[sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Evgeny Sinelnikov]

23 июня 2010 г. 4:03 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
> On Wed, Jun 23, 2010 at 03:50:09AM +0400, Evgeny Sinelnikov wrote:
>> 23 июня 2010 г. 3:18 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
>> > On Wed, Jun 23, 2010 at 02:51:50AM +0400, Evgeny Sinelnikov wrote:
>> >> 23 июня 2010 г. 1:44 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
>> >> >
>> >> > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
>> >> > аутентификация по паролю будет выключена для членов группы wheel.
>> >> >
>> >> > Подробнее об этом см. https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>> >>
>> >> А можно ли добавить в политики по умолчанию, для openssh, обратную
>> >> группу? Группу тех, кого пускают.
>> >
>> > Кого пускают, или у кого пароль спрашивают?
>>
>> Кого не пускают кроме...
>> Сценарий 2.
>>
>> > Для первого, вообще говоря, существует AllowUsers/AllowGroups.
>>
>> Так по-лучше, но могут ли эти опции пускать только из этих групп, а
>> других не пускать?
>
> Не понял, не пускать пользователей, которые входят не только в эти группы?
> Есть ещё и DenyUsers/DenyGroups, см. sshd_config(5).
>

Нужно, чтобы всех пользователей, которые не входят в заданную группу,
например remote, не пускали. Как это сделать с помощью sshd_config?
Пример, с pam_access, я приводил.

>> > Суть анонсированного изменения в усилении действующей по умолчанию защиты
>> > "PermitRootLogin without-password": в дополнении к отключению возможности
>> > удалённого подбора пароля рута теперь отключается возможность удалённого
>> > подбора паролей пользователей, которые, будучи взломанными, открывали бы
>> > возможность прямого локального подбора пароля рута.
>> >
>>
>> Хотелось бы  быть защищённым не только от "удалённого подбора паролей
>> пользователей, которые, будучи взломанными, открывали бы возможность
>> прямого локального подбора пароля рута", но и вообще от подбора
>> паролей не доверенных пользователей.
>
> Тогда пароли доверенных пользователей станут особенно уязвимыми.
>

Ну, так сейчас, для всех, кто не wheel, эти пароли уязвимы, а среди
них могут попасться с плохими паролями. Нужно, конечно, за этим
следить. Но безопаснее всех подряд, по сети, не пускать.

Я полагаю, что вы рассматриваете только один сценарий работы системы -
сервер с локальными пользователями. Сценарий, когда система
используется ещё и для локальной работы пользователями, которые не
должны иметь доступа по сети, не рассматривается. Обычный десктоп тоже
не рассматривается.

Да, для сервера лучше сделать по ключам для группы wheel, а других
юзеров, если им не нужно заходить удалённо, вообще лучше не создавать.

Но и у сервера есть трещина, если испольуется LDAP+krb5, например. В
этом случае, нельзя точно знать какие пользователи есть. А всех
пускать - это роскошь. Так что группа, по моему, просто необходима.


-- 
Sin (Sinelnikov Evgeny)