Re: pam_ssh und leere Paßwörter

On Sat, Sep 10, 2005 at 03:36:24AM +0200, Patrick Hess wrote:
> Bernd Walter schrieb:
> > Demzufolge kannst du Serverseitig auch keine bestimmte
> > Absicherung des keys erzwingen.
>
> Das heißt also, ich müßte schon beim Erstellen des Schlüssels darauf
> achten, daß eine Passphrase vergeben wird? Mittels:
>
> grep -E '^Proc-Type: .*ENCRYPTED$' ${KEYFILE}
>
> kann ich das ja überprüfen. Wenn ich das in das Shell-Skript
> einbaue, welches als Wrapper für ssh-keygen(8) dient, kann ich
> zumindest die *unbedarften* Nutzer davon abhalten, mit einer
> leeren Passphrase durch die Gegend zu laufen...

Eigendlich sollte der User seinen Schlüssel selber erstellen und
dir nur den Public dazu übermitteln.

> Aber lieber wäre es mir, wenn das Programm, das die Passphrase beim
> Anmeldevorgang entgegen nimmt, schon auf eine leere Eingabe prüft.

Das ist aber auf dem Client und nicht auf dem Server.
Wie gesagt, der Server hat mit dem Key absolut nichts zu tun.

> Der KDM zum Beispiel kann so konfiguriert werden, daß sich Benutzer
> mit leeren Paßwörtern grundsätzlich nicht anmelden können (mittels
> "AllowNullPasswd=false" in der kdmrc). Das funktioniert aber nur,
> wenn über pam_unix(8), also auf lokale oder NIS-Paßwörter geprüft
> wird. Bei Verwendung von pam_ssh(8) kann man sich trotzdem mit
> leerer Passphrase anmelden. Analog dazu verhält sich auch der SSHD
> (mit "PermitEmptyPasswords no" in der sshd_conf). :-(

Ja, aber du authentifizest dich nicht mit Passwörtern, sondern mit
einem public-key-Verfahren.
Die Passphrase schützt den Privaten Schlüssel.
Im Prinzip ist der Private Schlüssel das Passwort, welches aber sehr
lang ist und durch das Public Verfahren im Gegensatz zu einem
normalen Passwort nicht zum Server übertragen wird.
Die Passphrase schützt quasi das gespeicherte Passwort.
Die Problematic mit einer leeren Passphrase ist in etwa genauso wie
du nicht überprüfen kannst, ob ein User das Passwort nicht auf einem
Zettel am Monitor kleben hat.

Wenn du Angst davor hast ist das mitunter nicht das richtige Verfahren
für dich.
Man könnte es aber auch mit Chipkarten kombinieren.
HBCI-Karten crypten/signieren z.B. selber und der Key verlässt zu
keiner Zeit die Karte.
Man kann den Key nur in Kombination mit richtigem Pin verwenden,
indem man der Karte die zu behandelnden Daten schickt.
Und die Karte kann auch Anforderungen an den Pin oder besser gesagt
Passphrase erzwingen.

-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message