From: Evgeny Sinelnikov <sin@altlinux.ru>
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>,
imz@altlinux.org
Subject: Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
Date: Wed, 23 Jun 2010 03:50:09 +0400
Message-ID: <AANLkTilb0xyBnOFtcJsn4sJ80qO7IPQXwRfW2tvk2rtS@mail.gmail.com> (raw)
In-Reply-To: <AANLkTin5PFyDV5n7DZSqRjrJQeskUbFVPSOcdOJXFRX3@mail.gmail.com>
Что-то как-то порвалось сообщение.
23 июня 2010 г. 3:32 пользователь Evgeny Sinelnikov <sin@altlinux.ru> написал:
> 23 июня 2010 г. 3:08 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>>> > умолчанию аутентификация по паролю будет выключена для членов
>>> > группы wheel.
>>>
>>> При обновлении умолчание изменится по сравнению с предыдущим,
>>> если /etc/openssh/sshd_config не трогался?
>>
>> Да, конечно.
>>
>>> > Подробнее об этом см.
>>> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>>
>>> По-моему, идея никуда не годится в качестве умолчания, которое
>>> может самопроизвольно поменяться при обновлении дистрибутива
>>> с потенциальным DoS.
>>
>> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
>> но на всякий случай я это изменение анонсировал.
>>
>> Лично я PasswordAuthentication на сервере использую исключительно тогда,
>> когда мне нужно протестировать этот режим работы при подготовке новой
>> версии openssh.
>>
>>> Как недефолтный вариант для control, в идеале связанный с control
>>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
>>> и сам бы пользовался.
>>>
>>> Прошу ещё раз подумать.
>>
>> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
>> если бы не наткнулся на компромиссный вариант, описанный в #17286,
>> то так бы и сделал.
>>
У не членов группы wheel тоже немало возможностей сделать плохо. Тем
более, что пароли у таких "не рулящих" пользователей могут быть
неудачно потерянными или даже плохими с большей степенью вероятности,
чем у "рулящих". Как пример неудачной практики, имею опыт получения
бота и усасывющего помегабайтный трафик с пятницы по вторник.
Ну, так что по поводу группы remote и политики "кому можно" думается?
Я думаю, что стоит добавить:
а) политику "кому можно" по группе, например remote;
б) политику по качеству пароля на auth.
Как сделать б) я пока не знаю (не пробовал достаточно активно, чтобы
получилось), но тоже очень бы хотел.
Группа remote покрывает больше рабочих сценариев, чем просто "по
ключам". Мало ли у кого ключи лежат, по старой памяти...
Я вижу такие сценарии:
1) Новый.
- члены группы wheel "ходят" только по ключам;
- остальные, как хотят.
2) Мой текущий.
- "ходят" только члены группы remote;
- остальные "не ходят".
3) Гибридный первый.
- "ходят" только члены группы remote;
- члены группы wheel "ходят" только по ключам и только, если они в
группе remote;
- остальные "не ходят".
4) Гибридный второй.
- "ходят" только члены группы remote и группы wheel, но последние
только по ключам;
- остальные "не ходят".
Отвечаю сразу и на второе письмо:
23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
> On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
>> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv@altlinux.org> написал:
>> >
>> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>> > аутентификация по паролю будет выключена для членов группы wheel.
>> >
>> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> А можно ли добавить в политики по умолчанию, для openssh, обратную
>> группу? Группу тех, кого пускают.
>
> Кого пускают, или у кого пароль спрашивают?
Кого не пускают кроме...
Сценарий 2.
> Для первого, вообще говоря, существует AllowUsers/AllowGroups.
Так по-лучше, но могут ли эти опции пускать только из этих групп, а
других не пускать?
AllowGroupsOnly ?
> Суть анонсированного изменения в усилении действующей по умолчанию защиты
> "PermitRootLogin without-password": в дополнении к отключению возможности
> удалённого подбора пароля рута теперь отключается возможность удалённого
> подбора паролей пользователей, которые, будучи взломанными, открывали бы
> возможность прямого локального подбора пароля рута.
>
Хотелось бы быть защищённым не только от "удалённого подбора паролей
пользователей, которые, будучи взломанными, открывали бы возможность
прямого локального подбора пароля рута", но и вообще от подбора
паролей не доверенных пользователей.
Кроме того, по группе, удобнее отслеживать и администрировать, тех кто
может "ходить" удалённо.
