelnikov @ 2010-06-22 23:32 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions, imz
23 июня 2010 г. 3:08 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>> > умолчанию аутентификация по паролю будет выключена для членов
>> > группы wheel.
>>
>> При обновлении умолчание изменится по сравнению с предыдущим,
>> если /etc/openssh/sshd_config не трогался?
>
> Да, конечно.
>
>> > Подробнее об этом см.
>> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> По-моему, идея никуда не годится в качестве умолчания, которое
>> может самопроизвольно поменяться при обновлении дистрибутива
>> с потенциальным DoS.
>
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> но на всякий случай я это изменение анонсировал.
>
> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> когда мне нужно протестировать этот режим работы при подготовке новой
> версии openssh.
>
>> Как недефолтный вариант для control, в идеале связанный с control
>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
>> и сам бы пользовался.
>>
>> Прошу ещё раз подумать.
>
> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> если бы не наткнулся на компромиссный вариант, описанный в #17286,
> то так бы и сделал.
>
У не членов группы wheel тоже немало возможностей сделать плохо. Тем
более, что пароли у таких "не рулящих" пользователей могут быть
неудачно потерянными или даже плохими с большей степенью вероятности,
чем у "рулящих". Как пример неудачной практики, имею опыт получения
бота и усасывющего помегабайтный трафик с пятницы по вторник.
Ну, так что по поводу группы remote и политики "кому можно" думается?
Я думаю, что стоит добавить:
а) политику "кому можно" по группе, например remote;
б) политику по качеству пароля на auth.
Как сделать б) я пока не знаю (не пробовал достаточно активно, чтобы
получилось), но тоже очень бы хотел.
Группа remote покрывает больше рабочих сценариев, чем просто "по
ключам". Мало ли у кого ключи лежат, по старой памяти...
Я вижу такие сценарии:
1) Новый.
- члены группы wheel "ходят" только по ключам;
- остальные, как хотят.
2) Мой текущий.
- "ходят" только члены группы remote;
- остальные "не ходят".
3) Гибридный первый.
- "ходят" только члены группы remote;
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:22 ` Vladislav Zavjalov
@ 2010-06-22 23:33 ` Dmitry V. Levin
2010-06-22 23:49 ` Vladislav Zavjalov
2010-06-23 0:26 ` Dmitry V. Levin
0 siblings, 2 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-22 23:33 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 1437 bytes --]
On Wed, Jun 23, 2010 at 03:22:16AM +0400, Vladislav Zavjalov wrote:
> On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> > On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > группы wheel.
> > > >
> > > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > > если /etc/openssh/sshd_config не трогался?
> > > >
> > > > > Подробнее об этом см.
> > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > >
> > > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > > может самопроизвольно поменяться при обновлении дистрибутива
> > > > с потенциальным DoS.
> > >
> > > Может, переходный период с
> > >
> > > Match Group weel
> > > Banner /etc/openssh/weel_warn.txt
> >
> > Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> > уже выключено.
> > https://lists.altlinux.org/mailman/listinfo/sisyphus
>
> У кого выключено - конфиг не заменится.
Да, пожалуй что у них будет sshd_config.rpmnew; давайте быстренько сочиним
текст для баннера, пока openssh-server-5.3p1-alt2 ещё не добрался до ftp.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:23 ` Кокарев Константин
@ 2010-06-22 23:35 ` Dmitry V. Levin
2010-06-23 0:48 ` Кокарев Константин
0 siblings, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-22 23:35 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 662 bytes --]
On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
> 23.06.2010 03:08, Dmitry V. Levin пишет:
> >
> >Я не верю, что кто-то ещё сознательно
> >использует PasswordAuthentication,
> >но на всякий случай я это изменение
> >анонсировал.
> >
> >Лично я PasswordAuthentication на сервере
> >использую исключительно тогда,
> >когда мне нужно протестировать этот
> >режим работы при подготовке новой
> >версии openssh.
> >
> Между серверами удобно файлики scp
> перебрасывать - ключик страшно
> оставлять, а лишний юзер для проброса
> файлов неудобно.
AgentForwarding в сочетании с "ssh-add -c" тоже страшно?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:32 ` Evgeny Sinelnikov
@ 2010-06-22 23:45 ` Dmitry V. Levin
2010-06-23 9:28 ` Alexey Gladkov
` (2 more replies)
2010-06-22 23:50 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Evgeny Sinelnikov
1 sibling, 3 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-22 23:45 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 3153 bytes --]
On Wed, Jun 23, 2010 at 03:32:46AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 3:08 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> >> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> >> > умолчанию аутентификация по паролю будет выключена для членов
> >> > группы wheel.
> >>
> >> При обновлении умолчание изменится по сравнению с предыдущим,
> >> если /etc/openssh/sshd_config не трогался?
> >
> > Да, конечно.
> >
> >> > Подробнее об этом см.
> >> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>
> >> По-моему, идея никуда не годится в качестве умолчания, которое
> >> может самопроизвольно поменяться при обновлении дистрибутива
> >> с потенциальным DoS.
> >
> > Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> > но на всякий случай я это изменение анонсировал.
> >
> > Лично я PasswordAuthentication на сервере использую исключительно тогда,
> > когда мне нужно протестировать этот режим работы при подготовке новой
> > версии openssh.
> >
> >> Как недефолтный вариант для control, в идеале связанный с control
> >> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
> >> и сам бы пользовался.
> >>
> >> Прошу ещё раз подумать.
> >
> > Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> > если бы не наткнулся на компромиссный вариант, описанный в #17286,
> > то так бы и сделал.
> >
>
> У не членов группы wheel тоже немало возможностей сделать плохо. Тем
> более, что пароли у таких "не рулящих" пользователей могут быть
> неудачно потерянными или даже плохими с большей степенью вероятности,
> чем у "рулящих". Как пример неудачной практики, имею опыт получения
> бота и усасывющего помегабайтный трафик с пятницы по вторник.
>
> Ну, так что по поводу группы remote и политики "кому можно" думается?
>
> Я думаю, что стоит добавить:
> а) политику "кому можно" по группе, например remote;
> б) политику по качеству пароля на auth.
>
> Как сделать б) я пока не знаю (не пробовал достаточно активно, чтобы
> получилось), но тоже очень бы хотел.
>
> Группа remote покрывает больше рабочих сценариев, чем просто "по
> ключам". Мало ли у кого ключи лежат, по старой памяти...
>
> Я вижу такие сценарии:
> 1) Новый.
> - члены группы wheel "ходят" только по ключам;
> - остальные, как хотят.
> 2) Мой текущий.
> - "ходят" только члены группы remote;
> - остальные "не ходят".
> 3) Гибридный первый.
> - "ходят" только члены группы remote;
У меня самый распространённый сценарий вида
PasswordAuthentication no
AllowGroups wheel users
(доступ имеют только члены групп wheel и users и только по ключам)
отличается от перечисленных вами.
Вообще, осмысленных сценариев может быть великое множество, я бы не пытался
засунуть их всех в конфиг.
Можно нарисовать какие-нибудь
control sshd-password-auth enabled|disabled|nonwheel
control sshd-allow-groups enabled|disabled|имя_группы
но я не уверен, что оно того стоит.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:33 ` Dmitry V. Levin
@ 2010-06-22 23:49 ` Vladislav Zavjalov
2010-06-23 10:06 ` Anton Farygin
2010-06-23 0:26 ` Dmitry V. Levin
1 sibling, 1 reply; 153+ messages in thread
From: Vladislav Zavjalov @ 2010-06-22 23:49 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 03:33:16AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 03:22:16AM +0400, Vladislav Zavjalov wrote:
> > On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > > > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > > группы wheel.
> > > > >
> > > > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > > > если /etc/openssh/sshd_config не трогался?
> > > > >
> > > > > > Подробнее об этом см.
> > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > > >
> > > > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > > > может самопроизвольно поменяться при обновлении дистрибутива
> > > > > с потенциальным DoS.
> > > >
> > > > Может, переходный период с
> > > >
> > > > Match Group weel
> > > > Banner /etc/openssh/weel_warn.txt
> > >
> > > Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> > > уже выключено.
> > > https://lists.altlinux.org/mailman/listinfo/sisyphus
> >
> > У кого выключено - конфиг не заменится.
>
> Да, пожалуй что у них будет sshd_config.rpmnew; давайте быстренько сочиним
> текст для баннера, пока openssh-server-5.3p1-alt2 ещё не добрался до ftp.
Может быть, что-то такое (в переводе на английский, разумеется)?
Внимание! Вы входите в группу wheel на этом компьютере. В дефолтной
конфигурации ssh-сервера аутентификация по паролю для этой группы
будет отключена в ближайшее время.
Убедитесь, что вы сможете использовать аутентификацию по ключу, или же
измените конфигурацию ssh-сервера подходящим вам образом.
Еще можно дать ссылку на это обсуждение, или на bugzilla, или на wiki,
туда, где будут простым русским языкм написаны более подробные рецепты (типа
"если вы ничего не хотите менять - просто удалите в кофиге строчки с
Match и Banner")
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:32 ` Evgeny Sinelnikov
2010-06-22 23:45 ` Dmitry V. Levin
@ 2010-06-22 23:50 ` Evgeny Sinelnikov
2010-06-23 0:03 ` Dmitry V. Levin
2010-06-23 0:39 ` Dmitry V. Levin
1 sibling, 2 replies; 153+ messages in thread
From: Evgeny Sinelnikov @ 2010-06-22 23:50 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions, imz
Что-то как-то порвалось сообщение.
23 июня 2010 г. 3:32 пользователь Evgeny Sinelnikov <sin@altlinux.ru> написал:
> 23 июня 2010 г. 3:08 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>>> > умолчанию аутентификация по паролю будет выключена для членов
>>> > группы wheel.
>>>
>>> При обновлении умолчание изменится по сравнению с предыдущим,
>>> если /etc/openssh/sshd_config не трогался?
>>
>> Да, конечно.
>>
>>> > Подробнее об этом см.
>>> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>>
>>> По-моему, идея никуда не годится в качестве умолчания, которое
>>> может самопроизвольно поменяться при обновлении дистрибутива
>>> с потенциальным DoS.
>>
>> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
>> но на всякий случай я это изменение анонсировал.
>>
>> Лично я PasswordAuthentication на сервере использую исключительно тогда,
>> когда мне нужно протестировать этот режим работы при подготовке новой
>> версии openssh.
>>
>>> Как недефолтный вариант для control, в идеале связанный с control
>>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
>>> и сам бы пользовался.
>>>
>>> Прошу ещё раз подумать.
>>
>> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
>> если бы не наткнулся на компромиссный вариант, описанный в #17286,
>> то так бы и сделал.
>>
У не членов группы wheel тоже немало возможностей сделать плохо. Тем
более, что пароли у таких "не рулящих" пользователей могут быть
неудачно потерянными или даже плохими с большей степенью вероятности,
чем у "рулящих". Как пример неудачной практики, имею опыт получения
бота и усасывющего помегабайтный трафик с пятницы по вторник.
Ну, так что по поводу группы remote и политики "кому можно" думается?
Я думаю, что стоит добавить:
а) политику "кому можно" по группе, например remote;
б) политику по качеству пароля на auth.
Как сделать б) я пока не знаю (не пробовал достаточно активно, чтобы
получилось), но тоже очень бы хотел.
Группа remote покрывает больше рабочих сценариев, чем просто "по
ключам". Мало ли у кого ключи лежат, по старой памяти...
Я вижу такие сценарии:
1) Новый.
- члены группы wheel "ходят" только по ключам;
- остальные, как хотят.
2) Мой текущий.
- "ходят" только члены группы remote;
- остальные "не ходят".
3) Гибридный первый.
- "ходят" только члены группы remote;
- члены группы wheel "ходят" только по ключам и только, если они в
группе remote;
- остальные "не ходят".
4) Гибридный второй.
- "ходят" только члены группы remote и группы wheel, но последние
только по ключам;
- остальные "не ходят".
Отвечаю сразу и на второе письмо:
23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
>> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> >
>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>> > аутентификация по паролю будет выключена для членов группы wheel.
>> >
>> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> А можно ли добавить в политики по умолчанию, для openssh, обратную
>> группу? Группу тех, кого пускают.
>
> Кого пускают, или у кого пароль спрашивают?
Кого не пускают кроме...
Сценарий 2.
> Для первого, вообще говоря, существует AllowUsers/AllowGroups.
Так по-лучше, но могут ли эти опции пускать только из этих групп, а
других не пускать?
AllowGroupsOnly ?
> Суть анонсированного изменения в усилении действующей по умолчанию защиты
> "PermitRootLogin without-password": в дополнении к отключению возможности
> удалённого подбора пароля рута теперь отключается возможность удалённого
> подбора паролей пользователей, которые, будучи взломанными, открывали бы
> возможность прямого локального подбора пароля рута.
>
Хотелось бы быть защищённым не только от "удалённого подбора паролей
пользователей, которые, будучи взломанными, открывали бы возможность
прямого локального подбора пароля рута", но и вообще от подбора
паролей не доверенных пользователей.
Кроме того, по группе, удобнее отслеживать и администрировать, тех кто
может "ходить" удалённо.
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:50 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Evgeny Sinelnikov
@ 2010-06-23 0:03 ` Dmitry V. Levin
2010-06-23 0:17 ` Evgeny Sinelnikov
2010-06-23 0:39 ` Dmitry V. Levin
1 sibling, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 0:03 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 1793 bytes --]
On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> >
> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >> > аутентификация по паролю будет выключена для членов группы wheel.
> >> >
> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>
> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
> >> группу? Группу тех, кого пускают.
> >
> > Кого пускают, или у кого пароль спрашивают?
>
> Кого не пускают кроме...
> Сценарий 2.
>
> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
>
> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
> других не пускать?
Не понял, не пускать пользователей, которые входят не только в эти группы?
Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
> > Суть анонсированного изменения в усилении действующей по умолчанию защиты
> > "PermitRootLogin without-password": в дополнении к отключению возможности
> > удалённого подбора пароля рута теперь отключается возможность удалённого
> > подбора паролей пользователей, которые, будучи взломанными, открывали бы
> > возможность прямого локального подбора пароля рута.
> >
>
> Хотелось бы быть защищённым не только от "удалённого подбора паролей
> пользователей, которые, будучи взломанными, открывали бы возможность
> прямого локального подбора пароля рута", но и вообще от подбора
> паролей не доверенных пользователей.
Тогда пароли доверенных пользователей станут особенно уязвимыми.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 0:03 ` Dmitry V. Levin
@ 2010-06-23 0:17 ` Evgeny Sinelnikov
2010-06-23 0:19 ` Dmitry V. Levin
0 siblings, 1 reply; 153+ messages in thread
From: Evgeny Sinelnikov @ 2010-06-23 0:17 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
>> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
>> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> >> >
>> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>> >> > аутентификация по паролю будет выключена для членов группы wheel.
>> >> >
>> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>> >>
>> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
>> >> группу? Группу тех, кого пускают.
>> >
>> > Кого пускают, или у кого пароль спрашивают?
>>
>> Кого не пускают кроме...
>> Сценарий 2.
>>
>> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
>>
>> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
>> других не пускать?
>
> Не понял, не пускать пользователей, которые входят не только в эти группы?
> Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
>
Нужно, чтобы всех пользователей, которые не входят в заданную группу,
например remote, не пускали. Как это сделать с помощью sshd_config?
Пример, с pam_access, я приводил.
>> > Суть анонсированного изменения в усилении действующей по умолчанию защиты
>> > "PermitRootLogin without-password": в дополнении к отключению возможности
>> > удалённого подбора пароля рута теперь отключается возможность удалённого
>> > подбора паролей пользователей, которые, будучи взломанными, открывали бы
>> > возможность прямого локального подбора пароля рута.
>> >
>>
>> Хотелось бы быть защищённым не только от "удалённого подбора паролей
>> пользователей, которые, будучи взломанными, открывали бы возможность
>> прямого локального подбора пароля рута", но и вообще от подбора
>> паролей не доверенных пользователей.
>
> Тогда пароли доверенных пользователей станут особенно уязвимыми.
>
Ну, так сейчас, для всех, кто не wheel, эти пароли уязвимы, а среди
них могут попасться с плохими паролями. Нужно, конечно, за этим
следить. Но безопаснее всех подряд, по сети, не пускать.
Я полагаю, что вы рассматриваете только один сценарий работы системы -
сервер с локальными пользователями. Сценарий, когда система
используется ещё и для локальной работы пользователями, которые не
должны иметь доступа по сети, не рассматривается. Обычный десктоп тоже
не рассматривается.
Да, для сервера лучше сделать по ключам для группы wheel, а других
юзеров, если им не нужно заходить удалённо, вообще лучше не создавать.
Но и у сервера есть трещина, если испольуется LDAP+krb5, например. В
этом случае, нельзя точно знать какие пользователи есть. А всех
пускать - это роскошь. Так что группа, по моему, просто необходима.
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 0:17 ` Evgeny Sinelnikov
@ 2010-06-23 0:19 ` Dmitry V. Levin
2010-06-23 0:34 ` Evgeny Sinelnikov
0 siblings, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 0:19 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 1486 bytes --]
On Wed, Jun 23, 2010 at 04:17:20AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> >> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> >> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> >> >
> >> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >> >> > аутентификация по паролю будет выключена для членов группы wheel.
> >> >> >
> >> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >> >>
> >> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
> >> >> группу? Группу тех, кого пускают.
> >> >
> >> > Кого пускают, или у кого пароль спрашивают?
> >>
> >> Кого не пускают кроме...
> >> Сценарий 2.
> >>
> >> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
> >>
> >> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
> >> других не пускать?
> >
> > Не понял, не пускать пользователей, которые входят не только в эти группы?
> > Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
> >
> Нужно, чтобы всех пользователей, которые не входят в заданную группу,
> например remote, не пускали. Как это сделать с помощью sshd_config?
AllowGroups remote
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:33 ` Dmitry V. Levin
2010-06-22 23:49 ` Vladislav Zavjalov
@ 2010-06-23 0:26 ` Dmitry V. Levin
1 sibling, 0 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 0:26 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 1690 bytes --]
On Wed, Jun 23, 2010 at 03:33:16AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 03:22:16AM +0400, Vladislav Zavjalov wrote:
> > On Wed, Jun 23, 2010 at 03:21:24AM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
> > > > On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> > > > > On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > > группы wheel.
> > > > >
> > > > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > > > если /etc/openssh/sshd_config не трогался?
> > > > >
> > > > > > Подробнее об этом см.
> > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > > >
> > > > > По-моему, идея никуда не годится в качестве умолчания, которое
> > > > > может самопроизвольно поменяться при обновлении дистрибутива
> > > > > с потенциальным DoS.
> > > >
> > > > Может, переходный период с
> > > >
> > > > Match Group weel
> > > > Banner /etc/openssh/weel_warn.txt
> > >
> > > Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> > > уже выключено.
> > > https://lists.altlinux.org/mailman/listinfo/sisyphus
> >
> > У кого выключено - конфиг не заменится.
>
> Да, пожалуй что у них будет sshd_config.rpmnew; давайте быстренько сочиним
> текст для баннера, пока openssh-server-5.3p1-alt2 ещё не добрался до ftp.
Нет, Banner не годится, потому что текст показывается перед
аутентификацией, а это уже существенная утечка информации.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 0:19 ` Dmitry V. Levin
@ 2010-06-23 0:34 ` Evgeny Sinelnikov
2010-06-23 0:47 ` Dmitry V. Levin
0 siblings, 1 reply; 153+ messages in thread
From: Evgeny Sinelnikov @ 2010-06-23 0:34 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23 июня 2010 г. 4:19 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> On Wed, Jun 23, 2010 at 04:17:20AM +0400, Evgeny Sinelnikov wrote:
>> 23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> > On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
>> >> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> >> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
>> >> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> >> >> >
>> >> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>> >> >> > аутентификация по паролю будет выключена для членов группы wheel.
>> >> >> >
>> >> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>> >> >>
>> >> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
>> >> >> группу? Группу тех, кого пускают.
>> >> >
>> >> > Кого пускают, или у кого пароль спрашивают?
>> >>
>> >> Кого не пускают кроме...
>> >> Сценарий 2.
>> >>
>> >> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
>> >>
>> >> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
>> >> других не пускать?
>> >
>> > Не понял, не пускать пользователей, которые входят не только в эти группы?
>> > Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
>> >
>> Нужно, чтобы всех пользователей, которые не входят в заданную группу,
>> например remote, не пускали. Как это сделать с помощью sshd_config?
>
> AllowGroups remote
Отлично, а можно эту строку добавить в конфиг, по умолчанию? ;)
Полагаю, что ответ нет, поскольку это точно подстава при обновлении.
Лучше, бы это через control, прикрутить....... Но у нас ведь нет
/etc/openssh/sshd_config.d/, чтобы настройки добавлять, без
необходимости парсинга всего файла ?
Хотя можно и весь файл парсить... Но тяжкое это занятие...
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:50 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Evgeny Sinelnikov
2010-06-23 0:03 ` Dmitry V. Levin
@ 2010-06-23 0:39 ` Dmitry V. Levin
2010-06-23 8:14 ` Андрей Черепанов
1 sibling, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 0:39 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 3661 bytes --]
On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> Что-то как-то порвалось сообщение.
>
> 23 июня 2010 г. 3:32 пользователь Evgeny Sinelnikov <sin@altlinux.ru> написал:
> > 23 июня 2010 г. 3:08 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> >>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> >>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> >>> > умолчанию аутентификация по паролю будет выключена для членов
> >>> > группы wheel.
> >>>
> >>> При обновлении умолчание изменится по сравнению с предыдущим,
> >>> если /etc/openssh/sshd_config не трогался?
> >>
> >> Да, конечно.
> >>
> >>> > Подробнее об этом см.
> >>> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>>
> >>> По-моему, идея никуда не годится в качестве умолчания, которое
> >>> может самопроизвольно поменяться при обновлении дистрибутива
> >>> с потенциальным DoS.
