SSH: Benutzer und mehrere Keys

**TheDarkRose** · 29.05.10, 15:32

Ist es möglich das man sich auf einen Benutzer über SSH mit verschiedenen Keys einloggen kann? Sprich im System exisitert Benutzer foo und mehrere Leute können sich auf diesen mit ihren eigenen individuellen Keys auf diesen einloggen.

Weiteres wäre es dann, dies nur auf SFTP zugriff zu beschränken..

**derRichard** · 29.05.10, 16:01

klar geht das.
siehe manpage zu ssh und authorized_keys.

hth,
//richard

**TheDarkRose** · 29.05.10, 16:16

Ok danke, also ist das eh kein Problem. ich richte meine Apache Vhosts in dieser weise ein: http://wiki.carrot-server.com/userdokus/apache_php_fcgi Dadurch resultiert ja, das der User für den Vhost sein home-Verzeichniss unter /var/www/username hat. dann würd in diesem HomeVerzeichniss einfach ein .ssh Verzeichniss landen, mit dem authorized_keys file?

Weiteres braucht dieser Benutzer dann eh kein passwort wenn man sich über ssh nur über die keys anmelden kann? physikalischer zugriff ist sowieso nicht möglich.

geht eigentlich SFTP zugrif, wenn in der /etc/passwd für den benutzer /bin/false steht?

Roger Wilco · 29.05.10, 16:53

Zitat von TheDarkRose

dann würd in diesem HomeVerzeichniss einfach ein .ssh Verzeichniss landen, mit dem authorized_keys file?

Ja.

Zitat von TheDarkRose

Weiteres braucht dieser Benutzer dann eh kein passwort wenn man sich über ssh nur über die keys anmelden kann?

Richtig.

Zitat von TheDarkRose

geht eigentlich SFTP zugrif, wenn in der /etc/passwd für den benutzer /bin/false steht?

Ja.

**TheDarkRose** · 29.05.10, 17:24

wie geil

geht das auch bei systemusern (also usern ab UID 100 bis 999, die über den schalter -r nei useradd erstellt werden)?

Roger Wilco · 29.05.10, 17:42

Wieso sollte das nicht klappen?

**TheDarkRose** · 29.05.10, 17:45

Öhm, ja keine ahnung

jz muss ich die user fürs SFTP nur mehr noch chrooten.

**TheDarkRose** · 30.05.10, 17:09

Wie siehts eigentlich sicherheitstechnisch aus. Hat man einfach einen Key, den man dann bei jeden Server/User in die authorized_keys tut, oder macht man sich für jeden Server/User einen eigenen Key? Mir erscheint ja zweites sinnvoller. Ersteres wär ja wie wenn man überall das selbe passwort verwendet..

Roger Wilco · 30.05.10, 17:16

Je nach Anwendungszweck und persönlichem Bedarf.

Ich benutze einen SSH-Schlüssel durchaus auch für mehrere Server. Für unterschiedliche Rollen auf einem System kommen aber bspw. ebenfalls unterschiedliche SSH-Schlüssel zum Einsatz.

**TheDarkRose** · 31.05.10, 20:49

Kann es sein das wenn in der /etc/passwd kein Passwort hinterlegt ist (oder die Shell auf /bin/false steht) ich nicht mit "su username" als root zu dem user wechseln kann? Oder liegt es daran, das der User mit dem Schalter -r als Systemuser erzeugt wurde?

Roger Wilco · 01.06.10, 06:57

Zitat von TheDarkRose

Kann es sein das wenn [...] die Shell auf /bin/false steht [...] ich nicht mit "su username" als root zu dem user wechseln kann?

Klar, `su` startet dann /bin/false im Kontext des angegebenen Benutzers. Und was macht /bin/false? Richtig, es gibt einfach einen Return-Code != 0 zurueck.

Aber dafuer gibt es fuer `su` ja den Parameter -s...