Re: [slss] SSH Zugriff für alle?
uli jordan wrote:
Am Samstag, 3. Januar 2004 11:22 schrieb Frank Wein:
Hallo, mir ist aufgefallen, das sich im Prinzip jeder der einen Login hat, auch sich von daheim mit SSH einloggen kann. Das gefällt mir eigentlich nicht so, SSH ist doch nur zur Fernadministration gedacht und nicht das sich jeder Schüler einloggen kann. Denn mit einer Linux-Shell kann man auch schon viel Mist bauen oder seine eigenen Sachen drauf laufen lassen wenn man sich auskennt. IMO sollte nur root der SSH-Zugriff erlaubt sein und sonst niemanden.
Gruß Frank
1. Frage: warum muss sich ein/e Schüler/in per ssh auf einen server einloggen? 2. Zugriff per iptables für ssh regeln, so dass von aussen kein Zugriff möglich ist.
Der Schüler soll sich eben NICHT einloggen können. Aber der Administrator soll es können. Und da nützt einem iptables nix, wenn man sich dadurch selber aussperrt. gruß Frank
EINE Lösung ohne grossen Aufwand: Du verwendest einfach einen anderen Port für
ssh
einloggen dann mit
ssh -l
Am Sonntag, 4. Januar 2004 11:58 schrieb Frank Wein:
uli jordan wrote:
Am Samstag, 3. Januar 2004 11:22 schrieb Frank Wein:
Hallo, mir ist aufgefallen, das sich im Prinzip jeder der einen Login hat, auch sich von daheim mit SSH einloggen kann. Das gefällt mir eigentlich nicht so, SSH ist doch nur zur Fernadministration gedacht und nicht das sich jeder Schüler einloggen kann. Denn mit einer Linux-Shell kann man auch schon viel Mist bauen oder seine eigenen Sachen drauf laufen lassen wenn man sich auskennt. IMO sollte nur root der SSH-Zugriff erlaubt sein und sonst niemanden.
In der endgültigen version ist es so! Prinzipiell war es früher auch nicht anders gedacht. Aber wegen der Proxyauthorisierung musste der LDAP-Attirbute "userpassword" von dem Serveraus sichtbar gewesen sein. Das führte dazu, dass nsswitch einfach das pam-Mudul überspringen hat und zur authorisieung führt. In der endgültigen version verwenden wir eine andere LDAP-Proxyauthorisierungsmethode, und damit ist das problem gelöst.
Gruß Frank
1. Frage: warum muss sich ein/e Schüler/in per ssh auf einen server einloggen? 2. Zugriff per iptables für ssh regeln, so dass von aussen kein Zugriff möglich ist.
Der Schüler soll sich eben NICHT einloggen können. Aber der Administrator soll es können. Und da nützt einem iptables nix, wenn man sich dadurch selber aussperrt.
gruß Frank
-- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ Tel.: +49-911-74053484 Mobil.: +49-179-1277635 -----------------------------------
participants (3)
-
Frank Wein
-
kpelsner
-
Peter Varkoly