> >>
> >> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> >> но на всякий случай я это изменение анонсировал.
> >>
> >> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> >> когда мне нужно протестировать этот режим работы при подготовке новой
> >> версии openssh.
> >>
> >>> Как недефолтный вариант для control, в идеале связанный с control
> >>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
> >>> и сам бы пользовался.
> >>>
> >>> Прошу ещё раз подумать.
> >>
> >> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> >> если бы не наткнулся на компромиссный вариант, описанный в #17286,
> >> то так бы и сделал.
> >>
>
> У не членов группы wheel тоже немало возможностей сделать плохо. Тем
> более, что пароли у таких "не рулящих" пользователей могут быть
> неудачно потерянными или даже плохими с большей степенью вероятности,
> чем у "рулящих". Как пример неудачной практики, имею опыт получения
> бота и усасывющего помегабайтный трафик с пятницы по вторник.
>
> Ну, так что по поводу группы remote и политики "кому можно" думается?
>
> Я думаю, что стоит добавить:
> а) политику "кому можно" по группе, например remote;
> б) политику по качеству пароля на auth.
>
> Как сделать б) я пока не знаю (не пробовал достаточно активно, чтобы
> получилось), но тоже очень бы хотел.
>
> Группа remote покрывает больше рабочих сценариев, чем просто "по
> ключам". Мало ли у кого ключи лежат, по старой памяти...
>
> Я вижу такие сценарии:
> 1) Новый.
> - члены группы wheel "ходят" только по ключам;
> - остальные, как хотят.
Это ровно то, что реализовано в openssh-server-5.3p1-alt2.
> 2) Мой текущий.
> - "ходят" только члены группы remote;
> - остальные "не ходят".
Это просто AllowGroups remote.
> 3) Гибридный первый.
> - "ходят" только члены группы remote;
> - члены группы wheel "ходят" только по ключам и только, если они в
> группе remote;
> - остальные "не ходят".
Это просто AllowGroups remote в сочетании с реализованным в
openssh-server-5.3p1-alt2 отключением PasswordAuthentication для членов
группы wheel.
> 4) Гибридный второй.
> - "ходят" только члены группы remote и группы wheel, но последние
> только по ключам;
> - остальные "не ходят".
Это просто AllowGroups remote wheel в сочетании с реализованным в
openssh-server-5.3p1-alt2...
Собственно говоря, вы предлагаете по умолчанию сделать ещё и
AllowGroups имена_групп_в_которые_будут_входить_те_кого_можно_пускать?
Будет непросто придумать имена таких групп, которые бы устроили всех
заинтересованных.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 0:34 ` Evgeny Sinelnikov
@ 2010-06-23 0:47 ` Dmitry V. Levin
2010-06-23 7:53 ` Michael Shigorin
0 siblings, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 0:47 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 2509 bytes --]
On Wed, Jun 23, 2010 at 04:34:28AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 4:19 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 04:17:20AM +0400, Evgeny Sinelnikov wrote:
> >> 23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> > On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> >> >> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> >> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> >> >> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> >> >> >> >
> >> >> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >> >> >> > аутентификация по паролю будет выключена для членов группы wheel.
> >> >> >> >
> >> >> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >> >> >>
> >> >> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
> >> >> >> группу? Группу тех, кого пускают.
> >> >> >
> >> >> > Кого пускают, или у кого пароль спрашивают?
> >> >>
> >> >> Кого не пускают кроме...
> >> >> Сценарий 2.
> >> >>
> >> >> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
> >> >>
> >> >> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
> >> >> других не пускать?
> >> >
> >> > Не понял, не пускать пользователей, которые входят не только в эти группы?
> >> > Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
> >> >
> >> Нужно, чтобы всех пользователей, которые не входят в заданную группу,
> >> например remote, не пускали. Как это сделать с помощью sshd_config?
> >
> > AllowGroups remote
>
> Отлично, а можно эту строку добавить в конфиг, по умолчанию? ;)
> Полагаю, что ответ нет, поскольку это точно подстава при обновлении.
Миша утверждает, что даже "PasswordAuthentication no" для группы wheel --
это DoS (хотя я примерил это изменение на себя, и мне так не кажется).
А подобное изменение ввиду низкой вероятности существования группы remote
было бы эквивалентно выключению sshd.
> Лучше, бы это через control, прикрутить....... Но у нас ведь нет
> /etc/openssh/sshd_config.d/, чтобы настройки добавлять, без
> необходимости парсинга всего файла ?
А у кого есть такое, и как оно работает?
> Хотя можно и весь файл парсить... Но тяжкое это занятие...
Одну строчку в этом файле несложно парсить, см. напр.
/etc/control.d/facilities/sftp
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:35 ` Dmitry V. Levin
@ 2010-06-23 0:48 ` Кокарев Константин
2010-06-23 0:52 ` Dmitry V. Levin
0 siblings, 1 reply; 153+ messages in thread
From: Кокарев Константин @ 2010-06-23 0:48 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23.06.2010 03:35, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
>
>> 23.06.2010 03:08, Dmitry V. Levin пишет:
>>
>>> Я не верю, что кто-то ещё сознательно
>>> использует PasswordAuthentication,
>>> но на всякий случай я это изменение
>>> анонсировал.
>>>
>>> Лично я PasswordAuthentication на сервере
>>> использую исключительно тогда,
>>> когда мне нужно протестировать этот
>>> режим работы при подготовке новой
>>> версии openssh.
>>>
>>>
>> Между серверами удобно файлики scp
>> перебрасывать - ключик страшно
>> оставлять, а лишний юзер для проброса
>> файлов неудобно.
>>
> AgentForwarding в сочетании с "ssh-add -c" тоже страшно?
>
>
>
Спасибо не знал. Мне подходит.
p.s. Жаль теперь при установке два раза придется бегать от серверной к
компу вместо одного :) А в остальном положительно.
--
nwtour
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 0:48 ` Кокарев Константин
@ 2010-06-23 0:52 ` Dmitry V. Levin
2010-06-23 1:02 ` Кокарев Константин
0 siblings, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 0:52 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 1058 bytes --]
On Wed, Jun 23, 2010 at 04:48:15AM +0400, Кокарев Константин wrote:
> 23.06.2010 03:35, Dmitry V. Levin пишет:
> >On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
> >
> >>23.06.2010 03:08, Dmitry V. Levin пишет:
> >>
> >>>Я не верю, что кто-то ещё сознательно
> >>>использует PasswordAuthentication,
> >>>но на всякий случай я это изменение
> >>>анонсировал.
> >>>
> >>>Лично я PasswordAuthentication на сервере
> >>>использую исключительно тогда,
> >>>когда мне нужно протестировать этот
> >>>режим работы при подготовке новой
> >>>версии openssh.
> >>>
> >>>
> >>Между серверами удобно файлики scp
> >>перебрасывать - ключик страшно
> >>оставлять, а лишний юзер для проброса
> >>файлов неудобно.
> >>
> >AgentForwarding в сочетании с "ssh-add -c" тоже
> >страшно?
> >
> Спасибо не знал. Мне подходит.
>
> p.s. Жаль теперь при установке два раза
> придется бегать от серверной к компу
> вместо одного :) А в остальном
> положительно.
Это как-то связано с sshd?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 0:52 ` Dmitry V. Levin
@ 2010-06-23 1:02 ` Кокарев Константин
2010-06-23 1:14 ` Dmitry V. Levin
0 siblings, 1 reply; 153+ messages in thread
From: Кокарев Константин @ 2010-06-23 1:02 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23.06.2010 04:52, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 04:48:15AM +0400, Кокарев Константин wrote:
>
>> 23.06.2010 03:35, Dmitry V. Levin пишет:
>>
>>> On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
>>>
>>>
>>>> 23.06.2010 03:08, Dmitry V. Levin пишет:
>>>>
>>>>
>>>>> Я не верю, что кто-то ещё сознательно
>>>>> использует PasswordAuthentication,
>>>>> но на всякий случай я это изменение
>>>>> анонсировал.
>>>>>
>>>>> Лично я PasswordAuthentication на сервере
>>>>> использую исключительно тогда,
>>>>> когда мне нужно протестировать этот
>>>>> режим работы при подготовке новой
>>>>> версии openssh.
>>>>>
>>>>>
>>>>>
>>>> Между серверами удобно файлики scp
>>>> перебрасывать - ключик страшно
>>>> оставлять, а лишний юзер для проброса
>>>> файлов неудобно.
>>>>
>>>>
>>> AgentForwarding в сочетании с "ssh-add -c" тоже
>>> страшно?
>>>
>>>
>> Спасибо не знал. Мне подходит.
>>
>> p.s. Жаль теперь при установке два раза
>> придется бегать от серверной к компу
>> вместо одного :) А в остальном
>> положительно.
>>
> Это как-то связано с sshd?
>
>
>
На сервере создаем админского юзера ->
Идем по сети бросаем ~/.ssh/authorized_keys ->
На сервере добавляем его в wheel
Сразу ведь его в wheel добавить нельзя, иначе ключ забросить не получится.
--
nwtour
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 1:02 ` Кокарев Константин
@ 2010-06-23 1:14 ` Dmitry V. Levin
2010-06-23 1:39 ` Кокарев Константин
0 siblings, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 1:14 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 1112 bytes --]
On Wed, Jun 23, 2010 at 05:02:20AM +0400, Кокарев Константин wrote:
> 23.06.2010 04:52, Dmitry V. Levin пишет:
> >On Wed, Jun 23, 2010 at 04:48:15AM +0400, Кокарев Константин wrote:
> >>23.06.2010 03:35, Dmitry V. Levin пишет:
> >>>On Wed, Jun 23, 2010 at 03:23:25AM +0400, Кокарев Константин wrote:
[...]
> >>>>Между серверами удобно файлики scp
> >>>>перебрасывать - ключик страшно
> >>>>оставлять, а лишний юзер для проброса
> >>>>файлов неудобно.
> >>>>
> >>>AgentForwarding в сочетании с "ssh-add -c" тоже
> >>>страшно?
> >>>
> >>Спасибо не знал. Мне подходит.
> >>
> >>p.s. Жаль теперь при установке два раза
> >>придется бегать от серверной к компу
> >>вместо одного :) А в остальном
> >>положительно.
> >>
> >Это как-то связано с sshd?
> >
> На сервере создаем админского юзера ->
> Идем по сети бросаем ~/.ssh/authorized_keys ->
> На сервере добавляем его в wheel
>
> Сразу ведь его в wheel добавить нельзя,
> иначе ключ забросить не получится.
Ключ можно установить прямо на сервере, скопировав его, например,
с другого сервера. :)
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 1:14 ` Dmitry V. Levin
@ 2010-06-23 1:39 ` Кокарев Константин
0 siblings, 0 replies; 153+ messages in thread
From: Кокарев Константин @ 2010-06-23 1:39 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23.06.2010 05:14, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 05:02:20AM +0400, Кокарев Константин wrote:
>
>>
>> На сервере создаем админского юзера ->
>> Идем по сети бросаем ~/.ssh/authorized_keys ->
>> На сервере добавляем его в wheel
>>
>> Сразу ведь его в wheel добавить нельзя,
>> иначе ключ забросить не получится.
>>
> Ключ можно установить прямо на сервере, скопировав его, например,
> с другого сервера. :)
>
>
Скопировать его с другого сервера не удастся ибо на других серверах она
тоже в /home у пользователя в группе wheel к которому по паролю не
войти. А ключа к ним на новой системе нет по определению. Подойдет
только заранее запланированое место (spool) - о нем как обычно забываешь.
В последней версии вроде первоначальная настройка через веб-морду
делается, неплохо бы туда добавить функционал добавления ключика к
пользователю (такого не заметил).
Было бы шоколадно.
--
nwtour
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 21:44 [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
` (2 preceding siblings ...)
2010-06-22 22:53 ` Michael Shigorin
@ 2010-06-23 7:23 ` Sergey
2010-06-23 10:08 ` Anton Farygin
2010-06-23 11:03 ` Dmitry V. Levin
2010-06-23 8:49 ` Gleb Kulikov
4 siblings, 2 replies; 153+ messages in thread
From: Sergey @ 2010-06-23 7:23 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
On Wednesday 23 June 2010, Dmitry V. Levin wrote:
> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
Мне кажется, тут лучше было бы подойти с другой стороны:
https://bugzilla.altlinux.org/show_bug.cgi?id=11669
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 0:47 ` Dmitry V. Levin
@ 2010-06-23 7:53 ` Michael Shigorin
2010-06-23 7:54 ` Michael Shigorin
2010-06-23 11:22 ` Dmitry V. Levin
0 siblings, 2 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 7:53 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
--- краткая версия ---
On Wed, Jun 23, 2010 at 03:45:23AM +0400, Dmitry V. Levin wrote:
> Можно нарисовать какие-нибудь
> control sshd-password-auth enabled|disabled|nonwheel
> control sshd-allow-groups enabled|disabled|имя_группы
> но я не уверен, что оно того стоит.
Стоит. Это local policy decision, а такие вещи нельзя решать
за местного администратора, можно только дать ему ручки в руки
и объяснить, почему напрягались и делали именно так.
сперва образование,
потом технология.
Иначе с ишака на истребитель и носом в землю, как на югах бывало.
--- традиционное долгое нытьё ---
On Wed, Jun 23, 2010 at 03:08:57AM +0400, Dmitry V. Levin wrote:
> > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > умолчанию аутентификация по паролю будет выключена для членов
> > > группы wheel.
> > При обновлении умолчание изменится по сравнению с предыдущим,
> > если /etc/openssh/sshd_config не трогался?
> Да, конечно.
Хм, тогда не понял -- до обновления:
# rpm -V openssh-server
#
После:
root@pad ~ # rpm -q --lastchange openssh-server
* Wed Jun 23 2010 Dmitry V. Levin <ldv@altlinux> 5.3p1-alt2
- Enabled sftp by default.
- /etc/pam.d/sshd: Changed to use common-login.
- sshd_config: Disabled PasswordAuthentication for "wheel" group
members (imz@; closes: #17286).
root@pad ~ # vim /etc/openssh/sshd_config.rpmnew
root@pad ~ # fgrep wheel /etc/pam.d/sshd* /etc/openssh/sshd_config*
/etc/openssh/sshd_config.rpmnew:Match Group wheel
Почему образовался .rpmnew? :)
> > > Подробнее об этом см.
> > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > По-моему, идея никуда не годится в качестве умолчания, которое
> > может самопроизвольно поменяться при обновлении дистрибутива
> > с потенциальным DoS.
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
А спросить на всякий случай в sysadmins@ -- сложно?
> но на всякий случай я это изменение анонсировал.
И на том спасибо.
> Лично я PasswordAuthentication на сервере использую
> исключительно тогда, когда мне нужно протестировать этот режим
> работы при подготовке новой версии openssh.
> > Прошу ещё раз подумать.
> Я вообще собирался выключить PasswordAuthentication по
> умолчанию, и, если бы не наткнулся на компромиссный вариант,
> описанный в #17286, то так бы и сделал.
Дим, у меня в третий раз ощущение, что с дистрибутивом,
где _так_ делаются _такие_ решения, мне не по дороге.
Пожалуйста, подумай ещё раз -- это LDV Linux или ALT Linux.
И для кого/чего делаются дистрибутивы, помимо обобщения своих
собственных задач.
Давай сделаем метарубильник в виде control security ldv,
который повернёт стопку гаек в закрученное до упора положение.
В частности, если примешь -- могу попробовать нарисовать control
для обсуждаемого поведения, но в качестве умолчания настаиваю на
возможности использовать парольную авторизацию -- или же написать
_сперва_ на всех углах, что в альте и это не работает во имя
блага пользователя, которого он обычно не осознаёт.
On Wed, Jun 23, 2010 at 03:45:23AM +0400, Dmitry V. Levin wrote:
> У меня самый распространённый сценарий вида
> PasswordAuthentication no
> AllowGroups wheel users
> (доступ имеют только члены групп wheel и users и только по ключам)
> отличается от перечисленных вами.
>
> Вообще, осмысленных сценариев может быть великое множество,
> я бы не пытался засунуть их всех в конфиг.
Ну твой я бы подумал взять на вооружение, только лучше не явочным
порядком, а всё-таки осознанно.
Дистрибутив всё-таки -- в том числе и набор удобных шаблонов
на базе опыта создававших его людей, но есть же разница между
предложением резонного и навязыванием неожиданного.
On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> Хотелось бы быть защищённым не только от "удалённого подбора
> паролей пользователей, которые, будучи взломанными, открывали
> бы возможность прямого локального подбора пароля рута", но и
> вообще от подбора паролей не доверенных пользователей.
>
> Кроме того, по группе, удобнее отслеживать и администрировать,
> тех кто может "ходить" удалённо.
Полностью согласен. Но описать то, как тебе или мне на машинку
с пользовательскими аккаунтами, _позже_ выставленную :22 в инет,
повесили бота, _и_ какие действия мы по обнаружении сего факта
предприняли -- это одно, а попытаться переставить мебель в чужой
комнате -- это другое.
On Wed, Jun 23, 2010 at 04:47:03AM +0400, Dmitry V. Levin wrote:
> > > AllowGroups remote
> > Отлично, а можно эту строку добавить в конфиг, по умолчанию? ;)
> > Полагаю, что ответ нет, поскольку это точно подстава при обновлении.
> Миша утверждает, что даже "PasswordAuthentication no" для группы wheel --
> это DoS (хотя я примерил это изменение на себя, и мне так не кажется).
У тебя выполняются недистрибутивные условия -- сгенерированы
_и_ разложены ключи.
Если бы была возможна сколь-нибудь надёжная проверка, что хотя бы
один пользователь в группе wheel имеет публичный ключ хотя бы в
дефолтном месте... первым приближением может послужить
приложенный скрипт, но он тоже 80%, а не 100%.
Собсно напоминаю типичный use case с Server 4.0+ -- первый
созданный пользователь попадает в группу wheel без своего участия
помимо использования инсталятора и введения логина-пароля, при
этом ни создать ключик (объяснив, зачем и как пользоваться),
ни предупредить -- ничего этого не было и сейчас тоже нет.
Если ты будешь навязывать ключи людям, то мой прогноз --
будут они повально беспарольными. Потому как неосознанно
у тех, кого угораздит:
- выбрать альт
- взгромоздить на своё железо
- поднять свои задачи
- добраться до причины, по которой ssh+su "не работает"
> А подобное изменение ввиду низкой вероятности существования
> группы remote было бы эквивалентно выключению sshd.
Именно.
"Тогда уж и на другой порт сразу пересаживайте" почти (c)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 7:53 ` Michael Shigorin
@ 2010-06-23 7:54 ` Michael Shigorin
2010-06-23 11:22 ` Dmitry V. Levin
1 sibling, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 7:54 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1.1: Type: text/plain, Size: 421 bytes --]
On Wed, Jun 23, 2010 at 10:53:37AM +0300, I wrote:
> Если бы была возможна сколь-нибудь надёжная проверка, что хотя бы
> один пользователь в группе wheel имеет публичный ключ хотя бы в
> дефолтном месте... первым приближением может послужить
> приложенный скрипт, но он тоже 80%, а не 100%.
Забыл, исправляюсь.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #1.2: sshd-wheel-test.sh --]
[-- Type: application/x-sh, Size: 454 bytes --]
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 22:59 ` Dmitry V. Levin
@ 2010-06-23 8:08 ` Андрей Черепанов
2010-06-23 8:11 ` Алексей Шенцев
` (2 more replies)
0 siblings, 3 replies; 153+ messages in thread
From: Андрей Черепанов @ 2010-06-23 8:08 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23 июня 2010 Dmitry V. Levin написал:
> On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> > 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > > Hi,
> > >
> > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> > > аутентификация по паролю будет выключена для членов группы wheel.
> > >
> > > Подробнее об этом см.
> > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >
> > И к чему это приведёт? Ну т.е. как было и как станет?
>
> Сменится умолчание: членов группы wheel перестанут пускать по паролю.
То есть ssh для первого заведённого пользователя будет недоступен. /то
означает, что удалённо администрировать свежепоставленную ОС становится
невозможно, использовать nx на этой системе становится невозможно (зная
квалификацию подобных целевых пользователей.
IMHO, крайне спорный шаг, усугубляющий текущее и без того крайне несовместимое
и неудобную модель по безопасности. Фактически мы отрываем ручки, не предлагая
дешёвого способа исправить ситуацию.
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:08 ` Андрей Черепанов
@ 2010-06-23 8:11 ` Алексей Шенцев
2010-06-23 8:22 ` Андрей Черепанов
2010-06-23 8:13 ` Alexey I. Froloff
2010-06-23 10:57 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
2 siblings, 1 reply; 153+ messages in thread
From: Алексей Шенцев @ 2010-06-23 8:11 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23.06.2010 12:08, Андрей Черепанов пишет:
> 23 июня 2010 Dmitry V. Levin написал:
>
>> On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
>>
>>> 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
>>>
>>>> Hi,
>>>>
>>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>>>> аутентификация по паролю будет выключена для членов группы wheel.
>>>>
>>>> Подробнее об этом см.
>>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>>>
>>> И к чему это приведёт? Ну т.е. как было и как станет?
>>>
>> Сменится умолчание: членов группы wheel перестанут пускать по паролю.
>>
> То есть ssh для первого заведённого пользователя будет недоступен. /то
> означает, что удалённо администрировать свежепоставленную ОС становится
> невозможно,
Выходит так.
> использовать nx на этой системе становится невозможно (зная
> квалификацию подобных целевых пользователей.
>
id nx
uid=117(nx) gid=61(nx) группы=61(nx)
Как я вижу nx не входит в группу wheel.
Т.е. это его не касается.
Или я не правильно понимаю?
