[sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

Anton Farygin rider на altlinux.com
Ср Июн 23 09:58:15 UTC 2010


23.06.2010 03:08, Dmitry V. Levin пишет:
> On Wed, Jun 23, 2010 at 01:53:00AM +0300, Michael Shigorin wrote:
>> On Wed, Jun 23, 2010 at 01:44:00AM +0400, Dmitry V. Levin wrote:
>>> В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
>>> умолчанию аутентификация по паролю будет выключена для членов
>>> группы wheel.
>>
>> При обновлении умолчание изменится по сравнению с предыдущим,
>> если /etc/openssh/sshd_config не трогался?
>
> Да, конечно.
>
>>> Подробнее об этом см.
>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17286
>>
>> По-моему, идея никуда не годится в качестве умолчания, которое
>> может самопроизвольно поменяться при обновлении дистрибутива
>> с потенциальным DoS.
>
> Я не верю, что кто-то ещё сознательно использует PasswordAuthentication,
> но на всякий случай я это изменение анонсировал.

Используют вовсю.

>
> Лично я PasswordAuthentication на сервере использую исключительно тогда,
> когда мне нужно протестировать этот режим работы при подготовке новой
> версии openssh.

А как ты первый раз на свежепоставленный сервер кладёшь ключик ?

Тем более, если установка выполняется удалённо ?

>
>> Как недефолтный вариант для control, в идеале связанный с control
>> sudo wheelonly а-ля slave alternatives -- да, было бы хорошо
>> и сам бы пользовался.
>>
>> Прошу ещё раз подумать.
>
> Я вообще собирался выключить PasswordAuthentication по умолчанию, и,
> если бы не наткнулся на компромиссный вариант, описанный в #17286,
> то так бы и сделал.

Сделай, пожалуйста, control.

Мне это изменение не удобно - сервера я разливаю удалённо через 
специальный интерфейс (проброс видеокарты через сеть, аппаратная 
штучка), соответственно ключик скопировать возможности не будет без 
заведения левого пользователя с авторизацией по паролю, или отключение 
группы wheel для ряда системных утилит.

И то и то - криво, хотелось бы иметь возможность авторизовываться по паролю.

И да, у меня в системе альтератор отсутствует как класс, соответственно 
пробросить ключик через web-интерфейс нет никакой возможности.




Подробная информация о списке рассылки Sisyphus