© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Patrick Hess <patrickhess(at)gmx.net> wrote:
> da Bernd zuletzt schrieb, daß er statt Paßwörtern im NIS lieber
> pam_ssh verwendet, habe ich mir das jetzt auch mal angesehen.
> Das funktioniert soweit auch ganz gut, die Benutzer können sich
> mittels der Passphrase ihres RSA-Schlüssels über Konsole, KDM
> und SSH anmelden.
>
> Leider können sich die Benutzer auch dann anmelden, wenn sie eine
> *leere* Passphrase vergeben haben.
Das zugrundeliegende Problem ist, daß pam_ssh(8) eigentlich
ein Feature von SSH für einen Zweck mißbraucht, für den es
nicht gedacht ist: Es verwendet allein die Passphrase des
SSH-Private-Keys zur Authentisierung. Das ist eigentlich
ein ziemlicher Pfusch und nicht im Sinne des Erfinders.
Daher ist es nicht verwunderlich, daß es einige Problemchen
mit sich bringt.
Um die Benutzer zu einer nicht leeren Passphrase zu zwingen
(oder zu einer bestimmten Mindestlänge), gibt es diverse
Möglichkeiten, die unterschiedlich »stark« sind. Es hängt
halt davon ab, wieviel Aufwand Du zu treiben bereit bist,
und mit welchem Know-how und Motivation, Deine Maßnahmen zu
umgehen, Du bei Deinen Bentzern rechnest (um nicht zu sa-
gen: mit welcher kriminellen Energie).
Als erstes wäre da natürlich ein Wrapper für ssh-keygen(1)
zu schreiben, der keine leere Passphrase erlaubt. Das ori-
ginale Binary /usr/bin/ssh-keygen könntest Du nur für root
und wheel ausführbar und lesbar machen (Mode 0550), und per
super(1) oder sudo(8) (beide in den Ports) dafür sorgen,
daß Dein Wrapper es für einen Benutzer aufrufen kann.
Jetzt könnte natürlich ein Bentzer kommen und ein eigenes
Binary von ssh-keygen von irgendwo auf das System kopieren.
Schlimmer noch: er könnte einen SSH-Key (mit leere Pass-
phrase) von irgendwo direkt auf das System kopieren. Das
verhinderst Du nur, indem Du das Verzeichnis ~/.ssh und den
darin befindlichen Key für alle Benutzer unschreibbar
machst (d.h. root übereignen und Mode 0644).
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "With sufficient thrust, pigs fly just fine. However, this is not necessarily a good idea. It is hard to be sure where they are going to land, and it could be dangerous sitting under them as they fly overhead." -- RFC 1925 To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 14 Sep 2005 - 13:06:30 CEST