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:08 ` Андрей Черепанов
2010-06-23 8:11 ` Алексей Шенцев
@ 2010-06-23 8:13 ` Alexey I. Froloff
2010-06-23 8:20 ` Андрей Черепанов
2010-06-23 8:21 ` [sisyphus] [JT] quests (was: I: openssh-server-5.3p1-alt2) Michael Shigorin
2010-06-23 10:57 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
2 siblings, 2 replies; 153+ messages in thread
From: Alexey I. Froloff @ 2010-06-23 8:13 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
[-- Attachment #1: Type: text/plain, Size: 365 bytes --]
On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> То есть ssh для первого заведённого пользователя будет недоступен. /то
> означает, что удалённо администрировать свежепоставленную ОС становится
> невозможно,
Ключики можно добавлять через альтератор. Удалённо.
--
Regards, --
Sir Raorn. --- http://thousandsofhate.blogspot.com/
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 0:39 ` Dmitry V. Levin
@ 2010-06-23 8:14 ` Андрей Черепанов
2010-06-23 11:35 ` [sisyphus] Q: openssh-server: AllowGroups by default Dmitry V. Levin
0 siblings, 1 reply; 153+ messages in thread
From: Андрей Черепанов @ 2010-06-23 8:14 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23 июня 2010 Dmitry V. Levin написал:
> Это просто AllowGroups remote wheel в сочетании с реализованным в
> openssh-server-5.3p1-alt2...
>
> Собственно говоря, вы предлагаете по умолчанию сделать ещё и
> AllowGroups имена_групп_в_которые_будут_входить_те_кого_можно_пускать?
Кстати, весьма дельная идея и максимально понятная.
> Будет непросто придумать имена таких групп, которые бы устроили всех
> заинтересованных.
Дима, а как в других дистрибутивах? Проводилось сравнение и анализ? Или у нас
снова свои велосипеды?
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:13 ` Alexey I. Froloff
@ 2010-06-23 8:20 ` Андрей Черепанов
2010-06-23 9:48 ` Vitaly Kuznetsov
2010-06-23 8:21 ` [sisyphus] [JT] quests (was: I: openssh-server-5.3p1-alt2) Michael Shigorin
1 sibling, 1 reply; 153+ messages in thread
From: Андрей Черепанов @ 2010-06-23 8:20 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23 июня 2010 Alexey I. Froloff написал:
> On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> > То есть ssh для первого заведённого пользователя будет недоступен. /то
> > означает, что удалённо администрировать свежепоставленную ОС становится
> > невозможно,
>
> Ключики можно добавлять через альтератор. Удалённо.
А на десктопных машинах? Я имел ввиду помощь в установке обычных десктопных
ОС.
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* [sisyphus] [JT] quests (was: I: openssh-server-5.3p1-alt2)
2010-06-23 8:13 ` Alexey I. Froloff
2010-06-23 8:20 ` Андрей Черепанов
@ 2010-06-23 8:21 ` Michael Shigorin
1 sibling, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 8:21 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
On Wed, Jun 23, 2010 at 12:13:20PM +0400, Alexey I. Froloff wrote:
> > То есть ssh для первого заведённого пользователя будет
> > недоступен. /то означает, что удалённо администрировать
> > свежепоставленную ОС становится невозможно,
> Ключики можно добавлять через альтератор. Удалённо.
Угу -- кто-то под скамейками ночами ищет следующие координаты,
а кто-то будет сидеть с pstree, netstat -p и nmap :)
PS: кто ещё смотрел RHEL6 beta? У меня ощущения от прощупывания
после чтения release notes остались сдержанно неплохие, хотя
будучи установленным (курсы читал) -- тормозит оно заметно
сильнее сизифа. Но поучиться явно есть чему.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:11 ` Алексей Шенцев
@ 2010-06-23 8:22 ` Андрей Черепанов
2010-06-23 8:34 ` Michael Shigorin
2010-06-23 10:07 ` Boris Savelev
0 siblings, 2 replies; 153+ messages in thread
From: Андрей Черепанов @ 2010-06-23 8:22 UTC (permalink / raw)
To: ashen, ALT Linux Sisyphus discussions
23 июня 2010 Алексей Шенцев написал:
> 23.06.2010 12:08, Андрей Черепанов пишет:
> > 23 июня 2010 Dmitry V. Levin написал:
> >> On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> >>> 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> >>>> Hi,
> >>>>
> >>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >>>> аутентификация по паролю будет выключена для членов группы wheel.
> >>>>
> >>>> Подробнее об этом см.
> >>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>>
> >>> И к чему это приведёт? Ну т.е. как было и как станет?
> >>
> >> Сменится умолчание: членов группы wheel перестанут пускать по паролю.
> >
> > То есть ssh для первого заведённого пользователя будет недоступен. /то
> > означает, что удалённо администрировать свежепоставленную ОС становится
> > невозможно,
>
> Выходит так.
То есть мы не помогаем обычным пользователям. Ok.
> > использовать nx на этой системе становится невозможно (зная
> > квалификацию подобных целевых пользователей.
>
> id nx
> uid=117(nx) gid=61(nx) группы=61(nx)
>
> Как я вижу nx не входит в группу wheel.
> Т.е. это его не касается.
> Или я не правильно понимаю?
При входе пользователя по NX указывается его имя и пароль. Вот тут вопрос
знатокам NX, коснётся ли это изменение NX-пользователей.
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:18 ` Dmitry V. Levin
@ 2010-06-23 8:31 ` Michael Shigorin
2010-06-23 11:01 ` Dmitry V. Levin
2010-06-23 12:59 ` Mikhail Efremov
1 sibling, 1 reply; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 8:31 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 03:18:38AM +0400, Dmitry V. Levin wrote:
> Суть анонсированного изменения в усилении действующей по
> умолчанию защиты "PermitRootLogin without-password": в
> дополнении к отключению возможности удалённого подбора пароля
> рута теперь отключается возможность удалённого подбора паролей
> пользователей, которые, будучи взломанными, открывали бы
> возможность прямого локального подбора пароля рута.
Может, комплексный подход с использованием нескольких пунктов
из набора:
1. PermitRootLogin
2. это изменение
3. AllowGroups
4. Port
5. iptables conn throttling
6. sshutout
Примерно как 1+2?+(3/4)?+5/6.
С удобным осознанием и включением такого хозяйства.
Но не без осознания, увы.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:22 ` Андрей Черепанов
@ 2010-06-23 8:34 ` Michael Shigorin
2010-06-23 10:07 ` Boris Savelev
1 sibling, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 8:34 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 12:22:26PM +0400, Андрей Черепанов wrote:
> При входе пользователя по NX указывается его имя и пароль. Вот
> тут вопрос знатокам NX, коснётся ли это изменение
> NX-пользователей.
Там есть возможность ходить по ключу, но для организации проброса
требуется действительно отдельный псевдопользователь. И кстати
-- напоминаю, что installer-feature-freenx-0.2-alt2 конфигурирует
публичный ключ с широко известным приватным. Но придумать схему
создания+разнесения ключей у меня в разумные сроки не получилось.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 21:44 [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
` (3 preceding siblings ...)
2010-06-23 7:23 ` Sergey
@ 2010-06-23 8:49 ` Gleb Kulikov
2010-06-23 11:08 ` Dmitry V. Levin
4 siblings, 1 reply; 153+ messages in thread
From: Gleb Kulikov @ 2010-06-23 8:49 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
В сообщении от [Среда 23 июня 2010 Dmitry V. Levin] написал:
> аутентификация по паролю будет выключена для членов группы wheel.
>
> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
Объясните, чем это лучше для безопасности?
Случаев "утекающих" ключей, если не ошибаюсь, в сети описано предостаточно.
Так что, учитывая очевидные неудобства предлагаемого решения... как-то
неуютно.
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:45 ` Dmitry V. Levin
@ 2010-06-23 9:28 ` Alexey Gladkov
2010-06-23 11:44 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Dmitry V. Levin
2010-06-23 10:01 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
2010-06-23 12:24 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Michael Shigorin
2 siblings, 1 reply; 153+ messages in thread
From: Alexey Gladkov @ 2010-06-23 9:28 UTC (permalink / raw)
To: sisyphus
23.06.2010 03:45, Dmitry V. Levin wrote:
> Можно нарисовать какие-нибудь
> control sshd-password-auth enabled|disabled|nonwheel
> control sshd-allow-groups enabled|disabled|имя_группы
> но я не уверен, что оно того стоит.
Думаю создание control будет оптимальным, при смене умолчания, которое
влияет на доступ.
--
Rgrds, legion
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:20 ` Андрей Черепанов
@ 2010-06-23 9:48 ` Vitaly Kuznetsov
2010-06-23 12:12 ` Michael Shigorin
2010-06-23 13:12 ` Андрей Черепанов
0 siblings, 2 replies; 153+ messages in thread
From: Vitaly Kuznetsov @ 2010-06-23 9:48 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Андрей Черепанов <cas@altlinux.ru> writes:
> 23 июня 2010 Alexey I. Froloff написал:
>> On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
>> > То есть ssh для первого заведённого пользователя будет
> недоступен. /то
>> > означает, что удалённо администрировать свежепоставленную ОС
> становится
>> > невозможно,
>>
>> Ключики можно добавлять через альтератор. Удалённо.
> А на десктопных машинах? Я имел ввиду помощь в установке обычных
> десктопных ОС.
Если будет control, то нарисовать соответствующий шаг установщика
("alt-specific") с галочкой "Пускать тех-то по паролю" (дефолт
обсуждаем) очень несложно.
--
Vitaly Kuznetsov, ALT Linux
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:08 ` Dmitry V. Levin
2010-06-22 23:23 ` Кокарев Константин
2010-06-22 23:32 ` Evgeny Sinelnikov
@ 2010-06-23 9:58 ` Anton Farygin
2010-06-23 11:05 ` Anton Gorlov
2 siblings, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 9:58 UTC (permalink / raw)
To: sisyphus
23.06.2010 03:08, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>>> умолчанию аутентификация по паролю будет выключена для членов
>>> группы wheel.
>>
>> При обновлении умолчание изменится по сравнению с предыдущим,
>> если /etc/openssh/sshd_config не трогался?
>
> Да, конечно.
>
>>> Подробнее об этом см.
>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> По-моему, идея никуда не годится в качестве умолчания, которое
>> может самопроизвольно поменяться при обновлении дистрибутива
>> с потенциальным DoS.
>
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> но на всякий случай я это изменение анонсировал.
Используют вовсю.
>
> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> когда мне нужно протестировать этот режим работы при подготовке новой
> версии openssh.
А как ты первый раз на свежепоставленный сервер кладёшь ключик ?
Тем более, если установка выполняется удалённо ?
>
>> Как недефолтный вариант для control, в идеале связанный с control
>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
>> и сам бы пользовался.
>>
>> Прошу ещё раз подумать.
>
> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> если бы не наткнулся на компромиссный вариант, описанный в #17286,
> то так бы и сделал.
Сделай, пожалуйста, control.
Мне это изменение не удобно - сервера я разливаю удалённо через
специальный интерфейс (проброс видеокарты через сеть, аппаратная
штучка), соответственно ключик скопировать возможности не будет без
заведения левого пользователя с авторизацией по паролю, или отключение
группы wheel для ряда системных утилит.
И то и то - криво, хотелось бы иметь возможность авторизовываться по паролю.
И да, у меня в системе альтератор отсутствует как класс, соответственно
пробросить ключик через web-интерфейс нет никакой возможности.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:45 ` Dmitry V. Levin
2010-06-23 9:28 ` Alexey Gladkov
@ 2010-06-23 10:01 ` Anton Farygin
2010-06-23 12:25 ` Michael Shigorin
2010-06-23 12:24 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Michael Shigorin
2 siblings, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 10:01 UTC (permalink / raw)
To: sisyphus
23.06.2010 03:45, Dmitry V. Levin пишет:
>
> Вообще, осмысленных сценариев может быть великое множество, я бы не пытался
> засунуть их всех в конфиг.
Это верно. Как верно и то, что предыдущие дефолты устраивали очень
большое количество специалистов.
>
> Можно нарисовать какие-нибудь
> control sshd-password-auth enabled|disabled|nonwheel
> control sshd-allow-groups enabled|disabled|имя_группы
> но я не уверен, что оно того стоит.
Оно того стоит, по крайней мере для меня.
Я бы лучше WEB-интерфейс убрал, который позволяет сразу после установки
системы рутовый пароль ввести...
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:21 ` Dmitry V. Levin
2010-06-22 23:22 ` Vladislav Zavjalov
@ 2010-06-23 10:04 ` Anton Farygin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 10:04 UTC (permalink / raw)
To: sisyphus
23.06.2010 03:21, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 03:18:44AM +0400, Vladislav Zavjalov wrote:
>> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>>>> умолчанию аутентификация по паролю будет выключена для членов
>>>> группы wheel.
>>>
>>> При обновлении умолчание изменится по сравнению с предыдущим,
>>> если /etc/openssh/sshd_config не трогался?
>>>
>>>> Подробнее об этом см.
>>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>>
>>> По-моему, идея никуда не годится в качестве умолчания, которое
>>> может самопроизвольно поменяться при обновлении дистрибутива
>>> с потенциальным DoS.
>>
>> Может, переходный период с
>>
>> Match Group weel
>> Banner /etc/openssh/weel_warn.txt
>
> Это стало бы сущим наказанием для тех, у кого PasswordAuthentication
> уже выключено.
А он может конфиг поправить.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:49 ` Vladislav Zavjalov
@ 2010-06-23 10:06 ` Anton Farygin
2010-06-23 12:12 ` Michael Shigorin
0 siblings, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 10:06 UTC (permalink / raw)
To: sisyphus
23.06.2010 03:49, Vladislav Zavjalov пишет:
<skip>
> Может быть, что-то такое (в переводе на английский, разумеется)?
>
> Внимание! Вы входите в группу wheel на этом компьютере. В дефолтной
> конфигурации ssh-сервера аутентификация по паролю для этой группы
> будет отключена в ближайшее время.
> Убедитесь, что вы сможете использовать аутентификацию по ключу, или же
> измените конфигурацию ssh-сервера подходящим вам образом.
>
> Еще можно дать ссылку на это обсуждение, или на bugzilla, или на wiki,
> туда, где будут простым русским языкм написаны более подробные рецепты (типа
> "если вы ничего не хотите менять - просто удалите в кофиге строчки с
> Match и Banner")
Друзья мои, в какое ближайшее время ?
Просто напишите ворнинг, что нужно использовать аутентификацию по ключу...
как минимум один серверный дистрибутив должен выйти с таким сообщением,
что бы настало "ближайшее время".
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:22 ` Андрей Черепанов
2010-06-23 8:34 ` Michael Shigorin
@ 2010-06-23 10:07 ` Boris Savelev
1 sibling, 0 replies; 153+ messages in thread
From: Boris Savelev @ 2010-06-23 10:07 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
2010/6/23 Андрей Черепанов <cas@altlinux.ru>:
> При входе пользователя по NX указывается его имя и пароль. Вот тут вопрос
> знатокам NX, коснётся ли это изменение NX-пользователей.
коснётся.
логин происходит в 2 этапа:
1) авторизация по ssh (по ключу) пользователя nx
2) авторизация конечного пользователя разными методами -- в том числе
по ssh (с паролем) в настройке по умолчанию.
после этого изменения пользователь, находящийся в группе wheel, зайти
по nx с настройками по умолчанию не сможет.
--
Boris
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 7:23 ` Sergey
@ 2010-06-23 10:08 ` Anton Farygin
2010-06-23 11:03 ` Dmitry V. Levin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 10:08 UTC (permalink / raw)
To: sisyphus
23.06.2010 11:23, Sergey пишет:
> On Wednesday 23 June 2010, Dmitry V. Levin wrote:
>
>> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
> Мне кажется, тут лучше было бы подойти с другой стороны:
> https://bugzilla.altlinux.org/show_bug.cgi?id=11669
согласен, мне лично такой вариант нравится гораздо больше.
2ldv: посмотри, пожалуйста, на это предложение.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:08 ` Андрей Черепанов
2010-06-23 8:11 ` Алексей Шенцев
2010-06-23 8:13 ` Alexey I. Froloff
@ 2010-06-23 10:57 ` Dmitry V. Levin
2010-06-23 11:10 ` Anton Farygin
2010-06-23 13:20 ` Андрей Черепанов
2 siblings, 2 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 10:57 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 1441 bytes --]
On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> 23 июня 2010 Dmitry V. Levin написал:
> > On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> > > 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > > >
> > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> > > > аутентификация по паролю будет выключена для членов группы wheel.
> > > >
> > > > Подробнее об этом см.
> > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > >
> > > И к чему это приведёт? Ну т.е. как было и как станет?
> >
> > Сменится умолчание: членов группы wheel перестанут пускать по паролю.
> То есть ssh для первого заведённого пользователя будет недоступен.
Почему? sshd будет недоступен по паролю, но это не одно и то же.
> /то
> означает, что удалённо администрировать свежепоставленную ОС становится
> невозможно,
Почему? А как же Альтератор?
> использовать nx на этой системе становится невозможно (зная
> квалификацию подобных целевых пользователей.
Почему?
> IMHO, крайне спорный шаг,
Конечно.
> усугубляющий текущее и без того крайне несовместимое
> и неудобную модель по безопасности. Фактически мы отрываем ручки, не предлагая
> дешёвого способа исправить ситуацию.
У нас есть веб-интерфейс. Пока в нашем инсталяторе нет штатного
интерфейса выключить PasswordAuthentication вообще, это разумный
компромисс.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:31 ` Michael Shigorin
@ 2010-06-23 11:01 ` Dmitry V. Levin
0 siblings, 0 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 11:01 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 1084 bytes --]
On Wed, Jun 23, 2010 at 11:31:56AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 03:18:38AM +0400, Dmitry V. Levin wrote:
> > Суть анонсированного изменения в усилении действующей по
> > умолчанию защиты "PermitRootLogin without-password": в
> > дополнении к отключению возможности удалённого подбора пароля
> > рута теперь отключается возможность удалённого подбора паролей
> > пользователей, которые, будучи взломанными, открывали бы
> > возможность прямого локального подбора пароля рута.
>
> Может, комплексный подход с использованием нескольких пунктов
> из набора:
>
> 1. PermitRootLogin
> 2. это изменение
>
> 3. AllowGroups
> 4. Port
Я бы не стал объединять 3. и 4. в одну группу.
> 5. iptables conn throttling
На это тему давно висит FR:
https://bugzilla.altlinux.org/show_bug.cgi?id=11669
Только мне не понятно, как это реализовать дистрибутивно.
> 6. sshutout
>
> Примерно как 1+2?+(3/4)?+5/6.
>
> С удобным осознанием и включением такого хозяйства.
> Но не без осознания, увы.
Осознание бывает удобным?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 7:23 ` Sergey
2010-06-23 10:08 ` Anton Farygin
@ 2010-06-23 11:03 ` Dmitry V. Levin
2010-06-23 11:12 ` Anton Farygin
` (2 more replies)
1 sibling, 3 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 11:03 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 430 bytes --]
On Wed, Jun 23, 2010 at 11:23:57AM +0400, Sergey wrote:
> On Wednesday 23 June 2010, Dmitry V. Levin wrote:
>
> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
> Мне кажется, тут лучше было бы подойти с другой стороны:
> https://bugzilla.altlinux.org/show_bug.cgi?id=11669
Этот FR висит давно, но никто ещё не предложил дистрибутивного решения.
Видимо, это не так просто.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 9:58 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
@ 2010-06-23 11:05 ` Anton Gorlov
2010-06-23 11:11 ` Evgen
0 siblings, 1 reply; 153+ messages in thread
From: Anton Gorlov @ 2010-06-23 11:05 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Anton Farygin пишет:
> И то и то - криво, хотелось бы иметь возможность авторизовываться по
> паролю.
> И да, у меня в системе альтератор отсутствует как класс, соответственно
> пробросить ключик через web-интерфейс нет никакой возможности.
+1.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 8:49 ` Gleb Kulikov
@ 2010-06-23 11:08 ` Dmitry V. Levin
2010-06-24 3:24 ` Gleb Kulikov
0 siblings, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 11:08 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 841 bytes --]
On Wed, Jun 23, 2010 at 03:49:39PM +0700, Gleb Kulikov wrote:
> В сообщении от [Среда 23 июня 2010 Dmitry V. Levin] написал:
>
> > аутентификация по паролю будет выключена для членов группы wheel.
> >
> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
> Объясните, чем это лучше для безопасности?
Это слишком большая тема, чтобы её здесь разворачивать. Тема достаточно
полно отражена в более специализированных ресурсах.
> Случаев "утекающих" ключей, если не ошибаюсь, в сети описано предостаточно.
Конечно, атаки на клиентские системы, использующие ключи, существуют.
Но это не значит, что вероятность такой атак выше, чем атаки на сервер со
слабыми паролями.
> Так что, учитывая очевидные неудобства предлагаемого решения... как-то
> неуютно.
А как было бы уютно?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 10:57 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
@ 2010-06-23 11:10 ` Anton Farygin
2010-06-23 11:13 ` Dmitry V. Levin
2010-06-23 13:20 ` Андрей Черепанов
1 sibling, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 11:10 UTC (permalink / raw)
To: sisyphus
23.06.2010 14:57, Dmitry V. Levin пишет:
>
> У нас есть веб-интерфейс. Пока в нашем инсталяторе нет штатного
> интерфейса выключить PasswordAuthentication вообще, это разумный
> компромисс.
WEB-интерфейс есть далеко не у всех дистрибутивов, и это важно.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:05 ` Anton Gorlov
@ 2010-06-23 11:11 ` Evgen
2010-06-23 11:15 ` Anton Farygin
2010-06-23 11:21 ` Slava Dubrovskiy
0 siblings, 2 replies; 153+ messages in thread
From: Evgen @ 2010-06-23 11:11 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23.06.2010 15:05, Anton Gorlov пишет:
> Anton Farygin пишет:
>
>> И то и то - криво, хотелось бы иметь возможность авторизовываться по
>> паролю.
