Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH mit und ohne Key
Hallo,
ich habe den SSH-Zugang (mit Keys) zu einem Server eingerichtet. Nun möchte ich einem User den Zugang ohne Key ermöglichen. Wie ist das möglich?
Bin für jeden Hinweis sehr dankbar...
Viele Grüße, hrmux
Seinen ~/.ssh/id_dsa.pub in die ~/.ssh/authorized_keys der anderen Kiste.
Gruß Aqualung
Vielen Dank für die rasche Antwort!
Wenn die "andere Kiste" aber ein Windows System ist und der Zugang von einer IDE aus gelingen soll?
hrmux
Wenn ich Dich richtig verstehe so erfolgt bei Dir die Auth. nur über Keys und nun gibt's einen User, der sich per Login/PW anmelden können soll?
Möglichkeit 1 wäre, den sshd umzukonfigurieren - dann können halt alle User wieder per Login/PW sich anmelden.
Wenn das nicht gewünscht ist z.B. einen 2. SSH-Server auf einem anderen Port laufen lassen nur für diesen User. Evtl. halt ein bisschen Overkill.
edit: Gerade den Kommentar von Dir gelesen - beschreibe das Szenario bitte mal genauer, entweder ist da was komisch oder ich verstehe es nicht so recht...
Wenn die "andere Kiste" aber ein Windows System ist und der Zugang von einer IDE aus gelingen soll?
Das solltest Du ein bischen genauer erklären. Wie hast Du was eingerichtet? Über welchen Dienst läuft der login auf die win-Kiste?
Gruß Aqualung
2. wäre schon eine Möglichkeit. Gibt es vielleicht noch einen anderen Weg? (z.B. für diesen einen User eigene "Regeln" erstellen)
dankend ....
hrmux
Das solltest Du ein bischen genauer erklären. Wie hast Du was eingerichtet? Über welchen Dienst läuft der login auf die win-Kiste?
Gruß Aqualung
Auf einem Debian System sind die public_keys eingetragen. Von Windows-Systemen ist ein Datenaustausch mittels WinSCP und den private-keys möglich. Die jetzt benutzte Anwendung zur Entwicklung von Webseiten unterstützt die Verwendung von Keys jedoch nicht.
hrmux
jetzt benutzte Anwendung zur Entwicklung von Webseiten
wenn Du die mal erwähnst wirds vielleicht einfacher Dir zu helfen.
Gruß Aqualung
Leider kenne ich diese selbst nicht :confused:- ich erhielt nur die Anfrage ob ein Zugang auch ohne Key möglich wäre...
Zugang auch ohne Key möglich wäre..
also mit user/pwd ?
Gruß Aqualung
also mit user/pwd ?
Gruß Aqualung
ja genau so!
Gruß hrmux
PasswordAuthentication yes
in sshd_config ist aus Sicherheitgründen kein Thema?
Genau EIN Benutzer soll sich per pwd anmelden können?
Gruß Aqualung
PasswordAuthentication yes
in sshd_config ist aus Sicherheitgründen kein Thema?
Genau EIN Benutzer soll sich per pwd anmelden können?
Gruß Aqualung
Guten Morgen!
Wenn es denn eine Möglichkeit gäbe die sshd_config so anzupassen, dass nicht alle ohne Key auskommen?
Ja, nur der eine Nutzer soll die Möglichkeit haben.
MfG hrmux
naja, es läuft halt so ab: Wenn key vorhanden, wird der genommen. Wenn nicht - dann kommt PW/Login. Bei jedem User. Wenn Du also für die Stärke der Passworte nicht garantieren kannst und die User per IP nicht einschränken kannst wird's schwer.
Idee - aber nur als Gespinnst: Evtl. geht über "AllowEmptyPasswords" etwas: Den Usern, die sich mit Key auth. sollen ein leeres PW zuweisen - die dürften dann nicht mehr über PW-Auth reinkommen (aber hoffentlich noch über den Key) und dem User, der sich per Login/PW anmelden soll ein starkes PW "aufzwingen". Ob die Idee funktioniert oder ob bei leerem PW auch die Keys nicht mehr akzeptiert werden weiss ich gerade nicht. Du hast dann aber lokal ein Problem mit su - das müsstest Du dann umgehen, ansonsten kann jeder zu jedem werden...
naja, es läuft halt so ab: Wenn key vorhanden, wird der genommen. Wenn nicht - dann kommt PW/Login. Bei jedem User. Wenn Du also für die Stärke der Passworte nicht garantieren kannst und die User per IP nicht einschränken kannst wird's schwer.
Würde also bedeuten, wenn ich "PasswordAuthentication yes" setze, ändert sich nichts, für die, die einen Schlüssel haben - derjenige der keinen hat kommt aber trotzdem rein?
Könnte ich vielleicht dem User über die IP die Möglichkeit einräumen sich nur über das PW zu authentifizieren. Für die anderen (ca. 70) User sollte sich am Besten nichts ändern....
Gruß hrmux
ich habe "passwordAuthentification yes" gesetzt und ssh neu gestartet. Der User ohne key erhält jedoch keinen Zugang? Muss ich noch weitere Punkte ändern?
Gruß hrmux
das kommt auf die sonstigen Einstellungen in der sshd-Config an.
UsePAM, ChallengeResponse, ... - gibt noch einige Möglichkeiten...
Port 22 in der FW öffnen.
Edit:
Vergiss das, Deine anderen user kommen ja schon rein.
Gruß Aqualung
hier mal ein Ausschnitt der sshd_config
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 600
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to no to disable s/key passwords
ChallengeResponseAuthentication yes
# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication yes
X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
Hilft das weiter?
Gruß hrmux
Vielen Dank für die zahlreichen Hinweise! Es hat natürlich ausgereicht "passwordauth.... yes" zu setzen.
Wenn ich mit dem richtigen PW getestet hätte, wäre ich schneller zum Ziel gekommen. :o
Viele Grüße, hrmux
BedriddenTech
16.02.08, 15:53
Du kannst die Paßwörter bei allen außer denjenigen, die sich per PW anmelden dürfen, mittels "passwd -l" deaktivieren - sollte immer noch den Login möglich machen. (Oder einfach _irgendein_ Blabla-Paßwort vergeben, das sie nicht erraten können. :))
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.