From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <glas-sisyphus@m.gmane.org>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.6 required=5.0 tests=AWL,BAYES_00,
	DNS_FROM_OPENWHOIS,FUZZY_XPILL,SPF_HELO_PASS,SPF_PASS autolearn=no
	version=3.2.5
X-Injected-Via-Gmane: http://gmane.org/
To: sisyphus@lists.altlinux.org
From: Anton Farygin <rider@altlinux.com>
Date: Wed, 23 Jun 2010 13:58:15 +0400
Message-ID: <hvslqk$fl6$1@dough.gmane.org>
References: <20100622214400.GA22145@wo.int.altlinux.org>	<20100622225300.GZ14081@osdn.org.ua>
	<20100622230857.GB18232@wo.int.altlinux.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-Complaints-To: usenet@dough.gmane.org
X-Gmane-NNTP-Posting-Host: rider.balabanovo.ru
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US;
	rv:1.9.1.10pre) Gecko/20100406 Thunderbird/3.0.4
In-Reply-To: <20100622230857.GB18232@wo.int.altlinux.org>
Subject: Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled
 PasswordAuthentication for "wheel" group members
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 23 Jun 2010 09:58:00 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/hvslqk$fl6$1@dough.gmane.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

23.06.2010 03:08, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>>> умолчанию аутентификация по паролю будет выключена для членов
>>> группы wheel.
>>
>> При обновлении умолчание изменится по сравнению с предыдущим,
>> если /etc/openssh/sshd_config не трогался?
>
> Да, конечно.
>
>>> Подробнее об этом см.
>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> По-моему, идея никуда не годится в качестве умолчания, которое
>> может самопроизвольно поменяться при обновлении дистрибутива
>> с потенциальным DoS.
>
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> но на всякий случай я это изменение анонсировал.

Используют вовсю.

>
> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> когда мне нужно протестировать этот режим работы при подготовке новой
> версии openssh.

А как ты первый раз на свежепоставленный сервер кладёшь ключик ?

Тем более, если установка выполняется удалённо ?

>
>> Как недефолтный вариант для control, в идеале связанный с control
>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
>> и сам бы пользовался.
>>
>> Прошу ещё раз подумать.
>
> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> если бы не наткнулся на компромиссный вариант, описанный в #17286,
> то так бы и сделал.

Сделай, пожалуйста, control.

Мне это изменение не удобно - сервера я разливаю удалённо через 
специальный интерфейс (проброс видеокарты через сеть, аппаратная 
штучка), соответственно ключик скопировать возможности не будет без 
заведения левого пользователя с авторизацией по паролю, или отключение 
группы wheel для ряда системных утилит.

И то и то - криво, хотелось бы иметь возможность авторизовываться по паролю.

И да, у меня в системе альтератор отсутствует как класс, соответственно 
пробросить ключик через web-интерфейс нет никакой возможности.