>> И да, у меня в системе альтератор отсутствует как класс,
>> соответственно пробросить ключик через web-интерфейс нет никакой
>> возможности.
>
> +1.
Аналогично. Интересно, кто-нибудь держит на серверной системе этот
альтератор? Или эта пришлёпка для того, чтоб систему чистить подольше?
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:03 ` Dmitry V. Levin
@ 2010-06-23 11:12 ` Anton Farygin
2010-06-23 11:25 ` Алексей Шенцев
` (2 more replies)
2010-06-23 11:13 ` Sergey
2010-06-23 12:55 ` Michael Shigorin
2 siblings, 3 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 11:12 UTC (permalink / raw)
To: sisyphus
23.06.2010 15:03, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 11:23:57AM +0400, Sergey wrote:
>> On Wednesday 23 June 2010, Dmitry V. Levin wrote:
>>
>>> Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> Мне кажется, тут лучше было бы подойти с другой стороны:
>> https://bugzilla.altlinux.org/show_bug.cgi?id=11669
>
> Этот FR висит давно, но никто ещё не предложил дистрибутивного решения.
> Видимо, это не так просто.
Дистрибутивное решение - положить правильные конфиги для firewall в etcnet.
а ты всё ещё используешь анахронизм в виде iptables-save ?
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:03 ` Dmitry V. Levin
2010-06-23 11:12 ` Anton Farygin
@ 2010-06-23 11:13 ` Sergey
2010-06-23 11:40 ` Sergey
2010-06-23 12:55 ` Michael Shigorin
2 siblings, 1 reply; 153+ messages in thread
From: Sergey @ 2010-06-23 11:13 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
On Wednesday 23 June 2010, Dmitry V. Levin wrote:
> > Мне кажется, тут лучше было бы подойти с другой стороны:
> > https://bugzilla.altlinux.org/show_bug.cgi?id=11669
>
> Этот FR висит давно, но никто ещё не предложил дистрибутивного решения.
> Видимо, это не так просто.
Как вариант, можно класть готовый /etc/sys/iptables с этим правилом.
Незакомментированным. Плохих последствий от такого я не вижу пока.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:10 ` Anton Farygin
@ 2010-06-23 11:13 ` Dmitry V. Levin
2010-06-23 11:18 ` Anton Farygin
2010-06-23 14:03 ` Michael Shigorin
0 siblings, 2 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 11:13 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 496 bytes --]
On Wed, Jun 23, 2010 at 03:10:01PM +0400, Anton Farygin wrote:
> 23.06.2010 14:57, Dmitry V. Levin пишет:
> >
> >У нас есть веб-интерфейс. Пока в нашем
> >инсталяторе нет штатного
> >интерфейса выключить PasswordAuthentication
> >вообще, это разумный
> >компромисс.
>
> WEB-интерфейс есть далеко не у всех
> дистрибутивов, и это важно.
У всех наших обычных дистрибутивов есть веб-интерфейс.
А у специализированных дистрибутивов и так специализированные конфиги.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:11 ` Evgen
@ 2010-06-23 11:15 ` Anton Farygin
2010-06-24 4:24 ` Evgen
2010-06-23 11:21 ` Slava Dubrovskiy
1 sibling, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 11:15 UTC (permalink / raw)
To: sisyphus
23.06.2010 15:11, Evgen пишет:
> 23.06.2010 15:05, Anton Gorlov пишет:
>> Anton Farygin пишет:
>>
>>> И то и то - криво, хотелось бы иметь возможность авторизовываться по
>>> паролю.
>>> И да, у меня в системе альтератор отсутствует как класс,
>>> соответственно пробросить ключик через web-интерфейс нет никакой
>>> возможности.
>>
>> +1.
> Аналогично. Интересно, кто-нибудь держит на серверной системе этот
> альтератор? Или эта пришлёпка для того, чтоб систему чистить подольше?
Я использую дистрибутив, в котором альтератор вычищается после установки
более чем полностью.
Собственно говоря, при наличии необходимого control, я бы включил
обратно авторизацию по паролю.
Альтератор безусловно нужен некоторому количеству пользователей, но
перейти на использование исключительно альтератора я готов только после
того, как на его использование перейдёт лично ldv@ на всех серверах ;)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:13 ` Dmitry V. Levin
@ 2010-06-23 11:18 ` Anton Farygin
2010-06-23 14:03 ` Michael Shigorin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 11:18 UTC (permalink / raw)
To: sisyphus
23.06.2010 15:13, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 03:10:01PM +0400, Anton Farygin wrote:
>> 23.06.2010 14:57, Dmitry V. Levin пишет:
>>>
>>> У нас есть веб-интерфейс. Пока в нашем
>>> инсталяторе нет штатного
>>> интерфейса выключить PasswordAuthentication
>>> вообще, это разумный
>>> компромисс.
>>
>> WEB-интерфейс есть далеко не у всех
>> дистрибутивов, и это важно.
>
> У всех наших обычных дистрибутивов есть веб-интерфейс.
> А у специализированных дистрибутивов и так специализированные конфиги.
Нет, они не специализированные. У обычных дистрибутивов обычные конфиги.
Впрочем, что мы спорим ? сделай плз control, я в скриптах сменю дефолты
после установки.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:11 ` Evgen
2010-06-23 11:15 ` Anton Farygin
@ 2010-06-23 11:21 ` Slava Dubrovskiy
2010-06-24 4:19 ` Eugene Prokopiev
1 sibling, 1 reply; 153+ messages in thread
From: Slava Dubrovskiy @ 2010-06-23 11:21 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23.06.2010 14:11, Evgen пишет:
> 23.06.2010 15:05, Anton Gorlov пишет:
>> Anton Farygin пишет:
>>
>>> И то и то - криво, хотелось бы иметь возможность авторизовываться по
>>> паролю.
>>> И да, у меня в системе альтератор отсутствует как класс,
>>> соответственно пробросить ключик через web-интерфейс нет никакой
>>> возможности.
>>
>> +1.
> Аналогично.
Тоже поддерживаю.
--
WBR,
Dubrovskiy Vyacheslav
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 7:53 ` Michael Shigorin
2010-06-23 7:54 ` Michael Shigorin
@ 2010-06-23 11:22 ` Dmitry V. Levin
2010-06-25 11:52 ` Michael Shigorin
1 sibling, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 11:22 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 1156 bytes --]
On Wed, Jun 23, 2010 at 10:53:37AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 03:08:57AM +0400, Dmitry V. Levin wrote:
> > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > группы wheel.
> > > При обновлении умолчание изменится по сравнению с предыдущим,
> > > если /etc/openssh/sshd_config не трогался?
> > Да, конечно.
>
> Хм, тогда не понял -- до обновления:
>
> # rpm -V openssh-server
> #
>
> После:
>
> root@pad ~ # rpm -q --lastchange openssh-server
> * Wed Jun 23 2010 Dmitry V. Levin <ldv@altlinux> 5.3p1-alt2
> - Enabled sftp by default.
> - /etc/pam.d/sshd: Changed to use common-login.
> - sshd_config: Disabled PasswordAuthentication for "wheel" group
> members (imz@; closes: #17286).
> root@pad ~ # vim /etc/openssh/sshd_config.rpmnew
> root@pad ~ # fgrep wheel /etc/pam.d/sshd* /etc/openssh/sshd_config*
> /etc/openssh/sshd_config.rpmnew:Match Group wheel
>
> Почему образовался .rpmnew? :)
Значит, ты неосознанно изменил свой /etc/openssh/sshd_config.
Вряд ли rpmi мог ошибиться.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:12 ` Anton Farygin
@ 2010-06-23 11:25 ` Алексей Шенцев
2010-06-23 11:28 ` Dmitry V. Levin
2010-06-23 12:34 ` Anton Farygin
2010-06-23 11:25 ` Dmitry V. Levin
2010-06-23 11:26 ` Sergey
2 siblings, 2 replies; 153+ messages in thread
From: Алексей Шенцев @ 2010-06-23 11:25 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23.06.2010 15:12, Anton Farygin пишет:
> а ты всё ещё используешь анахронизм в виде iptables-save ?
Я к примеру использую. И перекладывать ~3000 строк правил для firewall
из iptables на etcnet как то трудозатратно. А сервак должен работать и
работает. Из-за этого и ещё ряда причин не использую альтератор для
управления как файерволом, так и сетью, dhcp. Эти модули гробят наши
стевые настройки.
Вот такие вот прироги ... :)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:12 ` Anton Farygin
2010-06-23 11:25 ` Алексей Шенцев
@ 2010-06-23 11:25 ` Dmitry V. Levin
2010-06-23 13:00 ` Michael Shigorin
2010-06-23 11:26 ` Sergey
2 siblings, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 11:25 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 826 bytes --]
On Wed, Jun 23, 2010 at 03:12:38PM +0400, Anton Farygin wrote:
> 23.06.2010 15:03, Dmitry V. Levin пишет:
> >On Wed, Jun 23, 2010 at 11:23:57AM +0400, Sergey wrote:
> >>On Wednesday 23 June 2010, Dmitry V. Levin wrote:
> >>
> >>>Подробнее об этом см.
> >>>https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>
> >>Мне кажется, тут лучше было бы подойти с
> >>другой стороны:
> >>https://bugzilla.altlinux.org/show_bug.cgi?id=11669
> >
> >Этот FR висит давно, но никто ещё не
> >предложил дистрибутивного решения.
> >Видимо, это не так просто.
>
> Дистрибутивное решение - положить
> правильные конфиги для firewall в etcnet.
>
> а ты всё ещё используешь анахронизм в
> виде iptables-save ?
Да, я не использую firewall в etcnet.
Я традиционно предпочитаю iptables-save/restore.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:12 ` Anton Farygin
2010-06-23 11:25 ` Алексей Шенцев
2010-06-23 11:25 ` Dmitry V. Levin
@ 2010-06-23 11:26 ` Sergey
2010-06-23 11:49 ` Vladislav Zavjalov
2010-06-23 12:37 ` Anton Farygin
2 siblings, 2 replies; 153+ messages in thread
From: Sergey @ 2010-06-23 11:26 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wednesday 23 June 2010, Anton Farygin wrote:
> Дистрибутивное решение - положить правильные конфиги для firewall
> в etcnet.
Тут есть сложность: непонятно, как будут именоваться интерфейсы. Для etcnet
это должен делать какой-то конфигуратор. Или у самого etcnet должно быть
место, куда кладутся глобальные правила (если ещё нет).
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:25 ` Алексей Шенцев
@ 2010-06-23 11:28 ` Dmitry V. Levin
2010-06-23 12:36 ` Anton Farygin
2010-06-23 12:34 ` Anton Farygin
1 sibling, 1 reply; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 11:28 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 472 bytes --]
On Wed, Jun 23, 2010 at 03:25:06PM +0400, Алексей Шенцев wrote:
> 23.06.2010 15:12, Anton Farygin пишет:
> > а ты всё ещё используешь анахронизм в виде iptables-save ?
> Я к примеру использую. И перекладывать ~3000 строк правил для firewall
> из iptables на etcnet как то трудозатратно.
Насколько я понимаю, firewall в etcnet не использует iptables-restore, и,
как следствие, установка ~3000 правил происходит на 3 порядка дольше.
Это неприемлемо.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* [sisyphus] Q: openssh-server: AllowGroups by default
2010-06-23 8:14 ` Андрей Черепанов
@ 2010-06-23 11:35 ` Dmitry V. Levin
2010-06-23 12:33 ` Anton Farygin
2010-06-23 12:54 ` Michael Shigorin
0 siblings, 2 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 11:35 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 960 bytes --]
On Wed, Jun 23, 2010 at 12:14:14PM +0400, Андрей Черепанов wrote:
> 23 июня 2010 Dmitry V. Levin написал:
> > Это просто AllowGroups remote wheel в сочетании с реализованным в
> > openssh-server-5.3p1-alt2...
> >
> > Собственно говоря, вы предлагаете по умолчанию сделать ещё и
> > AllowGroups имена_групп_в_которые_будут_входить_те_кого_можно_пускать?
> Кстати, весьма дельная идея и максимально понятная.
За исключением выбора групп, легко реализуемая.
Какие мне выбрать, чтобы всем угодить?
Я предлагаю
AllowGroups wheel users
- эти группы создаются в системе по умолчанию.
В сочетании с
control sshd-allow-groups enabled|disabled
никто не пострадает при обновлении.
> > Будет непросто придумать имена таких групп, которые бы устроили всех
> > заинтересованных.
> Дима, а как в других дистрибутивах? Проводилось сравнение и анализ? Или у нас
> снова свои велосипеды?
Насколько мне известно, другие не парятся.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:13 ` Sergey
@ 2010-06-23 11:40 ` Sergey
0 siblings, 0 replies; 153+ messages in thread
From: Sergey @ 2010-06-23 11:40 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wednesday 23 June 2010, Sergey wrote:
> готовый /etc/sys/iptables
/etc/sysconfig/iptables в смысле.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-23 9:28 ` Alexey Gladkov
@ 2010-06-23 11:44 ` Dmitry V. Levin
2010-06-23 11:53 ` Vitaly Kuznetsov
2010-06-23 17:08 ` [sisyphus] I: openssh-server-5.3p1-alt3 Dmitry V. Levin
0 siblings, 2 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 11:44 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 1002 bytes --]
On Wed, Jun 23, 2010 at 01:28:53PM +0400, Alexey Gladkov wrote:
> 23.06.2010 03:45, Dmitry V. Levin wrote:
> > Можно нарисовать какие-нибудь
> > control sshd-password-auth enabled|disabled|nonwheel
> > control sshd-allow-groups enabled|disabled|имя_группы
> > но я не уверен, что оно того стоит.
>
> Думаю создание control будет оптимальным, при смене умолчания, которое
> влияет на доступ.
control sshd-allow-groups имя_группы не очень просто реализовать, а
control sshd-password-auth nonwheel реализовать ещё сложнее.
Я предлагаю ограничиться
control sshd-password-auth enabled|disabled
control sshd-allow-groups enabled|disabled
Соответственно, при обновлении никто не пострадает, а спорное
изменение в openssh-server-5.3p1-alt2 можно было бы убрать.
Вопрос в значениях по умолчанию. Меня бы вполне устроили
sshd-password-auth disabled и sshd-allow-groups enabled,
но что-то мне подсказывает, что мои предпочтения в этом
вопросе могут кому-то не подойти.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:26 ` Sergey
@ 2010-06-23 11:49 ` Vladislav Zavjalov
2010-06-23 12:37 ` Anton Farygin
1 sibling, 0 replies; 153+ messages in thread
From: Vladislav Zavjalov @ 2010-06-23 11:49 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 03:26:07PM +0400, Sergey wrote:
> On Wednesday 23 June 2010, Anton Farygin wrote:
>
> > Дистрибутивное решение - положить правильные конфиги для firewall
> > в etcnet.
>
> Тут есть сложность: непонятно, как будут именоваться интерфейсы. Для etcnet
> это должен делать какой-то конфигуратор. Или у самого etcnet должно быть
> место, куда кладутся глобальные правила (если ещё нет).
Вроде, там есть интерфейс "default"?
Кстати, правила iptables из #11669 я могу добавить в alterator-net-iptables --
он ведь еще используется для каких-то office-server'ов?
Слава
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-23 11:44 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Dmitry V. Levin
@ 2010-06-23 11:53 ` Vitaly Kuznetsov
2010-06-23 13:06 ` Dmitry V. Levin
2010-06-23 17:08 ` [sisyphus] I: openssh-server-5.3p1-alt3 Dmitry V. Levin
1 sibling, 1 reply; 153+ messages in thread
From: Vitaly Kuznetsov @ 2010-06-23 11:53 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
"Dmitry V. Levin" <ldv@altlinux.org> writes:
> Я предлагаю ограничиться
> control sshd-password-auth enabled|disabled
> control sshd-allow-groups enabled|disabled
>
> Соответственно, при обновлении никто не пострадает, а спорное
> изменение в openssh-server-5.3p1-alt2 можно было бы убрать.
>
> Вопрос в значениях по умолчанию. Меня бы вполне устроили
> sshd-password-auth disabled и sshd-allow-groups enabled,
> но что-то мне подсказывает, что мои предпочтения в этом
> вопросе могут кому-то не подойти.
Если хочется не ломать работающее, то придётся в дефолтовом конфиге
делать ровно наоборот "enabled disabled" (иначе у некоторых юзеров после
обновления отвалится доступ). В дистрибутивах предлагаю сделать
соответствующий шаг установщика.
--
Vitaly Kuznetsov, ALT Linux
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 9:48 ` Vitaly Kuznetsov
@ 2010-06-23 12:12 ` Michael Shigorin
2010-06-23 13:12 ` Андрей Черепанов
1 sibling, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 12:12 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 09:48:07AM +0000, Vitaly Kuznetsov wrote:
> >> Ключики можно добавлять через альтератор. Удалённо.
> > А на десктопных машинах? Я имел ввиду помощь в установке
> > обычных десктопных ОС.
> Если будет control, то нарисовать соответствующий шаг
> установщика ("alt-specific") с галочкой "Пускать тех-то
> по паролю" (дефолт обсуждаем) очень несложно.
Это слишком существенное загромождение инсталера как такового,
но с другой стороны -- "подсунуть" пять строк о мерах
безопасности _и_ соответствующую ручку вполне резонно.
PS: не нашёл картинку насчёт бронедвери в траве, но:
http://failblog.files.wordpress.com/2009/08/fail-owned-airport-security-fail.jpg
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 10:06 ` Anton Farygin
@ 2010-06-23 12:12 ` Michael Shigorin
0 siblings, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 12:12 UTC (permalink / raw)
To: sisyphus
On Wed, Jun 23, 2010 at 02:06:32PM +0400, Anton Farygin wrote:
> как минимум один серверный дистрибутив должен выйти с таким
> сообщением, что бы настало "ближайшее время".
+1
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-22 23:45 ` Dmitry V. Levin
2010-06-23 9:28 ` Alexey Gladkov
2010-06-23 10:01 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
@ 2010-06-23 12:24 ` Michael Shigorin
2010-06-23 12:33 ` Dmitriy Kruglikov
2 siblings, 1 reply; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 12:24 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
On Wed, Jun 23, 2010 at 03:44:41PM +0400, Dmitry V. Levin wrote:
> Я предлагаю ограничиться
> control sshd-password-auth enabled|disabled
> control sshd-allow-groups enabled|disabled
Угу.
> Соответственно, при обновлении никто не пострадает, а спорное
> изменение в openssh-server-5.3p1-alt2 можно было бы убрать.
Спасибо!
> Вопрос в значениях по умолчанию. Меня бы вполне устроили
> sshd-password-auth disabled и sshd-allow-groups enabled,
> но что-то мне подсказывает, что мои предпочтения в этом
> вопросе могут кому-то не подойти.
Если бы при создании первого пользователя была разумная
возможность положить ему ключик... (или сгенерировать и
унести к себе приватную часть)
Мне ничего путного на эту тему в голову пока не пришло.
С другой стороны, может иметь смысл скинуться тем, как бы
кто хотел видеть настройки безопасности "из коробки" в среднем
по своим системам _без_ оглядки на других вообще -- и попытаться
понять, есть ли возможность сойтись на практичной изкоробочной
конфигурации и сделать к ней чё-нить вроде control system hardened.
Понятно, что вопрос чувствительный -- что-то можно и на LinuxFest
обрисовать.
On Wed, Jun 23, 2010 at 11:53:47AM +0000, Vitaly Kuznetsov wrote:
> > Вопрос в значениях по умолчанию. Меня бы вполне устроили
> > sshd-password-auth disabled и sshd-allow-groups enabled,
> > но что-то мне подсказывает, что мои предпочтения в этом
> > вопросе могут кому-то не подойти.
> Если хочется не ломать работающее, то придётся в дефолтовом
> конфиге делать ровно наоборот "enabled disabled" (иначе
> у некоторых юзеров после обновления отвалится доступ).
> В дистрибутивах предлагаю сделать соответствующий шаг
> установщика.
Шаги -- "дорогая" штука. _Может_ быть, такую ручку стоит
прикрутить около alterator-root в эксперт-режиме?
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 10:01 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
@ 2010-06-23 12:25 ` Michael Shigorin
0 siblings, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 12:25 UTC (permalink / raw)
To: sisyphus
On Wed, Jun 23, 2010 at 02:01:45PM +0400, Anton Farygin wrote:
> Я бы лучше WEB-интерфейс убрал, который позволяет сразу после
> установки системы рутовый пароль ввести...
Да, это была неудачная шутка.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: openssh-server: AllowGroups by default
2010-06-23 11:35 ` [sisyphus] Q: openssh-server: AllowGroups by default Dmitry V. Levin
@ 2010-06-23 12:33 ` Anton Farygin
2010-06-23 12:54 ` Michael Shigorin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 12:33 UTC (permalink / raw)
To: sisyphus
23.06.2010 15:35, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 12:14:14PM +0400, Андрей Черепанов wrote:
>> 23 июня 2010 Dmitry V. Levin написал:
>>> Это просто AllowGroups remote wheel в сочетании с реализованным в
>>> openssh-server-5.3p1-alt2...
>>>
>>> Собственно говоря, вы предлагаете по умолчанию сделать ещё и
>>> AllowGroups имена_групп_в_которые_будут_входить_те_кого_можно_пускать?
>> Кстати, весьма дельная идея и максимально понятная.
>
> За исключением выбора групп, легко реализуемая.
> Какие мне выбрать, чтобы всем угодить?
>
> Я предлагаю
> AllowGroups wheel users
> - эти группы создаются в системе по умолчанию.
>
> В сочетании с
> control sshd-allow-groups enabled|disabled
> никто не пострадает при обновлении.
Мне эта идея нравится.