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2010-06-22 23:50 UTC|newest]
Thread overview: 153+ messages / expand[flat|nested] mbox.gz Atom feed top
2010-06-22 21:44 Dmitry V. Levin
2010-06-22 22:48 ` Igor Zubkov
2010-06-22 22:59 ` Dmitry V. Levin
2010-06-23 8:08 ` Андрей Черепанов
2010-06-23 8:11 ` Алексей Шенцев
2010-06-23 8:22 ` Андрей Черепанов
2010-06-23 8:34 ` Michael Shigorin
2010-06-23 10:07 ` Boris Savelev
2010-06-23 8:13 ` Alexey I. Froloff
2010-06-23 8:20 ` Андрей Черепанов
2010-06-23 9:48 ` Vitaly Kuznetsov
2010-06-23 12:12 ` Michael Shigorin
2010-06-23 13:12 ` Андрей Черепанов
2010-06-23 8:21 ` [sisyphus] [JT] quests (was: I: openssh-server-5.3p1-alt2) Michael Shigorin
2010-06-23 10:57 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
2010-06-23 11:10 ` Anton Farygin
2010-06-23 11:13 ` Dmitry V. Levin
2010-06-23 11:18 ` Anton Farygin
2010-06-23 14:03 ` Michael Shigorin
2010-06-23 13:20 ` Андрей Черепанов
2010-06-22 22:51 ` Evgeny Sinelnikov
2010-06-22 23:18 ` Dmitry V. Levin
2010-06-23 8:31 ` Michael Shigorin
2010-06-23 11:01 ` Dmitry V. Levin
2010-06-23 12:59 ` Mikhail Efremov
2010-06-24 3:30 ` Gleb Kulikov
2010-06-22 22:53 ` Michael Shigorin
2010-06-22 23:08 ` Dmitry V. Levin
2010-06-22 23:23 ` Кокарев Константин
2010-06-22 23:35 ` Dmitry V. Levin
2010-06-23 0:48 ` Кокарев Константин
2010-06-23 0:52 ` Dmitry V. Levin
2010-06-23 1:02 ` Кокарев Константин
2010-06-23 1:14 ` Dmitry V. Levin
2010-06-23 1:39 ` Кокарев Константин
2010-06-22 23:32 ` Evgeny Sinelnikov
2010-06-22 23:45 ` Dmitry V. Levin
2010-06-23 9:28 ` Alexey Gladkov
2010-06-23 11:44 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Dmitry V. Levin
2010-06-23 11:53 ` Vitaly Kuznetsov
2010-06-23 13:06 ` Dmitry V. Levin
2010-06-23 14:07 ` Michael Shigorin
2010-06-23 14:52 ` Dmitry V. Levin
2010-06-23 14:08 ` Anton Farygin
2010-06-23 17:08 ` [sisyphus] I: openssh-server-5.3p1-alt3 Dmitry V. Levin
2010-06-23 10:01 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
2010-06-23 12:25 ` Michael Shigorin
2010-06-23 12:24 ` [sisyphus] Q: sshd-password-auth/sshd-allow-groups Michael Shigorin
2010-06-23 12:33 ` Dmitriy Kruglikov
2010-06-23 14:08 ` Michael Shigorin
2010-06-23 14:27 ` Dmitriy Kruglikov
2010-06-25 11:51 ` [sisyphus] [x] remote access (was: Q: sshd-password-auth/sshd-allow-groups) Michael Shigorin
2010-06-25 12:46 ` Michael Shigorin
2010-06-25 12:59 ` Dmitriy Kruglikov
2010-06-25 13:04 ` Michael Shigorin
2010-06-25 13:13 ` Dmitriy Kruglikov
2010-06-22 23:50 ` Evgeny Sinelnikov [this message]
2010-06-23 0:03 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Dmitry V. Levin
2010-06-23 0:17 ` Evgeny Sinelnikov
2010-06-23 0:19 ` Dmitry V. Levin
2010-06-23 0:34 ` Evgeny Sinelnikov
2010-06-23 0:47 ` Dmitry V. Levin
2010-06-23 7:53 ` Michael Shigorin
2010-06-23 7:54 ` Michael Shigorin
2010-06-23 11:22 ` Dmitry V. Levin
2010-06-25 11:52 ` Michael Shigorin
2010-06-27 20:12 ` Dmitry V. Levin
2010-06-23 0:39 ` Dmitry V. Levin
2010-06-23 8:14 ` Андрей Черепанов
2010-06-23 11:35 ` [sisyphus] Q: openssh-server: AllowGroups by default Dmitry V. Levin
2010-06-23 12:33 ` Anton Farygin
2010-06-23 12:54 ` Michael Shigorin
