[sisyphus] Q: sshd-password-auth/sshd-allow-groups

Michael Shigorin mike на osdn.org.ua
Ср Июн 23 12:24:56 UTC 2010


On Wed, Jun 23, 2010 at 03:44:41PM +0400, Dmitry V. Levin wrote:
> Я предлагаю ограничиться
> control sshd-password-auth enabled|disabled
> control sshd-allow-groups enabled|disabled

Угу.

> Соответственно, при обновлении никто не пострадает, а спорное
> изменение в openssh-server-5.3p1-alt2 можно было бы убрать.

Спасибо!

> Вопрос в значениях по умолчанию.  Меня бы вполне устроили
> sshd-password-auth disabled и sshd-allow-groups enabled,
> но что-то мне подсказывает, что мои предпочтения в этом
> вопросе могут кому-то не подойти.

Если бы при создании первого пользователя была разумная
возможность положить ему ключик... (или сгенерировать и
унести к себе приватную часть)

Мне ничего путного на эту тему в голову пока не пришло.

С другой стороны, может иметь смысл скинуться тем, как бы
кто хотел видеть настройки безопасности "из коробки" в среднем
по своим системам _без_ оглядки на других вообще -- и попытаться
понять, есть ли возможность сойтись на практичной изкоробочной
конфигурации и сделать к ней чё-нить вроде control system hardened.

Понятно, что вопрос чувствительный -- что-то можно и на LinuxFest
обрисовать.


On Wed, Jun 23, 2010 at 11:53:47AM +0000, Vitaly Kuznetsov wrote:
> > Вопрос в значениях по умолчанию.  Меня бы вполне устроили
> > sshd-password-auth disabled и sshd-allow-groups enabled,
> > но что-то мне подсказывает, что мои предпочтения в этом
> > вопросе могут кому-то не подойти.
> Если хочется не ломать работающее, то придётся в дефолтовом
> конфиге делать ровно наоборот "enabled disabled" (иначе
> у некоторых юзеров после обновления отвалится доступ).
> В дистрибутивах предлагаю сделать соответствующий шаг
> установщика.

Шаги -- "дорогая" штука.  _Может_ быть, такую ручку стоит
прикрутить около alterator-root в эксперт-режиме?

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


Подробная информация о списке рассылки Sisyphus