Forum Debian Users Gang

tomii · 2010-02-17 14:50:34

Czy da się skonfigurować tak ssh aby wybrani użytkownicy logowali sie tylko i wyłącznie po kluczach a inni za pomocą kluczy lub haseł?
Pozdrawiam.

azhag · 2010-02-17 14:52:25

tomii napisał(-a):
wybrani użytkownicy logowali sie tylko i wyłącznie po kluczach

ustaw im hasło, którego nie znają ;)

tomii · 2010-02-17 15:00:50

A jakiś inny sposób?

winnetou · 2010-02-17 15:09:51

Kod:

man sshd_config

I sekcja Match

ippo76 · 2010-02-17 15:13:31

A nie jest tak, że klucz generuje się spod użytkownika i wrzuca na serwer również do folderu użytkownika?

Czyli tym, którzy mają mieć klucze, generujesz je i wklejasz do

Kod:

~/.ssh/authorized_keys

na serwerze, a pozostali logują się po haśle.

Przy czym user na kliencie to Twoi użytkownicy, a user na serwerze to ten user, do którego należą udostępniane pliki/foldery.

Czyli jeśli na serwerze udostępniam mój katalog domowy

Kod:

 /home/ippo

to w moim

Kod:

 /home/ippo/.ssh/authorized_keys

mam klucze publiczne wygenerowane na komputerach X, Y, Z. Oni logują się po kluczu, natomiast A, B, C - tylko po haśle. Kwestię dostępu do kompa w ogóle załatwiam przez

Kod:

 /etc/hosts.allow

- tam wrzucam A, B, C, X, Y, Z.

Ostatnio edytowany przez ippo76 (2010-02-17 15:14:42)

tomii · 2010-02-17 15:19:23

ippo76 bardziej chodzi o to żeby userzy musieli po kluczu a "inni" mogli po haśle.
winnetou wydaje mi się że o to chodziło - wielkie dzięki za chwile spróbuje.

winnetou · 2010-02-17 15:24:56

Oczywiście klucze trzeba wygenerować na stacji klienta a potem wysłać na serwer przez

Kod:

ssh-id-copy

Klucze są przechwoywane w

Kod:

$HOME/.ssh/authorized_keys

chyba że konfig mówi inaczej. Można zmusić np SSH do takiego działania żeby tylko admin mógł dodawać klucze (umieścić powiedzmy AuthorizedKeysFile /etc/ssh/trusted). Wtedy user musi wysłać klucz do admina a on musi go wrzucić do tego pliku. Mechanizm host.allow określi tylko maszyny z jakich się można łączyć nie ustawi natomiast polityki logowania. Żeby Użytkownik A mógł się logować tylko przy pomocy klucza RSA to:
[ul]
[*] Wygenerowanie klucza przez użytkownika na jego maszynie i jego dystrybucja na serwer http://dug.net.pl/tekst/65/ssh___klucze_rsa_(mozliw … a_bez_hasla)/
[*] Wpis w /etc/ssh/sshd_config z odpowiednio przygotowaną sekcją Match
[/ul]
Dla użytkownika B logowanie tylko przez hasło
[ul]
[*] Wpis w /etc/ssh/sshd_config z odpowiednio przygotowaną sekcją Match
[/ul]

Jedna mała uwaga!
Konfig jest prasowany do pierwszego trafienia sekcji Match. Sekcja Match nadpisuje ustawienia glonbalne serwera. Więc trzeba uważać bo można się łatwo pogubić mimo że konfig będzie wyglądał na poprawny!

Ostatnio edytowany przez winnetou (2010-02-17 15:25:40)

tomii · 2010-02-17 15:33:56

Jeżeli chodzi chodzi o wrzucanie klucza to wydaje mi się że użytkownik może sobie go sam wrzucać.
Mam jednak przy okazji pytanie organizacyjne jak ogarnąć sytuację gdy nagle 150 userów musi być mieć konto i muszą się autoryzować przez klucz: myślałem żeby napisać prostą stronę na której user wpisuje swój login i hasło(które jest potrzebne tylko do skorzystania ze stronki) i stronka mu generuje pare kluczy (spakowana w archiwum z hasłem) a dla mnie zapisuje publiczną część klucza(pozwala to np narzucić że klucz ma być z passphrase). Co sądzicie o takim rozwiązaniu? Może macie lesze pomysły?

ippo76 · 2010-02-17 15:37:53

... czyli w moim scenariuszu musiałbym zablokować dostęp do ~/.ssh na serwerze, aby tylko admin miał dostęp do wprowadzania zaufanych kluczy;
a co do zasady - kto ma klucz - ma dostęp bez hasła (zakładam, że klucz jest bezhasłowy), kto nie ma - musi wpisywać hasło...

... a przez /etc/hosts.allow faktycznie określam "tylko" dostęp do serwera :)

... chyba że czegoś nie rozumiem ;)

ippo76 · 2010-02-17 15:39:01

tomii napisał(-a):
....Co sądzicie o takim rozwiązaniu? Może macie lesze pomysły?