>
>>> Будет непросто придумать имена таких групп, которые бы устроили всех
>>> заинтересованных.
>> Дима, а как в других дистрибутивах? Проводилось сравнение и анализ? Или у нас
>> снова свои велосипеды?
>
> Насколько мне известно, другие не парятся.
Всё верно, у RHEL можно идти под рутом по умолчанию по паролю.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-23 12:24 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Michael Shigorin
@ 2010-06-23 12:33 ` Dmitriy Kruglikov
2010-06-23 14:08 ` Michael Shigorin
0 siblings, 1 reply; 153+ messages in thread
From: Dmitriy Kruglikov @ 2010-06-23 12:33 UTC (permalink / raw)
To: shigorin, ALT Linux Sisyphus discussions
23 июня 2010 г. 15:24 пользователь Michael Shigorin написал:
> С другой стороны, может иметь смысл скинуться тем, как бы
> кто хотел видеть настройки безопасности "из коробки" в среднем
> по своим системам _без_ оглядки на других вообще -- и попытаться
> понять, есть ли возможность сойтись на практичной изкоробочной
> конфигурации и сделать к ней чё-нить вроде control system hardened.
>
А не было бы удобнее при сотворении пользователя одним чекбоксом
разрешить ему доступ по SSH ?
Если да, то прописать его в AllowUsers ?
Или добавить в группу, которая дефолтом прописана в sshd_config как Allow...
Я, например, давно и успешно применяю AllowUsers...
Другие же настройки по умолчанию имеют смысл в разрезе роли сервера.
А эту роль имеет смысл указывать на некотором шаге инсталлера...
Тогда из набора ролевых шаблонов можно и iptables настраивать, и много
чего еще ...
Но это будет отдельная тема...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:25 ` Алексей Шенцев
2010-06-23 11:28 ` Dmitry V. Levin
@ 2010-06-23 12:34 ` Anton Farygin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 12:34 UTC (permalink / raw)
To: sisyphus
23.06.2010 15:25, Алексей Шенцев пишет:
> 23.06.2010 15:12, Anton Farygin пишет:
>> а ты всё ещё используешь анахронизм в виде iptables-save ?
> Я к примеру использую. И перекладывать ~3000 строк правил для firewall
> из iptables на etcnet как то трудозатратно. А сервак должен работать и
> работает. Из-за этого и ещё ряда причин не использую альтератор для
> управления как файерволом, так и сетью, dhcp. Эти модули гробят наши
> стевые настройки.
> Вот такие вот прироги ... :)
я ~3000 строк правил смигрировал тут как-то на ipset, осталось около
100, которые прекрасно разложились на отдельные файлики в etcnet.
Впрочем, зависит.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:28 ` Dmitry V. Levin
@ 2010-06-23 12:36 ` Anton Farygin
2010-06-23 14:03 ` Алексей Шенцев
0 siblings, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 12:36 UTC (permalink / raw)
To: sisyphus
23.06.2010 15:28, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 03:25:06PM +0400, Алексей Шенцев wrote:
>> 23.06.2010 15:12, Anton Farygin пишет:
>>> а ты всё ещё используешь анахронизм в виде iptables-save ?
>> Я к примеру использую. И перекладывать ~3000 строк правил для firewall
>> из iptables на etcnet как то трудозатратно.
>
> Насколько я понимаю, firewall в etcnet не использует iptables-restore, и,
> как следствие, установка ~3000 правил происходит на 3 порядка дольше.
> Это неприемлемо.
Точнее сказать, что необходимость в 3000 правилах для файрволла сама по
себе довольно странна.
есть же ipset, который по моим оценкам на таком количестве правил снизил
нагрузку на систему в целом на пять-десять процентов при 70 мегабитах.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:26 ` Sergey
2010-06-23 11:49 ` Vladislav Zavjalov
@ 2010-06-23 12:37 ` Anton Farygin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 12:37 UTC (permalink / raw)
To: sisyphus
23.06.2010 15:26, Sergey пишет:
> On Wednesday 23 June 2010, Anton Farygin wrote:
>
>> Дистрибутивное решение - положить правильные конфиги для firewall
>> в etcnet.
>
> Тут есть сложность: непонятно, как будут именоваться интерфейсы. Для etcnet
> это должен делать какой-то конфигуратор. Или у самого etcnet должно быть
> место, куда кладутся глобальные правила (если ещё нет).
Конечно, у etcnet всё это есть.
Глобальные правила укладываются в /etc/net/ifaces/default/fw/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: openssh-server: AllowGroups by default
2010-06-23 11:35 ` [sisyphus] Q: openssh-server: AllowGroups by default Dmitry V. Levin
2010-06-23 12:33 ` Anton Farygin
@ 2010-06-23 12:54 ` Michael Shigorin
2010-06-23 12:59 ` Dmitriy Kruglikov
1 sibling, 1 reply; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 12:54 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 03:35:35PM +0400, Dmitry V. Levin wrote:
> За исключением выбора групп, легко реализуемая.
> Какие мне выбрать, чтобы всем угодить?
>
> Я предлагаю AllowGroups wheel users
> - эти группы создаются в системе по умолчанию.
Согласен.
Ещё припоминается, что в некоторый набор групп alterator-users
добавлял заводимых с его помощью пользователей.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:03 ` Dmitry V. Levin
2010-06-23 11:12 ` Anton Farygin
2010-06-23 11:13 ` Sergey
@ 2010-06-23 12:55 ` Michael Shigorin
2 siblings, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 12:55 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
On Wed, Jun 23, 2010 at 03:03:23PM +0400, Dmitry V. Levin wrote:
> > > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > Мне кажется, тут лучше было бы подойти с другой стороны:
> > https://bugzilla.altlinux.org/show_bug.cgi?id=11669
> Этот FR висит давно, но никто ещё не предложил дистрибутивного
> решения. Видимо, это не так просто.
Могу рекомендовать к установке из коробки sshutout.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-22 23:18 ` Dmitry V. Levin
2010-06-23 8:31 ` Michael Shigorin
@ 2010-06-23 12:59 ` Mikhail Efremov
2010-06-24 3:30 ` Gleb Kulikov
1 sibling, 1 reply; 153+ messages in thread
From: Mikhail Efremov @ 2010-06-23 12:59 UTC (permalink / raw)
To: sisyphus
On Wed, 23 Jun 2010 03:18:38 +0400 Dmitry V. Levin wrote:
> Суть анонсированного изменения в усилении действующей по умолчанию
> защиты "PermitRootLogin without-password": в дополнении к отключению
> возможности удалённого подбора пароля рута теперь отключается
> возможность удалённого подбора паролей пользователей, которые, будучи
> взломанными, открывали бы возможность прямого локального подбора
> пароля рута.
Но чтобы начать подбор пароля пользователя надо знать логин этого
пользователя, а он в общем случае неизвестен. Может проблема все-таки
не настолько серьезна для смены умолчаний?
P.S. Мне думается, что у мифического "обычного пользователя" на
десктопе вообще не должен быть запущен sshd. А если уж он его запустил,
значит он не такой уж и "обычный" и вполне в состоянии man прочитать.
Так что можно считать, что речь тут только о серверах.
Лично я вполне оправдываю принесение удобства в жертву безопасности. Но
я и не сисадмин ни разу, на своих полутора системах я и руками конфиги
поправлю как считаю нужным.
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: openssh-server: AllowGroups by default
2010-06-23 12:54 ` Michael Shigorin
@ 2010-06-23 12:59 ` Dmitriy Kruglikov
0 siblings, 0 replies; 153+ messages in thread
From: Dmitriy Kruglikov @ 2010-06-23 12:59 UTC (permalink / raw)
To: shigorin, ALT Linux Sisyphus discussions
23 июня 2010 г. 15:54 пользователь Michael Shigorin написал:
> Ещё припоминается, что в некоторый набор групп alterator-users
> добавлял заводимых с его помощью пользователей.
>
alterator-ldap-users:
default_groups="cdwriter cdrom audio proc radio camera floppy xgrp
scanner uucp users"
alterator-users:
default_groups="cdwriter cdrom audio proc radio camera floppy xgrp scanner uucp"
default_groups_file=/usr/share/install3/default-groups
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:25 ` Dmitry V. Levin
@ 2010-06-23 13:00 ` Michael Shigorin
0 siblings, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 13:00 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
On Wed, Jun 23, 2010 at 03:25:07PM +0400, Dmitry V. Levin wrote:
> > Дистрибутивное решение - положить правильные конфиги для
> > firewall в etcnet. а ты всё ещё используешь анахронизм в
> > виде iptables-save ?
> Да, я не использую firewall в etcnet.
Я один раз применял, но его как раз тогда перелопачивали (2005).
> Я традиционно предпочитаю iptables-save/restore.
Многие предпочитают самописные скрипты по причине возможности
описать объекты и логику, а ещё в сизифе есть генераторы правил
из высокоуровневых описаний (guarddog, shorewall...).
Замыкаться тут на чём-то одном не стоит, бояться сноса
iptables-restore'ом правил, порождённых антисканилкой --
IMHO тоже не стоит: природа этих атак такова, что правила
восстановятся автоматически.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-23 11:53 ` Vitaly Kuznetsov
@ 2010-06-23 13:06 ` Dmitry V. Levin
2010-06-23 14:07 ` Michael Shigorin
2010-06-23 14:08 ` Anton Farygin
0 siblings, 2 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 13:06 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 1072 bytes --]
On Wed, Jun 23, 2010 at 11:53:47AM +0000, Vitaly Kuznetsov wrote:
> "Dmitry V. Levin" <ldv@altlinux.org> writes:
>
> > Я предлагаю ограничиться
> > control sshd-password-auth enabled|disabled
> > control sshd-allow-groups enabled|disabled
> >
> > Соответственно, при обновлении никто не пострадает, а спорное
> > изменение в openssh-server-5.3p1-alt2 можно было бы убрать.
> >
> > Вопрос в значениях по умолчанию. Меня бы вполне устроили
> > sshd-password-auth disabled и sshd-allow-groups enabled,
> > но что-то мне подсказывает, что мои предпочтения в этом
> > вопросе могут кому-то не подойти.
>
> Если хочется не ломать работающее, то придётся в дефолтовом конфиге
> делать ровно наоборот "enabled disabled" (иначе у некоторых юзеров после
> обновления отвалится доступ).
Меня, кажется, пытаются учить программировать на control. :-)
Вопрос не в том, как упаковать дефолтный sshd_config, а в том, каким
должен получиться sshd_config по окончании установки (не обновления,
а именно первичной установки) пакета openssh-server.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 9:48 ` Vitaly Kuznetsov
2010-06-23 12:12 ` Michael Shigorin
@ 2010-06-23 13:12 ` Андрей Черепанов
1 sibling, 0 replies; 153+ messages in thread
From: Андрей Черепанов @ 2010-06-23 13:12 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23 июня 2010 Vitaly Kuznetsov написал:
> Андрей Черепанов <cas@altlinux.ru> writes:
> > 23 июня 2010 Alexey I. Froloff написал:
> >> On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> >> > То есть ssh для первого заведённого пользователя будет
> >
> > недоступен. /то
> >
> >> > означает, что удалённо администрировать свежепоставленную ОС
> >
> > становится
> >
> >> > невозможно,
> >>
> >> Ключики можно добавлять через альтератор. Удалённо.
> >
> > А на десктопных машинах? Я имел ввиду помощь в установке обычных
> > десктопных ОС.
>
> Если будет control, то нарисовать соответствующий шаг установщика
> ("alt-specific") с галочкой "Пускать тех-то по паролю" (дефолт
> обсуждаем) очень несложно.
99% вероятности, что авторы такого дефолта писать ни документацию, ни тем паче
модуль alterator не будут.
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 10:57 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
2010-06-23 11:10 ` Anton Farygin
@ 2010-06-23 13:20 ` Андрей Черепанов
1 sibling, 0 replies; 153+ messages in thread
From: Андрей Черепанов @ 2010-06-23 13:20 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: Text/Plain, Size: 2300 bytes --]
23 июня 2010 Dmitry V. Levin написал:
> On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> > 23 июня 2010 Dmitry V. Levin написал:
> > > On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> > > > 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > группы wheel.
> > > > >
> > > > > Подробнее об этом см.
> > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > >
> > > > И к чему это приведёт? Ну т.е. как было и как станет?
> > >
> > > Сменится умолчание: членов группы wheel перестанут пускать по паролю.
> >
> > То есть ssh для первого заведённого пользователя будет недоступен.
>
> Почему? sshd будет недоступен по паролю, но это не одно и то же.
Ключ на удалённую машину просто не передашь. Следовательно о доступе по
дефолту по SSH на такую машину стоит забыть.
> > /то
> > означает, что удалённо администрировать свежепоставленную ОС становится
> > невозможно,
>
> Почему? А как же Альтератор?
Который на дестопных дистрибутивах не идёт, а если и идёт, то не запущен?
[cas@cas installed]$ grep alterator-fbi *
list-ark-server.txt:alterator-fbi-5.25-alt2.M51.3
list-school-junior.txt:alterator-fbi-5.25-alt2.M51.3
list-school-master.txt:alterator-fbi-5.25-alt2.M51.3
list-school-server.txt:alterator-fbi-5.25-alt2.M51.3
> > использовать nx на этой системе становится невозможно (зная
> > квалификацию подобных целевых пользователей.
>
> Почему?
Я уже попросил спецов по NX осветить ситуацию. Мне казалось, что он работает
по SSH и с этим дефолтом без ключа и по паролю использовать его невозможно.
Или возможно, но никаких административных привилегий и возможностей
переключения через su.
> > IMHO, крайне спорный шаг,
>
> Конечно.
>
> > усугубляющий текущее и без того крайне несовместимое
> > и неудобную модель по безопасности. Фактически мы отрываем ручки, не
> > предлагая дешёвого способа исправить ситуацию.
>
> У нас есть веб-интерфейс. Пока в нашем инсталяторе нет штатного
> интерфейса выключить PasswordAuthentication вообще, это разумный
> компромисс.
У нас этот интерфейс есть только в серверных дистрибутивах.
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:13 ` Dmitry V. Levin
2010-06-23 11:18 ` Anton Farygin
@ 2010-06-23 14:03 ` Michael Shigorin
1 sibling, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 14:03 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
On Wed, Jun 23, 2010 at 03:13:05PM +0400, Dmitry V. Levin wrote:
> У всех наших обычных дистрибутивов есть веб-интерфейс.
Дим, IMHO защищать отсутствие выставления рутового пароля
в инсталяторе -- неразумно. Только ленивый не выругался.
> А у специализированных дистрибутивов и так специализированные
> конфиги.
Вопрос в том, что считаем нормой, а что -- дивергенцией.
И так половина installer-feature* просится на интеграцию
в репозиторий (являясь местом, где RM может переспорить
майнтейнера) -- это хорошо бы уменьшать, а не наоборот.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 12:36 ` Anton Farygin
@ 2010-06-23 14:03 ` Алексей Шенцев
0 siblings, 0 replies; 153+ messages in thread
From: Алексей Шенцев @ 2010-06-23 14:03 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
23.06.2010 16:36, Anton Farygin пишет:
> 23.06.2010 15:28, Dmitry V. Levin пишет:
>> On Wed, Jun 23, 2010 at 03:25:06PM +0400, Алексей Шенцев wrote:
>>> 23.06.2010 15:12, Anton Farygin пишет:
>>>> а ты всё ещё используешь анахронизм в виде iptables-save ?
>>> Я к примеру использую. И перекладывать ~3000 строк правил для firewall
>>> из iptables на etcnet как то трудозатратно.
>>
>> Насколько я понимаю, firewall в etcnet не использует
>> iptables-restore, и,
>> как следствие, установка ~3000 правил происходит на 3 порядка дольше.
>> Это неприемлемо.
>
> Точнее сказать, что необходимость в 3000 правилах для файрволла сама
> по себе довольно странна.
Так исторически сложилось. На одном интерфейсе по несколько ip-адресов,
несколько интерфейсов.
Впускать, выпускать ip видеофоны, голосовая ip телефония, банкоматы и
т.д. и т.п.
> есть же ipset, который по моим оценкам на таком количестве правил
> снизил нагрузку на систему в целом на пять-десять процентов при 70
> мегабитах.
Там ещё p5, так что ipset вроде не применим. Жду b6, тогда и буду
переходить и крутить ipset.
Держать рабочий сервер на сизифе пока нет желания ... ;)
Но вот за инфу, что при использовании ipset снижается на ~5-10%
нагрузка, спасибо.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-23 13:06 ` Dmitry V. Levin
@ 2010-06-23 14:07 ` Michael Shigorin
2010-06-23 14:52 ` Dmitry V. Levin
2010-06-23 14:08 ` Anton Farygin
1 sibling, 1 reply; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 14:07 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
On Wed, Jun 23, 2010 at 05:06:57PM +0400, Dmitry V. Levin wrote:
> Вопрос не в том, как упаковать дефолтный sshd_config, а в том,
> каким должен получиться sshd_config по окончании установки
> (не обновления, а именно первичной установки) пакета
> openssh-server.
Как в Server 4.0, pls.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-23 13:06 ` Dmitry V. Levin
2010-06-23 14:07 ` Michael Shigorin
@ 2010-06-23 14:08 ` Anton Farygin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-23 14:08 UTC (permalink / raw)
To: sisyphus
23.06.2010 17:06, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 11:53:47AM +0000, Vitaly Kuznetsov wrote:
>> "Dmitry V. Levin"<ldv@altlinux.org> writes:
>>
>>> Я предлагаю ограничиться
>>> control sshd-password-auth enabled|disabled
>>> control sshd-allow-groups enabled|disabled
>>>
>>> Соответственно, при обновлении никто не пострадает, а спорное
>>> изменение в openssh-server-5.3p1-alt2 можно было бы убрать.
>>>
>>> Вопрос в значениях по умолчанию. Меня бы вполне устроили
>>> sshd-password-auth disabled и sshd-allow-groups enabled,
>>> но что-то мне подсказывает, что мои предпочтения в этом
>>> вопросе могут кому-то не подойти.
>>
>> Если хочется не ломать работающее, то придётся в дефолтовом конфиге
>> делать ровно наоборот "enabled disabled" (иначе у некоторых юзеров после
>> обновления отвалится доступ).
>
> Меня, кажется, пытаются учить программировать на control. :-)
>
> Вопрос не в том, как упаковать дефолтный sshd_config, а в том, каким
> должен получиться sshd_config по окончании установки (не обновления,
> а именно первичной установки) пакета openssh-server.
Текущий вид этого конфига вполне приемлем.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-23 12:33 ` Dmitriy Kruglikov
@ 2010-06-23 14:08 ` Michael Shigorin
2010-06-23 14:27 ` Dmitriy Kruglikov
0 siblings, 1 reply; 153+ messages in thread
From: Michael Shigorin @ 2010-06-23 14:08 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 03:33:23PM +0300, Dmitriy Kruglikov wrote:
> А не было бы удобнее при сотворении пользователя одним
> чекбоксом разрешить ему доступ по SSH ?
Набросаешь?
> Если да, то прописать его в AllowUsers ? Или добавить в
> группу, которая дефолтом прописана в sshd_config как Allow...
Лучше второе, и как обсудили -- предварительно группа users.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-23 14:08 ` Michael Shigorin
@ 2010-06-23 14:27 ` Dmitriy Kruglikov
2010-06-25 11:51 ` [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups) Michael Shigorin
0 siblings, 1 reply; 153+ messages in thread
From: Dmitriy Kruglikov @ 2010-06-23 14:27 UTC (permalink / raw)
To: shigorin, ALT Linux Sisyphus discussions
23 июня 2010 г. 17:08 пользователь Michael Shigorin написал:
> On Wed, Jun 23, 2010 at 03:33:23PM +0300, Dmitriy Kruglikov wrote:
>> А не было бы удобнее при сотворении пользователя одним
>> чекбоксом разрешить ему доступ по SSH ?
>
> Набросаешь?
Что именно?
Пририсовать чекбокс в интерфейс? Без проблем ...
Там же, где и "Входит в группу администраторов" ...
Или backend?
Прямым редактированием конфигов, или дождаться control ?
> Лучше второе, и как обсудили -- предварительно группа users.
Для серверов я бы предложил wheel...
Именно потому, что в ней те, которые админы ...
Теоретически, после того, как в единое ТЗ соберется набор изменений
к существующим модулям, нарисую ...
Можно и модуль alterator-sshd ...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] Q: sshd-password-auth/sshd-allow-groups
2010-06-23 14:07 ` Michael Shigorin
@ 2010-06-23 14:52 ` Dmitry V. Levin
0 siblings, 0 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 14:52 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 484 bytes --]
On Wed, Jun 23, 2010 at 05:07:12PM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 05:06:57PM +0400, Dmitry V. Levin wrote:
> > Вопрос не в том, как упаковать дефолтный sshd_config, а в том,
> > каким должен получиться sshd_config по окончании установки
> > (не обновления, а именно первичной установки) пакета
> > openssh-server.
>
> Как в Server 4.0, pls.
В каком смысле? В Server 4.0 была другая версия openssh, там, несомненно,
другой конфиг.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* [sisyphus] I: openssh-server-5.3p1-alt3
2010-06-23 11:44 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Dmitry V. Levin
2010-06-23 11:53 ` Vitaly Kuznetsov
@ 2010-06-23 17:08 ` Dmitry V. Levin
1 sibling, 0 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-23 17:08 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 1365 bytes --]
On Wed, Jun 23, 2010 at 03:44:41PM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 23, 2010 at 01:28:53PM +0400, Alexey Gladkov wrote:
> > 23.06.2010 03:45, Dmitry V. Levin wrote:
> > > Можно нарисовать какие-нибудь
> > > control sshd-password-auth enabled|disabled|nonwheel
> > > control sshd-allow-groups enabled|disabled|имя_группы
> > > но я не уверен, что оно того стоит.
