© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Guten Morgen,
Bernd Walter schrieb:
> Demzufolge kannst du Serverseitig auch keine bestimmte
> Absicherung des keys erzwingen.
Das heißt also, ich müßte schon beim Erstellen des Schlüssels darauf
achten, daß eine Passphrase vergeben wird? Mittels:
grep -E '^Proc-Type: .*ENCRYPTED$' ${KEYFILE}
kann ich das ja überprüfen. Wenn ich das in das Shell-Skript
einbaue, welches als Wrapper für ssh-keygen(8) dient, kann ich
zumindest die *unbedarften* Nutzer davon abhalten, mit einer
leeren Passphrase durch die Gegend zu laufen...
Aber lieber wäre es mir, wenn das Programm, das die Passphrase beim
Anmeldevorgang entgegen nimmt, schon auf eine leere Eingabe prüft.
Der KDM zum Beispiel kann so konfiguriert werden, daß sich Benutzer
mit leeren Paßwörtern grundsätzlich nicht anmelden können (mittels
"AllowNullPasswd=false" in der kdmrc). Das funktioniert aber nur,
wenn über pam_unix(8), also auf lokale oder NIS-Paßwörter geprüft
wird. Bei Verwendung von pam_ssh(8) kann man sich trotzdem mit
leerer Passphrase anmelden. Analog dazu verhält sich auch der SSHD
(mit "PermitEmptyPasswords no" in der sshd_conf). :-(
Hmm, muß ich mir irgendwie alles nochmal genauer ansehen.
Bis hierhin aber erstmal Danke.
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 10 Sep 2005 - 03:37:22 CEST