LINUX.ORG.RU
ФорумGeneral

SSH и локальный пароль


0

1

Может кто нибудь объяснить почему если в файле /etc/shadow (vipw -s) заблокировать пароль (user1:!:0:::::0) то доступ по SSH тоже блокируется?

Они вроде бы ни как не связаны.

★★★★

Ответ на: комментарий от DoctorSinus

Вы про PermitEmptyPasswords?

Поробовал и включать и выключать данную опцию, ни какой разницы нет.

keeper_b ★★★★
() автор топика

Запускаешь /usr/sbin/sshd -p 1022 -d и делаешь на него ssh -p 1022. в первой консоли читаешь логи, возможно, там будет ответ на твой вопрос.

Liosha_Syrnikov
()
Ответ на: комментарий от power

/var/log/messages говорит:

sshd[4329]: User test not allowed because account is locked

ssh -vv говорит:

Enter passphrase for key '/home/keeper_b/.ssh/id_rsa_test':
debug1: read PEM private key done: type RSA
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Trying private key: /home/keeper_b/.ssh/id_rsa
debug1: Trying private key: /home/keeper_b/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug1: Authentications that can continue: publickey,keyboard-interactive
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey,keyboard-interactive).

keeper_b ★★★★
() автор топика
Ответ на: комментарий от Liosha_Syrnikov

Я так понимаю причина в этом?

User test not allowed because account is locked

input_userauth_request: invalid user test

А почему заблокировонный пользователь не может войти?

keeper_b ★★★★
() автор топика
Ответ на: комментарий от keeper_b

>А почему заблокировонный пользователь не может войти?

Потому что он заблокирован. Ваш К.О.

UserUnknown ★★★★★
()

Они вроде бы ни как не связаны.

NCSA: Changes in OpenSSH since v3.8

OpenSSH now checks for locked accounts by default. On Linux systems, locked accounts are defined as those that have !! in the password field of /etc/shadow. This is the default entry for accounts created with the useradd command. Even if you are using Kerberos authentication and do not need local passwords, sshd won't let the user login with this message:

Too many authentication failures for username

In the sshd debugging info it will indicate that the account is locked:

User username not allowed because account is locked

We suggest replacing !! with * or something similar.

http://www.ncsa.illinois.edu/UserInfo/Resources/Software/ssh/openssh_3.8.html

edigaryev ★★★★★
()

как это не связаны?? ты что курил?

val-amart ★★★★★
()
Ответ на: комментарий от edigaryev

Спасибо вот это мне и было нужно!

Только тогда не понятно, как тогда тут http://m-ivanov.livejournal.com/7988.html и тут http://scie.nti.st/2007/11/14/hosting-git-repositories-the-easy-and-secure-way обошлись? Они пишут, что пользователя сделали а про пароль ни слова. :(

В последнем варианте вообще при создании пользователя говорит --disabled-password.

keeper_b ★★★★
() автор топика
Ответ на: комментарий от keeper_b

Все верно, там используется идентификация пользователя по открытому ключу, соотв. никакой пароль не нужен.

edigaryev ★★★★★
()
Ответ на: комментарий от keeper_b

Зависит от того, как собран openssh. По умолчанию ./configure скрипт создает файл config.h с определенной там строчной константой: 

#define LOCKED_PASSWD_PREFIX "!"
sshd сравнивает LOCKED_PASSWD_PREFIX и n начальных символов пароля (n = размер LOCKED_PASSWD_PREFIX без нуль-символа). Если они равны — пользователь не сможет войти в систему.

Т.е. в таком случае главное чтобы первый символ не был равен '!'.

edigaryev ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General