> >
> > Думаю создание control будет оптимальным, при смене умолчания, которое
> > влияет на доступ.
>
> control sshd-allow-groups имя_группы не очень просто реализовать, а
> control sshd-password-auth nonwheel реализовать ещё сложнее.
>
> Я предлагаю ограничиться
> control sshd-password-auth enabled|disabled
> control sshd-allow-groups enabled|disabled
>
> Соответственно, при обновлении никто не пострадает, а спорное
> изменение в openssh-server-5.3p1-alt2 можно было бы убрать.
Удивительно, но это предложение не вызвало разногласий, поэтому
openssh-server-5.3p1-alt3 с этими изменениями отправлен в Сизиф.
> Вопрос в значениях по умолчанию. Меня бы вполне устроили
> sshd-password-auth disabled и sshd-allow-groups enabled,
> но что-то мне подсказывает, что мои предпочтения в этом
> вопросе могут кому-то не подойти.
OK, оставим пока прежние умолчания, поскольку создатели дистрибутивов
всё равно сделают всё по своему усмотрению.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:08 ` Dmitry V. Levin
@ 2010-06-24 3:24 ` Gleb Kulikov
2010-06-24 6:33 ` Anton Farygin
0 siblings, 1 reply; 153+ messages in thread
From: Gleb Kulikov @ 2010-06-24 3:24 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
В сообщении от [Среда 23 июня 2010 Dmitry V. Levin] написал:
> Конечно, атаки на клиентские системы, использующие ключи, существуют.
> Но это не значит, что вероятность такой атак выше, чем атаки на сервер со
> слабыми паролями.
особенно, когда забываем убирать ключи старых юзеров, ага.
> А как было бы уютно?
Штатно оставить на усмотрение хозяина системы?
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 12:59 ` Mikhail Efremov
@ 2010-06-24 3:30 ` Gleb Kulikov
0 siblings, 0 replies; 153+ messages in thread
From: Gleb Kulikov @ 2010-06-24 3:30 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от [Среда 23 июня 2010 Mikhail Efremov] написал:
> P.S. Мне думается, что у мифического "обычного пользователя" на
> десктопе вообще не должен быть запущен sshd. А если уж он его запустил,
Первое, с чем (с удовольствием!) знакомится среднестатистический пользователь.
это удалённый доступ. ssh и nx.
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:21 ` Slava Dubrovskiy
@ 2010-06-24 4:19 ` Eugene Prokopiev
0 siblings, 0 replies; 153+ messages in thread
From: Eugene Prokopiev @ 2010-06-24 4:19 UTC (permalink / raw)
To: slava, ALT Linux Sisyphus discussions
23 июня 2010 г. 15:21 пользователь Slava Dubrovskiy
<slava@tangramltd.com> написал:
> 23.06.2010 14:11, Evgen пишет:
>> 23.06.2010 15:05, Anton Gorlov пишет:
>>> Anton Farygin пишет:
>>>
>>>> И то и то - криво, хотелось бы иметь возможность авторизовываться по
>>>> паролю.
>>>> И да, у меня в системе альтератор отсутствует как класс,
>>>> соответственно пробросить ключик через web-интерфейс нет никакой
>>>> возможности.
>>>
>>> +1.
>> Аналогично.
> Тоже поддерживаю.
+1
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:15 ` Anton Farygin
@ 2010-06-24 4:24 ` Evgen
0 siblings, 0 replies; 153+ messages in thread
From: Evgen @ 2010-06-24 4:24 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions, evgeny
23.06.2010 15:15, Anton Farygin пишет:
> Альтератор безусловно нужен некоторому количеству пользователей, но
> перейти на использование исключительно альтератора я готов только после
> того, как на его использование перейдёт лично ldv@ на всех серверах ;)
Более, чем убедительно.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 3:24 ` Gleb Kulikov
@ 2010-06-24 6:33 ` Anton Farygin
2010-06-24 6:50 ` Gleb Kulikov
0 siblings, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-24 6:33 UTC (permalink / raw)
To: sisyphus
24.06.2010 07:24, Gleb Kulikov пишет:
> В сообщении от [Среда 23 июня 2010 Dmitry V. Levin] написал:
>
>> Конечно, атаки на клиентские системы, использующие ключи, существуют.
>> Но это не значит, что вероятность такой атак выше, чем атаки на сервер со
>> слабыми паролями.
>
> особенно, когда забываем убирать ключи старых юзеров, ага.
>
>> А как было бы уютно?
>
> Штатно оставить на усмотрение хозяина системы?
Оно и в том и в том случае на усмотрении хозяина системы. Речь идёт об
удобных умолчаниях.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 6:33 ` Anton Farygin
@ 2010-06-24 6:50 ` Gleb Kulikov
2010-06-24 6:55 ` Motsyo Gennadi aka Drool
2010-06-24 8:09 ` Anton Farygin
0 siblings, 2 replies; 153+ messages in thread
From: Gleb Kulikov @ 2010-06-24 6:50 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от [Четверг 24 июня 2010 Anton Farygin] написал:
> Оно и в том и в том случае на усмотрении хозяина системы. Речь идёт об
> удобных умолчаниях.
Как при предлагаемых умолчаниях удобно зайти/залить ключ на свежепоставленную
систему, физический доступ к которой затруднён а ssh-copy-id, по "очевидным
удобным умолчаниям" посылает в сад, канавы рыть?
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 6:50 ` Gleb Kulikov
@ 2010-06-24 6:55 ` Motsyo Gennadi aka Drool
2010-06-24 7:02 ` Sergey
2010-06-24 8:08 ` Anton Farygin
2010-06-24 8:09 ` Anton Farygin
1 sibling, 2 replies; 153+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-06-24 6:55 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Gleb Kulikov пишет:
> Как при предлагаемых умолчаниях удобно зайти/залить ключ на свежепоставленную
> систему, физический доступ к которой затруднён а ssh-copy-id, по "очевидным
> удобным умолчаниям" посылает в сад, канавы рыть?
А мне также не совсем понятен смысл такого поведения в небольших сетях
внутри контор, офисов и организаций. Далеко не 100% линукс-систем
являются критичными серверами, на которые злобными хацкерами ведутся
атаки снаружи. Мне, к примеру, такое по умолчанию ну нафиг не нужно.
Хотя на двух своих серверах, имеющих доступ с интернета я сделал
авторизацию по ключу за пару минут.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 6:55 ` Motsyo Gennadi aka Drool
@ 2010-06-24 7:02 ` Sergey
2010-06-24 8:54 ` Motsyo Gennadi aka Drool
2010-06-24 8:08 ` Anton Farygin
1 sibling, 1 reply; 153+ messages in thread
From: Sergey @ 2010-06-24 7:02 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Thursday 24 June 2010, Motsyo Gennadi aka Drool wrote:
> Далеко не 100% линукс-систем являются критичными серверами, на которые
> злобными хацкерами ведутся атаки снаружи.
Не "злобными хацкерами", а "тупыми железными червями". Они просто ползают,
где могут, вне зависимости от важности хоста.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 6:55 ` Motsyo Gennadi aka Drool
2010-06-24 7:02 ` Sergey
@ 2010-06-24 8:08 ` Anton Farygin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-24 8:08 UTC (permalink / raw)
To: sisyphus
24.06.2010 10:55, Motsyo Gennadi aka Drool пишет:
> Gleb Kulikov пишет:
>> Как при предлагаемых умолчаниях удобно зайти/залить ключ на
>> свежепоставленную систему, физический доступ к которой затруднён а
>> ssh-copy-id, по "очевидным удобным умолчаниям" посылает в сад, канавы
>> рыть?
>
> А мне также не совсем понятен смысл такого поведения в небольших сетях
> внутри контор, офисов и организаций. Далеко не 100% линукс-систем
> являются критичными серверами, на которые злобными хацкерами ведутся
> атаки снаружи. Мне, к примеру, такое по умолчанию ну нафиг не нужно.
> Хотя на двух своих серверах, имеющих доступ с интернета я сделал
> авторизацию по ключу за пару минут.
100% линукс-систем является потенциально уязвимыми для программ-червей,
которые атакуют методом перебора.
После успешной атаки такие системы, как правило, используются для
рассылки спама или распределённой атаки на другие сервера.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 6:50 ` Gleb Kulikov
2010-06-24 6:55 ` Motsyo Gennadi aka Drool
@ 2010-06-24 8:09 ` Anton Farygin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-24 8:09 UTC (permalink / raw)
To: sisyphus
24.06.2010 10:50, Gleb Kulikov пишет:
> В сообщении от [Четверг 24 июня 2010 Anton Farygin] написал:
>
>> Оно и в том и в том случае на усмотрении хозяина системы. Речь идёт об
>> удобных умолчаниях.
>
> Как при предлагаемых умолчаниях удобно зайти/залить ключ на свежепоставленную
> систему, физический доступ к которой затруднён а ssh-copy-id, по "очевидным
> удобным умолчаниям" посылает в сад, канавы рыть?
Уже исправили, всё будет работать.
Вопрос закрыт.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 7:02 ` Sergey
@ 2010-06-24 8:54 ` Motsyo Gennadi aka Drool
2010-06-24 10:08 ` Anton Farygin
0 siblings, 1 reply; 153+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-06-24 8:54 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Sergey пишет:
> On Thursday 24 June 2010, Motsyo Gennadi aka Drool wrote:
>
>> Далеко не 100% линукс-систем являются критичными серверами, на которые
>> злобными хацкерами ведутся атаки снаружи.
>
> Не "злобными хацкерами", а "тупыми железными червями". Они просто ползают,
> где могут, вне зависимости от важности хоста.
Для того, чтобы ползать где могут, им нужно сначала проползти мимо
сервера/роутера/etc. Вот там и нужно такое поведение, но не на обычных
пользовательских десктопах, стоящих внутри сети. Тем более, что sshd в
последнее время на десктопах по умолчанию заглушен.
Я понимаю - партия решила, то сделают. Ну так хоть сделайте какую-то
простую ручку (alterator-sshd или control sshd), зачем усложнять простые
вещи? Лично мне сильно проще перевести на своем роутере авторизацию на
ключ, чем внутри сети отключать эту "фишку" на некотором количестве машин.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 8:54 ` Motsyo Gennadi aka Drool
@ 2010-06-24 10:08 ` Anton Farygin
2010-06-24 10:24 ` Motsyo Gennadi aka Drool
0 siblings, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-24 10:08 UTC (permalink / raw)
To: sisyphus
24.06.2010 12:54, Motsyo Gennadi aka Drool пишет:
> Sergey пишет:
>> On Thursday 24 June 2010, Motsyo Gennadi aka Drool wrote:
>>
>>> Далеко не 100% линукс-систем являются критичными серверами, на которые
>>> злобными хацкерами ведутся атаки снаружи.
>>
>> Не "злобными хацкерами", а "тупыми железными червями". Они просто
>> ползают,
>> где могут, вне зависимости от важности хоста.
>
> Для того, чтобы ползать где могут, им нужно сначала проползти мимо
> сервера/роутера/etc. Вот там и нужно такое поведение, но не на обычных
> пользовательских десктопах, стоящих внутри сети. Тем более, что sshd в
> последнее время на десктопах по умолчанию заглушен.
> Я понимаю - партия решила, то сделают. Ну так хоть сделайте какую-то
> простую ручку (alterator-sshd или control sshd), зачем усложнять простые
> вещи? Лично мне сильно проще перевести на своем роутере авторизацию на
> ключ, чем внутри сети отключать эту "фишку" на некотором количестве машин.
не понимаю - поправить /etc/openssh/sshd_config с помощью текстового
редактора уже запрещено ?
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 10:08 ` Anton Farygin
@ 2010-06-24 10:24 ` Motsyo Gennadi aka Drool
2010-06-24 11:04 ` Anton Farygin
0 siblings, 1 reply; 153+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-06-24 10:24 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Anton Farygin пишет:
> не понимаю - поправить /etc/openssh/sshd_config с помощью текстового
> редактора уже запрещено ?
Антон, не все держат в голове точный синтаксис конфига sshd. Не
запрещено, но и ручка для этого была бы удобней. Иначе нафига тогда
вообще все эти велосипеды с альтераторами да control-ом.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 10:24 ` Motsyo Gennadi aka Drool
@ 2010-06-24 11:04 ` Anton Farygin
2010-06-24 11:35 ` Motsyo Gennadi aka Drool
0 siblings, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-24 11:04 UTC (permalink / raw)
To: sisyphus
24.06.2010 14:24, Motsyo Gennadi aka Drool пишет:
> Anton Farygin пишет:
>> не понимаю - поправить /etc/openssh/sshd_config с помощью текстового
>> редактора уже запрещено ?
>
> Антон, не все держат в голове точный синтаксис конфига sshd. Не
> запрещено, но и ручка для этого была бы удобней. Иначе нафига тогда
> вообще все эти велосипеды с альтераторами да control-ом.
Какой там точный синтаксис... всё просто. Загляните в него хотя-бы один
разочек ради интереса.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 11:04 ` Anton Farygin
@ 2010-06-24 11:35 ` Motsyo Gennadi aka Drool
2010-06-24 11:42 ` Mykola S. Grechukh
0 siblings, 1 reply; 153+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-06-24 11:35 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Anton Farygin пишет:
> Какой там точный синтаксис... всё просто. Загляните в него хотя-бы один
> разочек ради интереса.
Если Вы внимательно читали мои посты - я туда заглядывал, когда нужно.
Но поскольку мне это нужно было всего пару раз, как и большинству - мне
понадобилось почитать документацию, чтоб переключить авторизацию на
ключ, точно также переключить на авторизацию по паролю с закрытими
глазами не смогу. Это во-первых, во-вторых - ручная правка конфига на >=
1 десктопе по времени сильно дольше, чем конструкция типа
control sshd password
Или я один такой, у кого внутри сети, закрытой модемом в режиме
роутера, а после него циской, нафиг не нужен интим с ключами для того,
чтоб на соседней машине запустить k3b или ООо через ssh -Y?
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 11:35 ` Motsyo Gennadi aka Drool
@ 2010-06-24 11:42 ` Mykola S. Grechukh
2010-06-24 11:46 ` Motsyo Gennadi aka Drool
0 siblings, 1 reply; 153+ messages in thread
From: Mykola S. Grechukh @ 2010-06-24 11:42 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
2010/6/24 Motsyo Gennadi aka Drool <>:
> Или я один такой, у кого внутри сети, закрытой модемом в режиме
> роутера, а после него циской, нафиг не нужен интим с ключами для того, чтоб
> на соседней машине запустить k3b или ООо через ssh -Y?
Ровно для названного Вами проще и удобнее использовать авторизацию по
ключам, а не тренироваться в скоростном печатании паролей.
И, о каком интиме с ключами идёт речь?
--
Mykola Grechukh
RISC Group IT Solutions
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 11:42 ` Mykola S. Grechukh
@ 2010-06-24 11:46 ` Motsyo Gennadi aka Drool
2010-06-24 11:51 ` Mykola S. Grechukh
2010-06-24 12:00 ` [sisyphus] " Anton Farygin
0 siblings, 2 replies; 153+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-06-24 11:46 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Mykola S. Grechukh пишет:
> Ровно для названного Вами проще и удобнее использовать авторизацию по
> ключам, а не тренироваться в скоростном печатании паролей.
А... Ключи без пароля.. Ну-ну...
> И, о каком интиме с ключами идёт речь?
Я не признаю ключей без пролей. А поскольку пароль мне приходится
набирать и так, и так, то интимом считаю лишние (для меня) телодвижения
по переключению на авторизацию по паролю, либо по генерации ключей там,
где они по уровню безопасности не нужны.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 11:46 ` Motsyo Gennadi aka Drool
@ 2010-06-24 11:51 ` Mykola S. Grechukh
2010-06-24 11:58 ` Motsyo Gennadi aka Drool
2010-06-24 12:00 ` [sisyphus] " Anton Farygin
1 sibling, 1 reply; 153+ messages in thread
From: Mykola S. Grechukh @ 2010-06-24 11:51 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
2010/6/24 Motsyo Gennadi aka Drool <>:
> Mykola S. Grechukh пишет:
>>
>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>> ключам, а не тренироваться в скоростном печатании паролей.
>
> А... Ключи без пароля.. Ну-ну...
нет, ssh-agent(1)
>
>> И, о каком интиме с ключами идёт речь?
>
> либо по генерации ключей там, где они
> по уровню безопасности не нужны.
Зачем их генерить?
--
Mykola Grechukh
RISC Group IT Solutions
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 11:51 ` Mykola S. Grechukh
@ 2010-06-24 11:58 ` Motsyo Gennadi aka Drool
2010-06-24 12:01 ` Mykola S. Grechukh
2010-06-24 12:01 ` Anton Farygin
0 siblings, 2 replies; 153+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-06-24 11:58 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Mykola S. Grechukh пишет:
>>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>>> ключам, а не тренироваться в скоростном печатании паролей.
>> А... Ключи без пароля.. Ну-ну...
>
> нет, ssh-agent(1)
И генерировать ключики уже не нужно? А то "disabled
PasswordAuthentication for "wheel" group members" как-бы намекает.
> Зачем их генерить?
Чтоб они появились.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 11:46 ` Motsyo Gennadi aka Drool
2010-06-24 11:51 ` Mykola S. Grechukh
@ 2010-06-24 12:00 ` Anton Farygin
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-24 12:00 UTC (permalink / raw)
To: sisyphus
24.06.2010 15:46, Motsyo Gennadi aka Drool пишет:
> Mykola S. Grechukh пишет:
>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>> ключам, а не тренироваться в скоростном печатании паролей.
>
> А... Ключи без пароля.. Ну-ну...
>
>> И, о каком интиме с ключами идёт речь?
>
> Я не признаю ключей без пролей. А поскольку пароль мне приходится
> набирать и так, и так, то интимом считаю лишние (для меня) телодвижения
> по переключению на авторизацию по паролю, либо по генерации ключей там,
> где они по уровню безопасности не нужны.
man ssh-add
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 11:58 ` Motsyo Gennadi aka Drool
@ 2010-06-24 12:01 ` Mykola S. Grechukh
2010-06-24 12:01 ` Anton Farygin
1 sibling, 0 replies; 153+ messages in thread
From: Mykola S. Grechukh @ 2010-06-24 12:01 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
2010/6/24 Motsyo Gennadi aka Drool <>:
> Mykola S. Grechukh пишет:
>>>>
>>>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>>>> ключам, а не тренироваться в скоростном печатании паролей.
>>>
>>> А... Ключи без пароля.. Ну-ну...
>>
>> нет, ssh-agent(1)
>
> И генерировать ключики уже не нужно?
не пытайтесь сменить тему. Мы обсуждали сравнительное удобство
использования парольной аутентификации и ключей с паролем.
> А то "disabled
> PasswordAuthentication for "wheel" group members" как-бы намекает.
>> Зачем их генерить?
> Чтоб они появились.
То есть у Вас нет ни одного ключа? Ну сгенерите один, делов-то. Я не
понял зачем их генерить сотнями.
--
Mykola Grechukh
RISC Group IT Solutions
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 11:58 ` Motsyo Gennadi aka Drool
2010-06-24 12:01 ` Mykola S. Grechukh
@ 2010-06-24 12:01 ` Anton Farygin
2010-06-24 12:15 ` Motsyo Gennadi aka Drool
2010-06-25 11:33 ` [sisyphus] [JT] " Michael Shigorin
1 sibling, 2 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-24 12:01 UTC (permalink / raw)
To: sisyphus
24.06.2010 15:58, Motsyo Gennadi aka Drool пишет:
> Mykola S. Grechukh пишет:
>>>> Ровно для названного Вами проще и удобнее использовать авторизацию по
>>>> ключам, а не тренироваться в скоростном печатании паролей.
>>> А... Ключи без пароля.. Ну-ну...
>>
>> нет, ssh-agent(1)
>
> И генерировать ключики уже не нужно? А то "disabled
> PasswordAuthentication for "wheel" group members" как-бы намекает.
Глюч генерится один раз на десктопе (или сервере) сисамдина.
>
>> Зачем их генерить?
>
> Чтоб они появились.
Ключ должен быть один. у того, кто заходит на сервер.
Не надо на каждом сервере что-то генерить. То, что надо - сгенериться само.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 12:01 ` Anton Farygin
@ 2010-06-24 12:15 ` Motsyo Gennadi aka Drool
2010-06-24 12:38 ` Dmitry V. Levin
` (2 more replies)
2010-06-25 11:33 ` [sisyphus] [JT] " Michael Shigorin
1 sibling, 3 replies; 153+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-06-24 12:15 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Anton Farygin пишет:
> Глюч генерится один раз на десктопе (или сервере) сисамдина.
Серьезно? Не знал.
> Ключ должен быть один. у того, кто заходит на сервер.
>
> Не надо на каждом сервере что-то генерить. То, что надо - сгенериться само.
А публичную часть ключа на принимающую машину ложить не нужно?
P.S. На какие только аргументы не пойдут, лишь бы не облегчить другим
жизнь, сделав банальную ручку, меняющую несколько строк конфига,
банального для опытного админа. Нафига вообще что-то обсуждать? Ставить
перед фактом - "с сегодняшнего дня вот так, встречайте. Возражения и
пожелания не принимаются."
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 12:15 ` Motsyo Gennadi aka Drool
@ 2010-06-24 12:38 ` Dmitry V. Levin
2010-06-24 13:07 ` Anton Farygin
2010-06-24 15:55 ` Денис Смирнов
2 siblings, 0 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-24 12:38 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 548 bytes --]
On Thu, Jun 24, 2010 at 03:15:55PM +0300, Motsyo Gennadi aka Drool wrote:
[...]
> P.S. На какие только аргументы не пойдут,
> лишь бы не облегчить другим жизнь, сделав
> банальную ручку, меняющую несколько
> строк конфига, банального для опытного
> админа. Нафига вообще что-то обсуждать?
