LINUX.ORG.RU
ФорумAdmin

Дебильный вопрос про авторизацию по паролю или сертификату.


0

1

Вот есть ssh. Как приложение, работающее от рута, он может в принципе стать любым юзером. Тут уже неважно - по паролю ты залогинился или по сертификату или ещё как-то.

А вот в юниксах есть такой файлик /etc/shadow и там если на месте пароля поставить вместо хеша спец-символ, типа звёздочки, то логин по паролю будет запрещён.

ssh в принципе может смотреть на эту звёздочку от отказываться принимать пароль - допустим. И таким образом типа реализовывать политику запрешения входа по паролю. А без ssh кто на эту звёздочку смотрит, когда я пароль в консоли ввожу? Какое приложение?

Перемещено Shaman007 из talks

ничего не понял

invy ★★★★★ ()

А без ssh кто на эту звёздочку смотрит, когда я пароль в консоли ввожу? Какое приложение?

/bin/login

Подробности в man login

Deleted ()

У SSH есть собственные настройки, которые отвечают по сертификату или по паролю производится аутентификация. Если надо, то можно иметь несколько sshd на разных портах с разными настройками.

Shaman007 ★★★★★ ()

Можно сделать проще:

PasswordAuthentication no 
В конфиге sshd избавит от противных паролей.

invokercd ★★★★ ()

Если тебя так парить сделать авторизацию по ключу, укажи что root запрещён к авторизации,

и ещё пару правил в iptables


iptables -N sshguard
iptables -F sshguard

iptables -A INPUT -p tcp -m tcp --dport 22 -j sshguard

iptables -A sshguard -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --name SSH --rsource -j DROP
iptables -A sshguard -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
iptables -A sshguard -j ACCEPT

Правила ограничивают количество новых подключений. Не больше 2 за 60 секунд. Можешь поставить скока угода

mannaz2004 ()
Последнее исправление: mannaz2004 (всего исправлений: 1)

Какое приложение пароль принимает, то обычно и смотрит, как правило с помощью PAM.

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.