To zdecydowanie nie moja kategoria wagowa :)

tomii · 2010-02-17 15:42:48

ippo76 wybacz ale nie do końca wiem o jaki scenariusz chodzi i co masz na myśli mówiąc o kategorii wagowej?

Ostatnio edytowany przez tomii (2010-02-17 15:43:19)

ippo76 · 2010-02-17 15:47:35

Twój problem to coś więcej niż 2 komputery w sieci - czyli moja kategoria wagowa :) Wymiękam.

Natomiast pisząc o scenariuszu, miałem na myśli mój pierwszy post - ja tak bym problem próbował rozwiązać. W związku z tym, że winnetou wie o sieciach 1500x więcej ode mnie, chciałbym się przy okazji dowiedzieć, czy mój sposób jest dobry, zły a może nie najgorszy ale nieprofesjonalny :)

tomii · 2010-02-17 15:49:52

No to czekamy na opinie od innych.

bercik · 2010-02-18 14:47:13

moznaby tez zezwolic im na logowanie na serwer w oparciu o haslo (aby zrobili sobie klucz), a raz dziennie (co godzine lub jakos tak) puszczac z crona skrypt lokujacy do step po hasle tym co sie zalogowali ...

albo po prostu wygenerowac im klucze, publiczne wrzucis odrazu do ~/.ssh a prywatne jakos przekazac ...

ippo76 · 2010-02-18 15:05:57

Ale klucze generujemy na kliencie i przekazujemy na serwer do ~/.ssh/authorized_keys.

Czyli użytkownicy musieliby sami przesłać klucze publiczne do admina (bo dostęp do ~/.ssh/authorized_keys im blokujemy).

U mnie to łatwe, bo w sieci mam tylko swoje kompy i sam jestem userem :)

winnetou · 2010-02-18 17:56:31

Ja uważam że nie ma co kombinować za dużo. Jest konfig sshd, jest w nim sekcja match wykorzystać ją, a co do kluczy to zrobić tak jak się powinno - użytkownik niech sobie wygeneruje i jest gitara. Ewentualnie admin niech się przejdzie po wszystkich stanowiskach które mają się logować kluczami i niech im wszystko ustawi i tylko patrzy na ręce czy wpisują hasło...

ippo76 · 2010-02-18 18:30:18

Ja się nie upieram, że mam rację; nawet chętnie przeczytam, w którym miejscu się mylę - będę bogatszy o tę wiedzę...

winnetou · 2010-02-18 18:35:47

ippo76 nie mówię że się mylisz, tylko, imho, kombinujecie z bercikiem i się zaczynacie zastanawiać jak rozesłać klucze etc, niech to zrobi user w końcu przepisać 3 polecenia z poradnika tudzież z maila od admina nie jest tak cieżko ;)

Sam się też za eksperta nie uważam więc nie jestem jakąś wyrocznią i jedyną słuszną drogą postępowania ;)

Ostatnio edytowany przez winnetou (2010-02-18 18:36:26)

ippo76 · 2010-02-18 18:39:54

W moim sshd_config nie mam domyślnie wpisów match...

winnetou napisał(-a):
...kombinujecie z bercikiem....

A to mi bardzo pochlebia :)

winnetou · 2010-02-18 21:42:38

Bo domyślnie nie ma wpisów match. Standardowe ustawienia to nic innego jak jeden wielki match który spełniają wszyscy użytkownicy xD

Forum Debian Users Gang

Ogłoszenie

#1 2010-02-17 14:50:34

tomii - Członek DUG

Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#2 2010-02-17 14:52:25

azhag - Admin łajza

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

tomii napisał(-a):

#3 2010-02-17 15:00:50

tomii - Członek DUG

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#4 2010-02-17 15:09:51

winnetou - złodziej wirków ]:->

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

Kod:

#5 2010-02-17 15:13:31

ippo76 - fakam fszycho

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

Kod:

Kod:

Kod:

Kod:

#6 2010-02-17 15:19:23

tomii - Członek DUG

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#7 2010-02-17 15:24:56

winnetou - złodziej wirków ]:->

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

Kod:

Kod:

#8 2010-02-17 15:33:56

tomii - Członek DUG

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#9 2010-02-17 15:37:53

ippo76 - fakam fszycho

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#10 2010-02-17 15:39:01

ippo76 - fakam fszycho

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

tomii napisał(-a):

#11 2010-02-17 15:42:48

tomii - Członek DUG

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#12 2010-02-17 15:47:35

ippo76 - fakam fszycho

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#13 2010-02-17 15:49:52

tomii - Członek DUG

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#14 2010-02-18 14:47:13

bercik - Moderator Mamut

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#15 2010-02-18 15:05:57

ippo76 - fakam fszycho

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#16 2010-02-18 17:56:31

winnetou - złodziej wirków ]:->

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#17 2010-02-18 18:30:18

ippo76 - fakam fszycho

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#18 2010-02-18 18:35:47

winnetou - złodziej wirków ]:->

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

#19 2010-02-18 18:39:54

ippo76 - fakam fszycho

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

winnetou napisał(-a):

#20 2010-02-18 21:42:38

winnetou - złodziej wirków ]:->

Re: Ssh dostęp po kluczach lub haśle w zależności od uzytkownika?

Stopka forum