© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Mahlzeit,
Bernd Walter schrieb:
> On Sat, Sep 10, 2005 at 03:36:24AM +0200, Patrick Hess wrote:
> > Aber lieber wäre es mir, wenn das Programm, das die Passphrase
> > beim Anmeldevorgang entgegen nimmt, schon auf eine leere
> > Eingabe prüft.
>
> Das ist aber auf dem Client und nicht auf dem Server.
Vielleicht schreiben wir aneinander vorbei, daher erkläre ich das
nochmal genauer: Es geht hier vorrangig um Arbeitsplatzrechner,
die waren in dem Netzwerk bisher als NIS-Clients konfiguriert.
Mit seinem NIS-Paßwort konnte sich jeder Benutzer auf der Konsole
oder im KDM anmelden.
Jetzt habe ich die Paßwörter aus dem NIS rausgeworfen und jeder
Benutzer meldet sich auf der Konsole oder im KDM mittels der
Passphrase seines RSA-Schlüssels, der in seinem Heimatverzeichnis
liegt, an. Das Heimatverzeichnis liegt zentral auf einem Server und
wird derzeit noch per NFS auf den Arbeitsplatzrechnern gemountet.
Ja, ich weiß, daß ein RSA-Schlüssel auf einem NFS-Server nicht
sonderlich sinnvoll ist, aber NFS ersetzen kommt auch noch.
> Eigendlich sollte der User seinen Schlüssel selber erstellen und
> dir nur den Public dazu übermitteln.
Der RSA-Schlüssel wird mit einem Wrapper-Skript für ssh-keygen(8)
erzeugt und bleibt im Heimatverzeichnis des Benutzers liegen.
Er soll nur intern zur Anmeldung an einem Arbeitsplatzrechner
(via Konsole oder KDM) benutzt werden. Da muß also nichts mehr
übermittelt werden, der Schlüssel wird innerhalb des Netzwerkes
erstellt und soll grundsätzlich auch nur da verwendet werden.
Daß man sich mit pam_ssh auch per SSH auf einem anderen Rechner
anmelden kann, sogar per Single-Sign-On, wenn man den Public Key in
~/.ssh/authorized_key speichert, ist mehr ein netter Nebeneffekt
denn die primäre Verwendung. Das Hauptaugenmerk liegt in der
Anmeldung auf Arbeitsplatzrechnern per Konsole oder KDM.
> Die Problematic mit einer leeren Passphrase ist in etwa genauso
> wie du nicht überprüfen kannst, ob ein User das Passwort nicht auf
> einem Zettel am Monitor kleben hat.
>
> Wenn du Angst davor hast ist das mitunter nicht das richtige
> Verfahren für dich.
Wie gesagt, das ganze ist primär zur Anmeldung auf Arbeitsplatz-
rechnern innerhalb eines Netzwerkes gedacht. Wie du mit den Zetteln
am Monitor schon richtig anmerkst, gibt es keine 100%-ige
Sicherheit, wenn es um 08/15-Anwender und ihre Paßwörter geht.
Ich möchte allerdings zumindest vermeiden, daß Anwender
versehentlich RSA-Schlüssel mit leeren Passphrases haben,
weil ssh-keygen(8) da auch so nett drauf hinweist...
Auf Netzwerkservern, die nur per SSH zu erreichen sind, verwende ich
dagegen "AllowUsers" in der sshd_conf, um nur ganz bestimmte Leute
reinzulassen. Bei denen bin ich mir dann auch sicher, daß die mit
RSA-Schlüsseln richtig umgehen können. Dahingehend sehe ich eher
keine Probleme.
Mir geht es also wirklich nur um die Otto-Normal-Anwender, die sich
mit ihrer Passphrase auf der Konsole oder im KDM eines Arbeits-
platzrechners anmelden wollen und meinetwegen auch mal eine
SSH-Sitzung auf einer anderen Arbeitsstation aufmachen - wobei das
die Ausnahme sein dürfte, DAUs eben.
Solche Leute muß man halt auch mal vor sich selbst schützen ;-)
Das werde ich dann wohl einfach über das Wrapper-Skript und grep(1)
machen. Klar, die Leute können ssh-keygen(8) auch von Hand aufrufen
und so doch leere Passphrases erzwingen, aber das sind *wirklich*
DAUs...
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 10 Sep 2005 - 05:59:30 CEST