[sisyphus] I: openssh-server-5.3p1-alt2: disabled PasswordAuthentication for "wheel" group members

[Андрей Черепанов]

23 июня 2010 Dmitry V. Levin написал:
> On Wed, Jun 23, 2010 at 12:08:40PM +0400, Андрей Черепанов wrote:
> > 23 июня 2010 Dmitry V. Levin написал:
> > > On Wed, Jun 23, 2010 at 01:48:07AM +0300, Igor Zubkov wrote:
> > > > 23 июня 2010 г. 0:44 пользователь Dmitry V. Levin написал:
> > > > > В Сизиф отправляется openssh-server-5.3p1-alt2, в котором по
> > > > > умолчанию аутентификация по паролю будет выключена для членов
> > > > > группы wheel.
> > > > > 
> > > > > Подробнее об этом см.
> > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=17286
> > > > 
> > > > И к чему это приведёт? Ну т.е. как было и как станет?
> > > 
> > > Сменится умолчание: членов группы wheel перестанут пускать по паролю.
> > 
> > То есть ssh для первого заведённого пользователя будет недоступен.
> 
> Почему?  sshd будет недоступен по паролю, но это не одно и то же.
Ключ на удалённую машину просто не передашь. Следовательно о доступе по 
дефолту по SSH на такую машину стоит забыть.
 
> > /то
> > означает, что удалённо администрировать свежепоставленную ОС становится
> > невозможно,
> 
> Почему?  А как же Альтератор?
Который на дестопных дистрибутивах не идёт, а если и идёт, то не запущен?

[cas на cas installed]$ grep alterator-fbi *
list-ark-server.txt:alterator-fbi-5.25-alt2.M51.3
list-school-junior.txt:alterator-fbi-5.25-alt2.M51.3
list-school-master.txt:alterator-fbi-5.25-alt2.M51.3
list-school-server.txt:alterator-fbi-5.25-alt2.M51.3


> > использовать nx на этой системе становится невозможно (зная
> > квалификацию подобных целевых пользователей.
> 
> Почему?
Я уже попросил спецов по NX осветить ситуацию. Мне казалось, что он работает 
по SSH и с этим дефолтом без ключа и по паролю использовать его невозможно. 
Или возможно, но никаких административных привилегий и возможностей 
переключения через su.

> > IMHO, крайне спорный шаг,
> 
> Конечно.
> 
> > усугубляющий текущее и без того крайне несовместимое
> > и неудобную модель по безопасности. Фактически мы отрываем ручки, не
> > предлагая дешёвого способа исправить ситуацию.
> 
> У нас есть веб-интерфейс.  Пока в нашем инсталяторе нет штатного
> интерфейса выключить PasswordAuthentication вообще, это разумный
> компромисс.
У нас этот интерфейс есть только в серверных дистрибутивах.


-- 
Андрей Черепанов
ALT Linux
cas на altlinux.ru
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: This is a digitally signed message part.
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20100623/1db14eaa/attachment.bin>