[sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

Dmitry V. Levin ldv на altlinux.org
Ср Июн 23 00:47:03 UTC 2010 

On Wed, Jun 23, 2010 at 04:34:28AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 4:19 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 04:17:20AM +0400, Evgeny Sinelnikov wrote:
> >> 23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
> >> > On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> >> >> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
> >> >> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> >> >> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
> >> >> >> >
> >> >> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >> >> >> > аутентификация по паролю будет выключена для членов группы wheel.
> >> >> >> >
> >> >> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >> >> >>
> >> >> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
> >> >> >> группу? Группу тех, кого пускают.
> >> >> >
> >> >> > Кого пускают, или у кого пароль спрашивают?
> >> >>
> >> >> Кого не пускают кроме...
> >> >> Сценарий 2.
> >> >>
> >> >> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
> >> >>
> >> >> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
> >> >> других не пускать?
> >> >
> >> > Не понял, не пускать пользователей, которые входят не только в эти группы?
> >> > Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
> >> >
> >> Нужно, чтобы всех пользователей, которые не входят в заданную группу,
> >> например remote, не пускали. Как это сделать с помощью sshd_config?
> >
> > AllowGroups remote
> 
> Отлично, а можно эту строку добавить в конфиг, по умолчанию? ;)
> Полагаю, что ответ нет, поскольку это точно подстава при обновлении.

Миша утверждает, что даже "PasswordAuthentication no" для группы wheel --
это DoS (хотя я примерил это изменение на себя, и мне так не кажется).
А подобное изменение ввиду низкой вероятности существования группы remote
было бы эквивалентно выключению sshd.

> Лучше, бы это через control, прикрутить....... Но у нас ведь нет
> /etc/openssh/sshd_config.d/, чтобы настройки добавлять, без
> необходимости парсинга всего файла ?

А у кого есть такое, и как оно работает?

> Хотя можно и весь файл парсить... Но тяжкое это занятие...

Одну строчку в этом файле несложно парсить, см. напр.
/etc/control.d/facilities/sftp


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20100623/e731bfbb/attachment-0001.bin>

Подробная информация о списке рассылки Sisyphus