[sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

Dmitry V. Levin ldv на altlinux.org
Ср Июн 23 10:57:29 UTC 2010


On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> 23 июня 2010 Dmitry V. Levin написал:
> > On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> > > 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > > > 
> > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по умолчанию
> > > > аутентификация по паролю будет выключена для членов группы wheel.
> > > > 
> > > > Подробнее об этом см.
> > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > 
> > > И к чему это приведёт? Ну т.е. как было и как станет?
> > 
> > Сменится умолчание: членов группы wheel перестанут пускать по паролю.
> То есть ssh для первого заведённого пользователя будет недоступен.

Почему?  sshd будет недоступен по паролю, но это не одно и то же.

> /то 
> означает, что удалённо администрировать свежепоставленную ОС становится 
> невозможно,

Почему?  А как же Альтератор?

> использовать nx на этой системе становится невозможно (зная 
> квалификацию подобных целевых пользователей.

Почему?

> IMHO, крайне спорный шаг,

Конечно.

> усугубляющий текущее и без того крайне несовместимое 
> и неудобную модель по безопасности. Фактически мы отрываем ручки, не предлагая 
> дешёвого способа исправить ситуацию.

У нас есть веб-интерфейс.  Пока в нашем инсталяторе нет штатного
интерфейса выключить PasswordAuthentication вообще, это разумный
компромисс.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20100623/11b88c16/attachment.bin>


Подробная информация о списке рассылки Sisyphus