[sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

Dmitry V. Levin ldv на altlinux.org
Ср Июн 23 00:03:35 UTC 2010 

On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
> >> >
> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> >> > аутентификация по паролю будет выключена для членов группы wheel.
> >> >
> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> >>
> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
> >> группу? Группу тех, кого пускают.
> >
> > Кого пускают, или у кого пароль спрашивают?
> 
> Кого не пускают кроме...
> Сценарий 2.
> 
> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
> 
> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
> других не пускать?

Не понял, не пускать пользователей, которые входят не только в эти группы?
Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).

> > Суть анонсированного изменения в усилении действующей по умолчанию защиты
> > "PermitRootLogin without-password": в дополнении к отключению возможности
> > удалённого подбора пароля рута теперь отключается возможность удалённого
> > подбора паролей пользователей, которые, будучи взломанными, открывали бы
> > возможность прямого локального подбора пароля рута.
> >
> 
> Хотелось бы  быть защищённым не только от "удалённого подбора паролей
> пользователей, которые, будучи взломанными, открывали бы возможность
> прямого локального подбора пароля рута", но и вообще от подбора
> паролей не доверенных пользователей.

Тогда пароли доверенных пользователей станут особенно уязвимыми.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20100623/0499415a/attachment.bin>

Подробная информация о списке рассылки Sisyphus