2010-06-23 12:59 ` Dmitriy Kruglikov
2010-06-23 9:58 ` [sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members Anton Farygin
2010-06-23 11:05 ` Anton Gorlov
2010-06-23 11:11 ` Evgen
2010-06-23 11:15 ` Anton Farygin
2010-06-24 4:24 ` Evgen
2010-06-23 11:21 ` Slava Dubrovskiy
2010-06-24 4:19 ` Eugene Prokopiev
2010-06-22 23:18 ` Vladislav Zavjalov
2010-06-22 23:21 ` Dmitry V. Levin
2010-06-22 23:22 ` Vladislav Zavjalov
2010-06-22 23:33 ` Dmitry V. Levin
2010-06-22 23:49 ` Vladislav Zavjalov
2010-06-23 10:06 ` Anton Farygin
2010-06-23 12:12 ` Michael Shigorin
2010-06-23 0:26 ` Dmitry V. Levin
2010-06-23 10:04 ` Anton Farygin
2010-06-23 7:23 ` Sergey
2010-06-23 10:08 ` Anton Farygin
2010-06-23 11:03 ` Dmitry V. Levin
2010-06-23 11:12 ` Anton Farygin
2010-06-23 11:25 ` Алексей Шенцев
2010-06-23 11:28 ` Dmitry V. Levin
2010-06-23 12:36 ` Anton Farygin
2010-06-23 14:03 ` Алексей Шенцев
2010-06-23 12:34 ` Anton Farygin
2010-06-23 11:25 ` Dmitry V. Levin
2010-06-23 13:00 ` Michael Shigorin
2010-06-23 11:26 ` Sergey
2010-06-23 11:49 ` Vladislav Zavjalov
2010-06-23 12:37 ` Anton Farygin
2010-06-23 11:13 ` Sergey
2010-06-23 11:40 ` Sergey
2010-06-23 12:55 ` Michael Shigorin
2010-06-23 8:49 ` Gleb Kulikov
2010-06-23 11:08 ` Dmitry V. Levin
2010-06-24 3:24 ` Gleb Kulikov
2010-06-24 6:33 ` Anton Farygin
2010-06-24 6:50 ` Gleb Kulikov
2010-06-24 6:55 ` Motsyo Gennadi aka Drool
2010-06-24 7:02 ` Sergey
2010-06-24 8:54 ` Motsyo Gennadi aka Drool
2010-06-24 10:08 ` Anton Farygin
2010-06-24 10:24 ` Motsyo Gennadi aka Drool
2010-06-24 11:04 ` Anton Farygin
2010-06-24 11:35 ` Motsyo Gennadi aka Drool
2010-06-24 11:42 ` Mykola S. Grechukh
2010-06-24 11:46 ` Motsyo Gennadi aka Drool
2010-06-24 11:51 ` Mykola S. Grechukh
2010-06-24 11:58 ` Motsyo Gennadi aka Drool
2010-06-24 12:01 ` Mykola S. Grechukh
2010-06-24 12:01 ` Anton Farygin
2010-06-24 12:15 ` Motsyo Gennadi aka Drool
2010-06-24 12:38 ` Dmitry V. Levin
2010-06-24 13:07 ` Anton Farygin
2010-06-24 13:10 ` Dmitriy Kruglikov
2010-06-24 15:23 ` Anton Farygin
2010-06-24 15:40 ` Dmitriy Kruglikov
2010-06-24 13:38 ` Motsyo Gennadi aka Drool
2010-06-24 14:54 ` Dmitry V. Levin
2010-06-24 15:55 ` Денис Смирнов
2010-06-25 4:15 ` Eugene Prokopiev
2010-06-25 4:22 ` Anton Farygin
2010-06-25 7:44 ` Денис Смирнов
2010-06-25 9:04 ` Eugene Prokopiev
2010-06-25 9:49 ` Денис Смирнов
2010-06-25 10:40 ` Eugene Prokopiev
2010-06-25 9:05 ` Sergei Epiphanov
2010-06-25 9:51 ` Денис Смирнов
2010-06-25 10:06 ` Sergei Epiphanov
2010-06-25 18:40 ` Денис Смирнов
2010-06-25 13:01 ` Slava Dubrovskiy
2010-06-29 3:41 ` Денис Смирнов
2010-06-25 11:33 ` [sisyphus] [JT] " Michael Shigorin
2010-06-25 11:40 ` Aleksey Novodvorsky
2010-06-25 12:48 ` Michael Shigorin
2010-06-25 12:14 ` Mykola S. Grechukh
2010-06-25 12:47 ` Michael Shigorin
2010-06-24 12:00 ` [sisyphus] " Anton Farygin
2010-06-24 8:08 ` Anton Farygin
2010-06-24 8:09 ` Anton Farygin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=AANLkTilb0xyBnOFtcJsn4sJ80qO7IPQXwRfW2tvk2rtS@mail.gmail.com \
--to=sin@altlinux.ru \
--cc=imz@altlinux.org \
--cc=sisyphus@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git