© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Tue, 19 Feb 2013, Oliver Fromme wrote:
> Peter Ross wrote:
> > ich hatte vor, während einer Installation neuer Rechner von
> > anderswo mittels "zfs send | ssh zfs receive" Verzeichnisbäume zu
> > übertragen.
> >
> > Netzwerk konfigurieren, sshd starten, dachte ich mir.
>
> > PermitRootLogin without-password # Kein password, da /etc/master.passwd
> > # nicht schreibbar ist
>
> Da liegt vermutlich der Denkfehler: "without-password"
> bedeutet, dass Logins mit Passwort nicht zugelassen sind,
> d.h. nur per Public-Key, Challenge-Response u.ä.
>
> Wenn Du Dich mit einem _leeren_ Passwort einloggen können
> willst, muss da einfach nur "yes" stehen.
Ja, das war ein Punkt. Danke nochmal.
Der zweite, wie gesagt, daß
"UsePAM no"
nicht heißt, einfach nur in die master.passwd-Datei zu gucken. Weil
BSD_AUTH ist halt was anderes, und FreeBSD hat das nicht.
Und kbdint_alloc devices haben nicht wirklich was mit Keyboards oder
Terminals zu tun, sondern die "Devices" sind Authentifizierungsmethoden..
Mag alles etwas unglücklich benamst worden sein, aber besser recherchieren
hilft natürlich..
"PermitRootLogin without-password" klingt wie ein richtiger Satz. "Permit
root login without password" - Ja, das will ich doch;-)
"PermitRootLogin keys-only" ?
> Generell ist es natürlich eine ganz schlechte Idee, Logins
> mit leerem Passwort zu erlauben, und für root ganz besonders.
> Man sollte dann zumindest dafür sorgen, das man nur von
> einem bestimmten Host aus auf den Rechner kommt, z.B. per
> tcp-wrapper, "Match" in sshd_config und/oder per IPFW (oder
> einem anderen Paketfilter).
Ich hatte vor, das so nur für eine Neuinstallation zu verwenden.
Im zweiten Fall (Not-Boot-USB, wenn irgendwas richtig "platt" ist, für die
unknown unknowns..) werde ich ein leicht modifiziertes
Installations-Abbild verwenden, bei der ifconfig, sshd, ein Login-Account
und root-Passwort sauber konfiguriert sind.
Wenn ich das System via ZFS übertragen kann, bin ich halt flexibler mit
einem System, was aktuell ist und auch schon vorkonfiguriert sein kann.
Die "Plattenlogik" hingegen kann ich in der Regel problemlos mit einem
Release-Medium erschlagen.
Die Idee ist, einen Mitarbeiter den USB-Stick reinstecken zulassen, die
Shell zu starten, und dann kann ich via ssh übernehmen.
Hoffentlich brauche ich das nie.. Aber das könnte ein zu
diagnostizierender Hardwarefehler sein, ein mißlungenes OS-Update oder
auch ein Einbruch.
Danke nochmal
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 20 Feb 2013 - 00:09:33 CET