[sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members
Dmitry V. Levin
ldv на altlinux.org
Вт Июн 22 23:08:57 UTC 2010
On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > умолчанию аутентификация по паролю будет выключена для членов
> > группы wheel.
>
> При обновлении умолчание изменится по сравнению с предыдущим,
> если /etc/openssh/sshd_config не трогался?
Да, конечно.
> > Подробнее об этом см.
> > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>
> По-моему, идея никуда не годится в качестве умолчания, которое
> может самопроизвольно поменяться при обновлении дистрибутива
> с потенциальным DoS.
Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
но на всякий случай я это изменение анонсировал.
Лично я PasswordAuthentication на сервере использую исключительно тогда,
когда мне нужно протестировать этот режим работы при подготовке новой
версии openssh.
> Как недефолтный вариант для control, в идеале связанный с control
> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
> и сам бы пользовался.
>
> Прошу ещё раз подумать.
Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
если бы не наткнулся на компромиссный вариант, описанный в #17286,
то так бы и сделал.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 198 байтов
Описание: отсутствует
Url : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20100623/f29123d9/attachment.bin>
Подробная информация о списке рассылки Sisyphus