© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
As Oliver Fromme wrote:
> > ssh kann sowas auch selbst.
>
> Wie? In der manpage steht dazu nichts.
In der für sshd schon, unter AUTHORIZED_KEYS FILE FORMAT.
> Davon abgesehen schrieb er:
> > [...] sollen keine
> > Möglichkeit haben eine Verbindung per ssh oder telnet (läuft eh
> > nicht) herstelen zu können
>
> Es soll also gar nicht erst eine Verbindung aufgebaut
> werden können. Wenn der Check erst im sshd passiert,
> ist's daher schon zu spät.
Das ist Ansichtssache, ob man als "Verbindung ist aufgebaut"
definiert, daß die TCP-Verbindung bereits gar nicht aufbaubar ist,
oder ob es genügt, daß kein erfolgreicher Login (bzw. keine Ausführung
eines Kommandos etc. pp.) möglich ist.
Im Prinzip ist das alles natürlich eher zweifelhaft, egal ob mittels
ipfw oder Einschränkung im authorized_keys, da die Authentisierung auf
Basis eines Schlüsselpaares bei richtiger Anwendung um Größenordnungen
sicherer als jeder Test auf eine IP-Adresse ist. Einen Mißbrauch
eines Klartextpaßwortes (falls dieses beispielsweise für einen lokalen
Login an der Console vonnöten ist) wiederum kann man ja ausschließen,
indem man den sshd anweist, keine paßwortbasierte Authentisierung zu
akzeptieren. Aber das muß der Fragesteller schon selbst entscheiden.
-- cheers, J"org .-.-. --... ...-- -.. . DL8DTL http://www.sax.de/~joerg/ NIC: JW11-RIPE Never trust an operating system you don't have sources for. ;-) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 01 Nov 2001 - 21:51:13 CET