> Ставить перед фактом - "с сегодняшнего
> дня вот так, встречайте. Возражения и
> пожелания не принимаются."
Перечитайте весь тред, пожалуйста. У некоторых писем менялся Subject,
не пропустите их -- они были самые важные.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 12:15 ` Motsyo Gennadi aka Drool
2010-06-24 12:38 ` Dmitry V. Levin
@ 2010-06-24 13:07 ` Anton Farygin
2010-06-24 13:10 ` Dmitriy Kruglikov
2010-06-24 13:38 ` Motsyo Gennadi aka Drool
2010-06-24 15:55 ` Денис Смирнов
2 siblings, 2 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-24 13:07 UTC (permalink / raw)
To: sisyphus
24.06.2010 16:15, Motsyo Gennadi aka Drool пишет:
> Anton Farygin пишет:
>> Глюч генерится один раз на десктопе (или сервере) сисамдина.
>
> Серьезно? Не знал.
Конечно.
>
>> Ключ должен быть один. у того, кто заходит на сервер.
>>
>> Не надо на каждом сервере что-то генерить. То, что надо - сгенериться
>> само.
>
> А публичную часть ключа на принимающую машину ложить не нужно?
Нужно. О чём и речь.
>
>
> P.S. На какие только аргументы не пойдут, лишь бы не облегчить другим
> жизнь, сделав банальную ручку, меняющую несколько строк конфига,
> банального для опытного админа. Нафига вообще что-то обсуждать? Ставить
> перед фактом - "с сегодняшнего дня вот так, встречайте. Возражения и
> пожелания не принимаются."
Эта ручка уже сделана, читайте весь тред.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 13:07 ` Anton Farygin
@ 2010-06-24 13:10 ` Dmitriy Kruglikov
2010-06-24 15:23 ` Anton Farygin
2010-06-24 13:38 ` Motsyo Gennadi aka Drool
1 sibling, 1 reply; 153+ messages in thread
From: Dmitriy Kruglikov @ 2010-06-24 13:10 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
24 июня 2010 г. 16:07 пользователь Anton Farygin написал:
> 24.06.2010 16:15, Motsyo Gennadi aka Drool пишет:
>> А публичную часть ключа на принимающую машину ложить не нужно?
>
> Нужно. О чём и речь.
Видать о том, что включение по умолчанию авторизацию _только_ по ключу
для пользователей из группы wheel делает невозможным размещение этого
ключа на целевую ситстему ...
Даже при условии знания пароля ...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 13:07 ` Anton Farygin
2010-06-24 13:10 ` Dmitriy Kruglikov
@ 2010-06-24 13:38 ` Motsyo Gennadi aka Drool
2010-06-24 14:54 ` Dmitry V. Levin
1 sibling, 1 reply; 153+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-06-24 13:38 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Anton Farygin пишет:
> Эта ручка уже сделана, читайте весь тред.
Я следил за всем тредом с Вашего самого первого сообщения. Видать,
что-то пропустил, только-что перечитал снова весь тред. Но, наверное, я
как-то по своему воспринимаю выражение "уже сделано", т.к. ни в одном
письме выражения "ок, так и решили, делаем так-то и так-то/такую-то и
такую-то ручку" не встретил. Тем более, что большинство ответивших в
этом треде высказались за сомнительное удобство нового умолчания (без
рубильника).
За сим откланиваюсь.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 13:38 ` Motsyo Gennadi aka Drool
@ 2010-06-24 14:54 ` Dmitry V. Levin
0 siblings, 0 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-24 14:54 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 635 bytes --]
On Thu, Jun 24, 2010 at 04:38:26PM +0300, Motsyo Gennadi aka Drool wrote:
> Anton Farygin пишет:
> >Эта ручка уже сделана, читайте весь тред.
>
> Я следил за всем тредом с Вашего
> самого первого сообщения. Видать, что-то
> пропустил, только-что перечитал снова
> весь тред. Но, наверное, я как-то по своему
> воспринимаю выражение "уже сделано", т.к.
> ни в одном письме выражения "ок, так и
> решили, делаем так-то и так-то/такую-то и
> такую-то ручку" не встретил.
Принимая во внимание необъятность треда, даю точную ссылку:
http://lists.altlinux.org/pipermail/sisyphus/2010-June/348009.html
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 13:10 ` Dmitriy Kruglikov
@ 2010-06-24 15:23 ` Anton Farygin
2010-06-24 15:40 ` Dmitriy Kruglikov
0 siblings, 1 reply; 153+ messages in thread
From: Anton Farygin @ 2010-06-24 15:23 UTC (permalink / raw)
To: sisyphus
24.06.2010 17:10, Dmitriy Kruglikov пишет:
> 24 июня 2010 г. 16:07 пользователь Anton Farygin написал:
>> 24.06.2010 16:15, Motsyo Gennadi aka Drool пишет:
>>> А публичную часть ключа на принимающую машину ложить не нужно?
>>
>> Нужно. О чём и речь.
> Видать о том, что включение по умолчанию авторизацию _только_ по ключу
> для пользователей из группы wheel делает невозможным размещение этого
> ключа на целевую ситстему ...
> Даже при условии знания пароля ...
Это уже откатили.
Теперь данное изменение целиком на совести дистрибутива/программы установки.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 15:23 ` Anton Farygin
@ 2010-06-24 15:40 ` Dmitriy Kruglikov
0 siblings, 0 replies; 153+ messages in thread
From: Dmitriy Kruglikov @ 2010-06-24 15:40 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
24 июня 2010 г. 18:23 пользователь Anton Farygin написал:
>
> Это уже откатили.
Уже заметил :)
> Теперь данное изменение целиком на совести дистрибутива/программы установки.
Теперь можно можно спокойно прикинуть ТЗ на модуль альтератора...
Составить список настроек, которыми нужно рулить, а остальное уже дело
техники ...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 12:15 ` Motsyo Gennadi aka Drool
2010-06-24 12:38 ` Dmitry V. Levin
2010-06-24 13:07 ` Anton Farygin
@ 2010-06-24 15:55 ` Денис Смирнов
2010-06-25 4:15 ` Eugene Prokopiev
2010-06-25 13:01 ` Slava Dubrovskiy
2 siblings, 2 replies; 153+ messages in thread
From: Денис Смирнов @ 2010-06-24 15:55 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 754 bytes --]
On Thu, Jun 24, 2010 at 03:15:55PM +0300, Motsyo Gennadi aka Drool wrote:
MGaD> А публичную часть ключа на принимающую машину ложить не нужно?
А пароль на пользователя устанавливать не надо? А еще и запоминать и
хранить где-то.
Или у вас еще и пароли на всех этих машинах одинаковые???
P.S. Если у человека машин _много_, то куда проще один раз сделать
пакетик, который создает пользователя и кладет ему public key. Для
упрощения установки клиентских машин -- у меня такой пакетик есть, и в
образе дистрибутива, который я выдаю клиентам такой пакетик -- есть, и
устанавливается одним кликом в инсталляторе.
--
С уважением, Денис
http://mithraen.ru/
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 15:55 ` Денис Смирнов
@ 2010-06-25 4:15 ` Eugene Prokopiev
2010-06-25 4:22 ` Anton Farygin
2010-06-25 7:44 ` Денис Смирнов
2010-06-25 13:01 ` Slava Dubrovskiy
1 sibling, 2 replies; 153+ messages in thread
From: Eugene Prokopiev @ 2010-06-25 4:15 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
24 июня 2010 г. 19:55 пользователь Денис Смирнов <mithraen@altlinux.ru> написал:
> P.S. Если у человека машин _много_, то куда проще один раз сделать
> пакетик, который создает пользователя и кладет ему public key. Для
> упрощения установки клиентских машин -- у меня такой пакетик есть, и в
> образе дистрибутива, который я выдаю клиентам такой пакетик -- есть, и
> устанавливается одним кликом в инсталляторе.
А public key пакет кладет в ~ или есть более дистрибутивное место? И
установка этого пакета из твоего образа опциональна?
Когда профиль с пакетом показывать будешь? :)
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 4:15 ` Eugene Prokopiev
@ 2010-06-25 4:22 ` Anton Farygin
2010-06-25 7:44 ` Денис Смирнов
1 sibling, 0 replies; 153+ messages in thread
From: Anton Farygin @ 2010-06-25 4:22 UTC (permalink / raw)
To: sisyphus
25.06.2010 08:15, Eugene Prokopiev пишет:
> 24 июня 2010 г. 19:55 пользователь Денис Смирнов<mithraen@altlinux.ru> написал:
>
>> P.S. Если у человека машин _много_, то куда проще один раз сделать
>> пакетик, который создает пользователя и кладет ему public key. Для
>> упрощения установки клиентских машин -- у меня такой пакетик есть, и в
>> образе дистрибутива, который я выдаю клиентам такой пакетик -- есть, и
>> устанавливается одним кликом в инсталляторе.
>
> А public key пакет кладет в ~ или есть более дистрибутивное место? И
> установка этого пакета из твоего образа опциональна?
Есть каталоги
/etc/openssh/authorized_keys*/
ключ - файл, имя которого соответствует имени пользователя, нужно
положить в один из этих каталогов.
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 4:15 ` Eugene Prokopiev
2010-06-25 4:22 ` Anton Farygin
@ 2010-06-25 7:44 ` Денис Смирнов
2010-06-25 9:04 ` Eugene Prokopiev
2010-06-25 9:05 ` Sergei Epiphanov
1 sibling, 2 replies; 153+ messages in thread
From: Денис Смирнов @ 2010-06-25 7:44 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 1731 bytes --]
On Fri, Jun 25, 2010 at 08:15:12AM +0400, Eugene Prokopiev wrote:
EP> А public key пакет кладет в ~ или есть более дистрибутивное место? И
/etc/openssh/authorized_keys2
EP> установка этого пакета из твоего образа опциональна?
Да, потому как этот образ используется в том числе некоторыми коллегами,
которым ну никак не надо давать мне доступ к машинкам своих клиентов :)
Подожди, ты же вроде видел этот волшебный секретный образ? Там среди групп
пакетов последний в списке -- удаленный доступ для меня.
EP> Когда профиль с пакетом показывать будешь? :)
А что там показывать? Я сие не выкладываю а держу внутри по одной простой
причине -- чтобы кто-нибудь себе случайно не собрал дистрибутив с моим
ключиком. Это-ж бэкдор получается, из коробки.
С клиентами понятно -- им это надо, чтобы не учить их организовывать мне
удаленный доступ, ибо виндузятнику объяснять что надо "создать
пользователя, добавить его в wheel, добваить его в sudo, и т.д." проще
убиться.
В том образе, который я буду выкладывать публично -- видимо этого
волшебного пакетика не будет. Возможно будет ссылка apt-репо где этот
пакетик лежит, и краткая инструкция как этот пакетик поставить.
Уж чего-чего, а жалоб от какого-нибудь ламера, который ткнул галку не
глядя а потом стал вопить что злобный mithraen@ делает бэкдоры -- мне
слышать совсем не хочется.
Собственно ровно по той же причине этого пакета нет в Сизифе. Ну и вообще
-- кому кроме моих клиентов такой пакет нужен? :)
Хочешь дать мне на все свои сервера удаленный доступ с беспарольным sudo?
;-) А нафига он мне? ;-)
--
С уважением, Денис
http://mithraen.ru/
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 7:44 ` Денис Смирнов
@ 2010-06-25 9:04 ` Eugene Prokopiev
2010-06-25 9:49 ` Денис Смирнов
2010-06-25 9:05 ` Sergei Epiphanov
1 sibling, 1 reply; 153+ messages in thread
From: Eugene Prokopiev @ 2010-06-25 9:04 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
25 июня 2010 г. 11:44 пользователь Денис Смирнов <mithraen@altlinux.ru> написал:
> On Fri, Jun 25, 2010 at 08:15:12AM +0400, Eugene Prokopiev wrote:
>
> EP> А public key пакет кладет в ~ или есть более дистрибутивное место? И
>
> /etc/openssh/authorized_keys2
>
> EP> установка этого пакета из твоего образа опциональна?
>
> Да, потому как этот образ используется в том числе некоторыми коллегами,
> которым ну никак не надо давать мне доступ к машинкам своих клиентов :)
>
> Подожди, ты же вроде видел этот волшебный секретный образ? Там среди групп
> пакетов последний в списке -- удаленный доступ для меня.
Не видел :( И, как сам понимаешь, меня больше профиль интересует, чем
готовый образ ;)
> EP> Когда профиль с пакетом показывать будешь? :)
>
> А что там показывать? Я сие не выкладываю а держу внутри по одной простой
> причине -- чтобы кто-нибудь себе случайно не собрал дистрибутив с моим
> ключиком. Это-ж бэкдор получается, из коробки.
>
> С клиентами понятно -- им это надо, чтобы не учить их организовывать мне
> удаленный доступ, ибо виндузятнику объяснять что надо "создать
> пользователя, добавить его в wheel, добваить его в sudo, и т.д." проще
> убиться.
>
> В том образе, который я буду выкладывать публично -- видимо этого
> волшебного пакетика не будет. Возможно будет ссылка apt-репо где этот
> пакетик лежит, и краткая инструкция как этот пакетик поставить.
>
> Уж чего-чего, а жалоб от какого-нибудь ламера, который ткнул галку не
> глядя а потом стал вопить что злобный mithraen@ делает бэкдоры -- мне
> слышать совсем не хочется.
>
> Собственно ровно по той же причине этого пакета нет в Сизифе. Ну и вообще
> -- кому кроме моих клиентов такой пакет нужен? :)
>
> Хочешь дать мне на все свои сервера удаленный доступ с беспарольным sudo?
> ;-) А нафига он мне? ;-)
Нет, я всего лишь хочу сделать git clone пакета и профиля ;)
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 7:44 ` Денис Смирнов
2010-06-25 9:04 ` Eugene Prokopiev
@ 2010-06-25 9:05 ` Sergei Epiphanov
2010-06-25 9:51 ` Денис Смирнов
1 sibling, 1 reply; 153+ messages in thread
From: Sergei Epiphanov @ 2010-06-25 9:05 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от 25 июня 2010 11:44:10 автор Денис Смирнов написал:
> Да, потому как этот образ используется в том числе некоторыми коллегами,
> которым ну никак не надо давать мне доступ к машинкам своих клиентов :)
Вам на сервер заходить с рабочей машины? Тогда:
1) сделать им такой же образ, но без пакета с ключом
2) В пакет с ключом положить только публичный ключ, а не приватный. Публичный
без приватного никому не нужен.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 9:04 ` Eugene Prokopiev
@ 2010-06-25 9:49 ` Денис Смирнов
2010-06-25 10:40 ` Eugene Prokopiev
0 siblings, 1 reply; 153+ messages in thread
From: Денис Смирнов @ 2010-06-25 9:49 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1.1: Type: text/plain, Size: 584 bytes --]
On Fri, Jun 25, 2010 at 01:04:33PM +0400, Eugene Prokopiev wrote:
EP> Не видел :( И, как сам понимаешь, меня больше профиль интересует, чем
EP> готовый образ ;)
А! :) Вообще следи за mkimage-profiles-desktop -- я туда потихоньку по
мере тестирования все это счастье сливаю.
EP> Нет, я всего лишь хочу сделать git clone пакета и профиля ;)
В аттаче спек от моего суперпакета :)
Не думаю что мой /etc/sudo.d/mithraen и ключ так уж нужны :)
--
С уважением, Денис
http://mithraen.ru/
----------------------------------------------------------------------------
[-- Attachment #1.2: internal-mithraen.spec --]
[-- Type: text/plain, Size: 1879 bytes --]
Name: internal-mithraen
Summary: Package for servers that I admin
Version: 0.0.5
Release: alt1
License: For internal use
Group: System/Servers
BuildArch: noarch
Packager: Denis Smirnov <mithraen@altlinux.ru>
Source: %name-%version.tar
%package admin
Summary: Package for servers that I admin
Group: System/Servers
Requires(pre): internal-mithraen-user = %version-%release
Requires: appliance-base-glibc
%description admin
Package for servers that I admin
%package user
Summary: Package for servers that I admin
Group: System/Servers
Requires(pre): shadow-utils
Requires(pre): shadow-groups
Requires(pre): zsh
Requires(pre): asterisk-user
%description user
Package for servers that I admin
%description
Package for servers that I admin
%prep
%setup
%install
install -D -m 644 id_dsa.pub %buildroot%_sysconfdir/openssh/authorized_keys2/mithraen
install -D -m 644 id_dsa.pub %buildroot%_sysconfdir/openssh/authorized_keys2/root
install -D -m 400 sudoers %buildroot%_sysconfdir/sudo.d/mithraen
%pre user
groupadd -f mithraen
useradd -s /bin/zsh -c "Denis Smirnov" -g mithraen -G wheel,rpm,proc,cdwriter,pbxadmin -m mithraen 2> /dev/null ||:
usermod -s /bin/zsh -c "Denis Smirnov" -G wheel,rpm,proc,cdwriter,pbxadmin mithraen ||:
gpasswd -a mithraen cdrom
%files admin
%_sysconfdir/openssh/authorized_keys2/root
%files user
%_sysconfdir/sudo.d/mithraen
%_sysconfdir/openssh/authorized_keys2/mithraen
%changelog
* Fri Mar 26 2010 Denis Smirnov <mithraen@altlinux.ru> 0.0.5-alt1
- update sudo config
* Thu Sep 17 2009 Denis Smirnov <mithraen@altlinux.ru> 0.0.4-alt1
- add mithraen to 'pbxadmin' group
* Wed Sep 09 2009 Denis Smirnov <mithraen@altlinux.ru> 0.0.3-alt1
- more updates in user creation
* Tue Sep 08 2009 Denis Smirnov <mithraen@altlinux.ru> 0.0.2-alt1
- fix user creation
* Sun Jul 12 2009 Denis Smirnov <mithraen@altlinux.ru> 0.0.1-alt1
- first build
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 9:05 ` Sergei Epiphanov
@ 2010-06-25 9:51 ` Денис Смирнов
2010-06-25 10:06 ` Sergei Epiphanov
0 siblings, 1 reply; 153+ messages in thread
From: Денис Смирнов @ 2010-06-25 9:51 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 659 bytes --]
On Fri, Jun 25, 2010 at 01:05:28PM +0400, Sergei Epiphanov wrote:
SE> Вам на сервер заходить с рабочей машины? Тогда:
SE> 1) сделать им такой же образ, но без пакета с ключом
SE> 2) В пакет с ключом положить только публичный ключ, а не приватный. Публичный
SE> без приватного никому не нужен.
Дык так и сделано - есть образ с публичным ключом, который по одному клику
в инсталлере будет у них установлен.
Засада в том, что такая вещь, если устанавливается по умолчанию и без
громких матюков -- называется backdoor.
--
С уважением, Денис
http://mithraen.ru/
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 9:51 ` Денис Смирнов
@ 2010-06-25 10:06 ` Sergei Epiphanov
2010-06-25 18:40 ` Денис Смирнов
0 siblings, 1 reply; 153+ messages in thread
From: Sergei Epiphanov @ 2010-06-25 10:06 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от 25 июня 2010 13:51:13 автор Денис Смирнов написал:
> SE> Вам на сервер заходить с рабочей машины? Тогда:
> SE> 1) сделать им такой же образ, но без пакета с ключом
> SE> 2) В пакет с ключом положить только публичный ключ, а не приватный.
> Публичный SE> без приватного никому не нужен.
>
> Дык так и сделано - есть образ с публичным ключом, который по одному клику
> в инсталлере будет у них установлен.
>
> Засада в том, что такая вещь, если устанавливается по умолчанию и без
> громких матюков -- называется backdoor.
Да я знаю про backdoor. Но что мешает им сделать образ без этого пакета? Ваш
же образ как-то сделан.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 9:49 ` Денис Смирнов
@ 2010-06-25 10:40 ` Eugene Prokopiev
0 siblings, 0 replies; 153+ messages in thread
From: Eugene Prokopiev @ 2010-06-25 10:40 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
25 июня 2010 г. 13:49 пользователь Денис Смирнов <mithraen@altlinux.ru> написал:
> On Fri, Jun 25, 2010 at 01:04:33PM +0400, Eugene Prokopiev wrote:
>
> EP> Не видел :( И, как сам понимаешь, меня больше профиль интересует, чем
> EP> готовый образ ;)
>
> А! :) Вообще следи за mkimage-profiles-desktop -- я туда потихоньку по
> мере тестирования все это счастье сливаю.
Свистни как сольешь и скажи имя цели :)
> EP> Нет, я всего лишь хочу сделать git clone пакета и профиля ;)
>
> В аттаче спек от моего суперпакета :)
>
> Не думаю что мой /etc/sudo.d/mithraen и ключ так уж нужны :)
Не могу взять в толк, чем и кому публикация этого пакета на git.alt
могла бы повредить ;) Однако все равно спасибо :)
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 153+ messages in thread
* [sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 12:01 ` Anton Farygin
2010-06-24 12:15 ` Motsyo Gennadi aka Drool
@ 2010-06-25 11:33 ` Michael Shigorin
2010-06-25 11:40 ` Aleksey Novodvorsky
2010-06-25 12:14 ` Mykola S. Grechukh
1 sibling, 2 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-25 11:33 UTC (permalink / raw)
To: sisyphus
On Thu, Jun 24, 2010 at 04:01:40PM +0400, Anton Farygin wrote:
> Глюч генерится один раз на десктопе (или сервере) сисамдина.
JFYI: некоторые мои знакомые генерят на каждый хост/группу,
и мне сложно обвинить их в безграмотности.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 11:33 ` [sisyphus] [JT] " Michael Shigorin
@ 2010-06-25 11:40 ` Aleksey Novodvorsky
2010-06-25 12:48 ` Michael Shigorin
2010-06-25 12:14 ` Mykola S. Grechukh
1 sibling, 1 reply; 153+ messages in thread
From: Aleksey Novodvorsky @ 2010-06-25 11:40 UTC (permalink / raw)
To: shigorin, ALT Linux Sisyphus discussions
25.06.10, Michael Shigorin<mike@osdn.org.ua> написал(а):
> On Thu, Jun 24, 2010 at 04:01:40PM +0400, Anton Farygin wrote:
> > Глюч генерится один раз на десктопе (или сервере) сисамдина.
>
>
> JFYI: некоторые мои знакомые генерят на каждый хост/группу,
> и мне сложно обвинить их в безграмотности.
Это Вы к чему? Чем не устраивает принятое решение?
Rgrds, Алексей
^ permalink raw reply [flat|nested] 153+ messages in thread
* [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)
2010-06-23 14:27 ` Dmitriy Kruglikov
@ 2010-06-25 11:51 ` Michael Shigorin
0 siblings, 1 reply; 153+ messages in thread
From: Michael Shigorin @ 2010-06-25 11:51 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Jun 23, 2010 at 05:27:10PM +0300, Dmitriy Kruglikov wrote:
> >> А не было бы удобнее при сотворении пользователя одним
> >> чекбоксом разрешить ему доступ по SSH ?
> > Набросаешь?
> Что именно? Пририсовать чекбокс в интерфейс? Без проблем ...
Угу.
> Прямым редактированием конфигов, или дождаться control ?
Второе.
> > Лучше второе, и как обсудили -- предварительно группа users.
> Для серверов я бы предложил wheel...
> Именно потому, что в ней те, которые админы ...
Включение в группу wheel имеет совсем другие последствия,
чем получение удалённого доступа. То есть обсуждать надо
отдельно.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-23 11:22 ` Dmitry V. Levin
@ 2010-06-25 11:52 ` Michael Shigorin
2010-06-27 20:12 ` Dmitry V. Levin
0 siblings, 1 reply; 153+ messages in thread
From: Michael Shigorin @ 2010-06-25 11:52 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
On Wed, Jun 23, 2010 at 03:22:53PM +0400, Dmitry V. Levin wrote:
> > # rpm -V openssh-server
> > #
> > Почему образовался .rpmnew? :)
> Значит, ты неосознанно изменил свой /etc/openssh/sshd_config.
> Вряд ли rpmi мог ошибиться.
Удивился пустому выводу rpm -V, ну да ладно.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 11:33 ` [sisyphus] [JT] " Michael Shigorin
2010-06-25 11:40 ` Aleksey Novodvorsky
@ 2010-06-25 12:14 ` Mykola S. Grechukh
2010-06-25 12:47 ` Michael Shigorin
1 sibling, 1 reply; 153+ messages in thread
From: Mykola S. Grechukh @ 2010-06-25 12:14 UTC (permalink / raw)
To: shigorin, ALT Linux Sisyphus discussions
2010/6/25 Michael Shigorin <mike@osdn.org.ua>:
> On Thu, Jun 24, 2010 at 04:01:40PM +0400, Anton Farygin wrote:
>> Глюч генерится один раз на десктопе (или сервере) сисамдина.
>
> JFYI: некоторые мои знакомые генерят на каждый хост/группу,
> и мне сложно обвинить их в безграмотности.
Разные случаи бывают.
--
Mykola Grechukh
RISC Group IT Solutions
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)
@ 2010-06-25 12:46 ` Michael Shigorin
2010-06-25 12:59 ` Dmitriy Kruglikov
0 siblings, 1 reply; 153+ messages in thread
From: Michael Shigorin @ 2010-06-25 12:46 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Fri, Jun 25, 2010 at 03:03:43PM +0300, Dmitriy Kruglikov wrote:
> >> Что именно? Пририсовать чекбокс в интерфейс? Без проблем ...
> > Угу.
> Прототип в git://git.altlinux.org/people/dkr/packages/alterator-sshd.git
> Пока только статус сервиса читает и включает/выключает его
> через chkconfig ...
Для этого per se есть alterator-services. :)
> Скриншот - чистая вестка, без функционала.
> Чего не хватает, что лишнее - внемлю...
sftp в[ы]ключается control sftp. :)
> Жду предложенией/рекомендаций по интерфейсу загрузки ключей
> пользователей на сервер.
В ковчеге есть.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 12:14 ` Mykola S. Grechukh
@ 2010-06-25 12:47 ` Michael Shigorin
0 siblings, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-25 12:47 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Fri, Jun 25, 2010 at 03:14:45PM +0300, Mykola S. Grechukh wrote:
> >> Глюч генерится один раз на десктопе (или сервере) сисамдина.
> > JFYI: некоторые мои знакомые генерят на каждый хост/группу,
> > и мне сложно обвинить их в безграмотности.
> Разные случаи бывают.
Вот и я о чём. :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] [JT] Re: I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 11:40 ` Aleksey Novodvorsky
@ 2010-06-25 12:48 ` Michael Shigorin
0 siblings, 0 replies; 153+ messages in thread
From: Michael Shigorin @ 2010-06-25 12:48 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Fri, Jun 25, 2010 at 03:40:41PM +0400, Aleksey Novodvorsky wrote:
> > > Глюч генерится один раз на десктопе (или сервере) сисамдина.
> > JFYI: некоторые мои знакомые генерят на каждый хост/группу,
> > и мне сложно обвинить их в безграмотности.
> Это Вы к чему? Чем не устраивает принятое решение?
Уже устраивает -- жаль, что очередной раз произошёл %post flame,
а не "поинтересоваться заранее", ну да хоть не явочным порядком.
Думаю, обсуждение _практик_ и впрямь лучше унести в sysadmins@,
если ещё требуется.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)
2010-06-25 12:46 ` Michael Shigorin
@ 2010-06-25 12:59 ` Dmitriy Kruglikov
2010-06-25 13:04 ` Michael Shigorin
0 siblings, 1 reply; 153+ messages in thread
From: Dmitriy Kruglikov @ 2010-06-25 12:59 UTC (permalink / raw)
To: shigorin, ALT Linux Sisyphus discussions
25 июня 2010 г. 15:46 пользователь Michael Shigorin написал:
> Для этого per se есть alterator-services. :)
>
Видел рекомендации Стаса вынести это в интерфейс каждого сервиса ...
> sftp в[ы]ключается control sftp. :)
Это вопросы бакенда ...
А в интерфейсе он просто присутствует ...
>> Жду предложенией/рекомендаций по интерфейсу загрузки ключей
>> пользователей на сервер.
>
> В ковчеге есть.
Там только для root, если я не ошибаюсь ...
Если нужно просто сохранить загружаемый файл
в /etc/openssh/authorized_keys2/$user_name, то без проблем ...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-24 15:55 ` Денис Смирнов
2010-06-25 4:15 ` Eugene Prokopiev
@ 2010-06-25 13:01 ` Slava Dubrovskiy
2010-06-29 3:41 ` Денис Смирнов
1 sibling, 1 reply; 153+ messages in thread
From: Slava Dubrovskiy @ 2010-06-25 13:01 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
24.06.2010 18:55, Денис Смирнов пишет:
> On Thu, Jun 24, 2010 at 03:15:55PM +0300, Motsyo Gennadi aka Drool wrote:
>
> MGaD> А публичную часть ключа на принимающую машину ложить не нужно?
>
> А пароль на пользователя устанавливать не надо? А еще и запоминать и
> хранить где-то.
>
> Или у вас еще и пароли на всех этих машинах одинаковые???
>
> P.S. Если у человека машин _много_, то куда проще один раз сделать
> пакетик, который создает пользователя и кладет ему public key. Для
> упрощения установки клиентских машин -- у меня такой пакетик есть, и в
> образе дистрибутива, который я выдаю клиентам такой пакетик -- есть, и
> устанавливается одним кликом в инсталляторе.
>
А я сделал скриптик который положил в пакетик
installer-feature-copy-key-to-root в preinstall.d
Скриптик копирует все публичные ключи из metadata.
Тоже очень удобно. Особенно для сетевой установки. Положил ключик в
метадата и начинаешь сетапиться с сети и автоматом получаешь доступ.
--
WBR,
Dubrovskiy Vyacheslav
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)
2010-06-25 12:59 ` Dmitriy Kruglikov
@ 2010-06-25 13:04 ` Michael Shigorin
2010-06-25 13:13 ` Dmitriy Kruglikov
0 siblings, 1 reply; 153+ messages in thread
From: Michael Shigorin @ 2010-06-25 13:04 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Fri, Jun 25, 2010 at 03:59:13PM +0300, Dmitriy Kruglikov wrote:
> > Для этого per se есть alterator-services. :)
> Видел рекомендации Стаса вынести это в интерфейс каждого сервиса ...
В смысле "если только для этого".
> > sftp в[ы]ключается control sftp. :)
> Это вопросы бакенда ...
> А в интерфейсе он просто присутствует ...
В интерфейсе заморочки вместо "on/off" ("enabled/disabled").
Вообще хороший интерфейс напоминает человеческий язык,
а не куски конфига. :)
> Если нужно просто сохранить загружаемый файл
> в /etc/openssh/authorized_keys2/$user_name, то без проблем ...
Угу.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups)
2010-06-25 13:04 ` Michael Shigorin
@ 2010-06-25 13:13 ` Dmitriy Kruglikov
0 siblings, 0 replies; 153+ messages in thread
From: Dmitriy Kruglikov @ 2010-06-25 13:13 UTC (permalink / raw)
To: shigorin, ALT Linux Sisyphus discussions
25 июня 2010 г. 16:04 пользователь Michael Shigorin написал:
> В смысле "если только для этого".
Я согласен с тем, что "прыгать" из одного интерфейса в другой для
в[ы]ключения сервиса нерационально ...
> В интерфейсе заморочки вместо "on/off" ("enabled/disabled").
Чекбоксом "on/off", а строкой - значение ...
> Вообще хороший интерфейс напоминает человеческий язык,
> а не куски конфига. :)
Мы и на "человечьем" не всегда друг друга понимаем :)
По этому я вынес в интерфейс те настройки, которые сам когда-либо менял.
Есть еще несколько параметров, типа MaxStartups, но их лучше один раз
обсудить и прописать дефолтом, дабы не перегружать интерфейс ...
>> Если нужно просто сохранить загружаемый файл
>> в /etc/openssh/authorized_keys2/$user_name, то без проблем ...
>
> Угу.
Если "угу", то ко вторнику будет, что потестить ...
P.S.
Жду более активной ругани, а то так и пойдет в Сизиф, на сборку.
Или все согласны ?
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 10:06 ` Sergei Epiphanov
@ 2010-06-25 18:40 ` Денис Смирнов
0 siblings, 0 replies; 153+ messages in thread
From: Денис Смирнов @ 2010-06-25 18:40 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 514 bytes --]
On Fri, Jun 25, 2010 at 02:06:49PM +0400, Sergei Epiphanov wrote:
SE> Да я знаю про backdoor. Но что мешает им сделать образ без этого пакета? Ваш
SE> же образ как-то сделан.
Вы невнимательно читали :)
Нет проблемы сделать образ без этого пакета. И нет проблемы сделать образ
с этим пакетом. Проблемы вообще нет -- есть сложная ситуация, свое решение
которой я озвучил :)
--
С уважением, Денис
http://mithraen.ru/
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 11:52 ` Michael Shigorin
@ 2010-06-27 20:12 ` Dmitry V. Levin
0 siblings, 0 replies; 153+ messages in thread
From: Dmitry V. Levin @ 2010-06-27 20:12 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 689 bytes --]
On Fri, Jun 25, 2010 at 02:52:13PM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 03:22:53PM +0400, Dmitry V. Levin wrote:
> > > # rpm -V openssh-server
> > > #
> > > Почему образовался .rpmnew? :)
> > Значит, ты неосознанно изменил свой /etc/openssh/sshd_config.
> > Вряд ли rpmi мог ошибиться.
>
> Удивился пустому выводу rpm -V, ну да ладно.
Людям свойственно удивляться явлениям, для которых не находится
подходящего объяснения. Однако ничего потустороннего в данном случае нет:
%attr(600,root,root) %config(noreplace) %verify(not size md5 mtime) %_sysconfdir/%name/sshd_config
- так иногда поступают с файлами, которые редактирует control(8).
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
* Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
2010-06-25 13:01 ` Slava Dubrovskiy
@ 2010-06-29 3:41 ` Денис Смирнов
0 siblings, 0 replies; 153+ messages in thread
From: Денис Смирнов @ 2010-06-29 3:41 UTC (permalink / raw)
To: slava, ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 534 bytes --]
On Fri, Jun 25, 2010 at 04:01:50PM +0300, Slava Dubrovskiy wrote:
SD> А я сделал скриптик который положил в пакетик
SD> installer-feature-copy-key-to-root в preinstall.d
SD> Скриптик копирует все публичные ключи из metadata.
SD> Тоже очень удобно. Особенно для сетевой установки. Положил ключик в
SD> метадата и начинаешь сетапиться с сети и автоматом получаешь доступ.
Ценнейшая вещь! Спасибо.
--
С уважением, Денис
http://mithraen.ru/
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 153+ messages in thread
end of thread, other threads:[~2010-06-29 3:41 UTC | newest]
Thread overview: 153+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-06-22 21:44 [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
2010-06-22 22:48 ` Igor Zubkov
2010-06-22 22:59 ` Dmitry V. Levin
2010-06-23 8:08 ` Андрей Черепанов
2010-06-23 8:11 ` Алексей Шенцев
2010-06-23 8:22 ` Андрей Черепанов
2010-06-23 8:34 ` Michael Shigorin
2010-06-23 10:07 ` Boris Savelev
2010-06-23 8:13 ` Alexey I. Froloff
2010-06-23 8:20 ` Андрей Черепанов
2010-06-23 9:48 ` Vitaly Kuznetsov
2010-06-23 12:12 ` Michael Shigorin
2010-06-23 13:12 ` Андрей Черепанов
2010-06-23 8:21 ` [sisyphus] [JT] quests (was: I: openssh-server-5.3p1-alt2) Michael Shigorin
2010-06-23 10:57 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
2010-06-23 11:10 ` Anton Farygin
2010-06-23 11:13 ` Dmitry V. Levin
2010-06-23 11:18 ` Anton Farygin
2010-06-23 14:03 ` Michael Shigorin
2010-06-23 13:20 ` Андрей Черепанов
2010-06-22 22:51 ` Evgeny Sinelnikov
2010-06-22 23:18 ` Dmitry V. Levin
2010-06-23 8:31 ` Michael Shigorin
2010-06-23 11:01 ` Dmitry V. Levin
2010-06-23 12:59 ` Mikhail Efremov
2010-06-24 3:30 ` Gleb Kulikov
2010-06-22 22:53 ` Michael Shigorin
2010-06-22 23:08 ` Dmitry V. Levin
2010-06-22 23:23 ` Кокарев Константин
2010-06-22 23:35 ` Dmitry V. Levin
2010-06-23 0:48 ` Кокарев Константин
2010-06-23 0:52 ` Dmitry V. Levin
2010-06-23 1:02 ` Кокарев Константин
2010-06-23 1:14 ` Dmitry V. Levin
2010-06-23 1:39 ` Кокарев Константин
2010-06-22 23:32 ` Evgeny Sinelnikov
2010-06-22 23:45 ` Dmitry V. Levin
2010-06-23 9:28 ` Alexey Gladkov
2010-06-23 11:44 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Dmitry V. Levin
2010-06-23 11:53 ` Vitaly Kuznetsov
2010-06-23 13:06 ` Dmitry V. Levin
2010-06-23 14:07 ` Michael Shigorin
2010-06-23 14:52 ` Dmitry V. Levin
2010-06-23 14:08 ` Anton Farygin
2010-06-23 17:08 ` [sisyphus] I: openssh-server-5.3p1-alt3 Dmitry V. Levin
2010-06-23 10:01 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
2010-06-23 12:25 ` Michael Shigorin
2010-06-23 12:24 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Michael Shigorin
2010-06-23 12:33 ` Dmitriy Kruglikov
2010-06-23 14:08 ` Michael Shigorin
2010-06-23 14:27 ` Dmitriy Kruglikov
2010-06-25 11:51 ` [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups) Michael Shigorin
2010-06-25 12:46 ` Michael Shigorin
2010-06-25 12:59 ` Dmitriy Kruglikov
2010-06-25 13:04 ` Michael Shigorin
2010-06-25 13:13 ` Dmitriy Kruglikov
2010-06-22 23:50 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Evgeny Sinelnikov
2010-06-23 0:03 ` Dmitry V. Levin
2010-06-23 0:17 ` Evgeny Sinelnikov
2010-06-23 0:19 ` Dmitry V. Levin
2010-06-23 0:34 ` Evgeny Sinelnikov
2010-06-23 0:47 ` Dmitry V. Levin
2010-06-23 7:53 ` Michael Shigorin
2010-06-23 7:54 ` Michael Shigorin
2010-06-23 11:22 ` Dmitry V. Levin
2010-06-25 11:52 ` Michael Shigorin
2010-06-27 20:12 ` Dmitry V. Levin
2010-06-23 0:39 ` Dmitry V. Levin
2010-06-23 8:14 ` Андрей Черепанов
2010-06-23 11:35 ` [sisyphus] Q: openssh-server: AllowGroups by default Dmitry V. Levin
2010-06-23 12:33 ` Anton Farygin
2010-06-23 12:54 ` Michael Shigorin
2010-06-23 12:59 ` Dmitriy Kruglikov
2010-06-23 9:58 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
2010-06-23 11:05 ` Anton Gorlov
2010-06-23 11:11 ` Evgen
2010-06-23 11:15 ` Anton Farygin
2010-06-24 4:24 ` Evgen
2010-06-23 11:21 ` Slava Dubrovskiy
2010-06-24 4:19 ` Eugene Prokopiev
2010-06-22 23:18 ` Vladislav Zavjalov
2010-06-22 23:21 ` Dmitry V. Levin
2010-06-22 23:22 ` Vladislav Zavjalov
2010-06-22 23:33 ` Dmitry V. Levin
2010-06-22 23:49 ` Vladislav Zavjalov
2010-06-23 10:06 ` Anton Farygin
2010-06-23 12:12 ` Michael Shigorin
2010-06-23 0:26 ` Dmitry V. Levin
2010-06-23 10:04 ` Anton Farygin
2010-06-23 7:23 ` Sergey
2010-06-23 10:08 ` Anton Farygin
2010-06-23 11:03 ` Dmitry V. Levin
2010-06-23 11:12 ` Anton Farygin
2010-06-23 11:25 ` Алексей Шенцев
2010-06-23 11:28 ` Dmitry V. Levin
2010-06-23 12:36 ` Anton Farygin
2010-06-23 14:03 ` Алексей Шенцев
2010-06-23 12:34 ` Anton Farygin
2010-06-23 11:25 ` Dmitry V. Levin
2010-06-23 13:00 ` Michael Shigorin
2010-06-23 11:26 ` Sergey
2010-06-23 11:49 ` Vladislav Zavjalov
2010-06-23 12:37 ` Anton Farygin
2010-06-23 11:13 ` Sergey
2010-06-23 11:40 ` Sergey
2010-06-23 12:55 ` Michael Shigorin
2010-06-23 8:49 ` Gleb Kulikov
2010-06-23 11:08 ` Dmitry V. Levin
2010-06-24 3:24 ` Gleb Kulikov
2010-06-24 6:33 ` Anton Farygin
2010-06-24 6:50 ` Gleb Kulikov
2010-06-24 6:55 ` Motsyo Gennadi aka Drool
2010-06-24 7:02 ` Sergey
2010-06-24 8:54 ` Motsyo Gennadi aka Drool
2010-06-24 10:08 ` Anton Farygin
2010-06-24 10:24 ` Motsyo Gennadi aka Drool
2010-06-24 11:04 ` Anton Farygin
2010-06-24 11:35 ` Motsyo Gennadi aka Drool
2010-06-24 11:42 ` Mykola S. Grechukh
2010-06-24 11:46 ` Motsyo Gennadi aka Drool
2010-06-24 11:51 ` Mykola S. Grechukh
2010-06-24 11:58 ` Motsyo Gennadi aka Drool
2010-06-24 12:01 ` Mykola S. Grechukh
2010-06-24 12:01 ` Anton Farygin
2010-06-24 12:15 ` Motsyo Gennadi aka Drool
2010-06-24 12:38 ` Dmitry V. Levin
2010-06-24 13:07 ` Anton Farygin
2010-06-24 13:10 ` Dmitriy Kruglikov
2010-06-24 15:23 ` Anton Farygin
2010-06-24 15:40 ` Dmitriy Kruglikov
2010-06-24 13:38 ` Motsyo Gennadi aka Drool
2010-06-24 14:54 ` Dmitry V. Levin
2010-06-24 15:55 ` Денис Смирнов
2010-06-25 4:15 ` Eugene Prokopiev
2010-06-25 4:22 ` Anton Farygin
2010-06-25 7:44 ` Денис Смирнов
2010-06-25 9:04 ` Eugene Prokopiev
2010-06-25 9:49 ` Денис Смирнов
2010-06-25 10:40 ` Eugene Prokopiev
2010-06-25 9:05 ` Sergei Epiphanov
2010-06-25 9:51 ` Денис Смирнов
2010-06-25 10:06 ` Sergei Epiphanov
2010-06-25 18:40 ` Денис Смирнов
2010-06-25 13:01 ` Slava Dubrovskiy
2010-06-29 3:41 ` Денис Смирнов
2010-06-25 11:33 ` [sisyphus] [JT] " Michael Shigorin
2010-06-25 11:40 ` Aleksey Novodvorsky
2010-06-25 12:48 ` Michael Shigorin
2010-06-25 12:14 ` Mykola S. Grechukh
2010-06-25 12:47 ` Michael Shigorin
2010-06-24 12:00 ` [sisyphus] " Anton Farygin
2010-06-24 8:08 ` Anton Farygin
2010-06-24 8:09 ` Anton Farygin
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git