![](https://seccdn.libravatar.org/avatar/d53be0c127396650a634922db9b27974.jpg?s=120&d=mm&r=g)
Hallo, Am Dienstag, 8. März 2005 13:37 schrieb Al Bogner:
Am Dienstag, 8. März 2005 13:05 schrieb Mario Goppold:
Hallo,
wenn nur ein ssh user@localhost möglich sein soll, kannst du den ssh-Schlüssel auch gleich daran binden.
Und was ist wenn der Schlüssel abgefangen wird?
Wie wäre es mit Radius-Server + 1x Passwort? Ich denke auch schon einige Zeit darüber nach, hatte aber noch keine Zeit mich damit näher zu beschäftigen. Das System soll ähnlich wie eine TAN-Liste funktionieren. Man druckt sich ein paar PW aus und hat dann von unterwegs einige Male Zugang. Jeder kann das PW beim Einwählen sehen und ausspionieren, da es nur 1x gilt.
Kann man das nicht interaktiv machen? Wenn ich mich eingewählt habe, kann ich auch das Passwort ändern. Da zu diesem Zeitpunkt die Übertragung verschlüsselt ist, kann niemand so einfach mithören. Oder in /etc/shadow 10 Passwörter ablegen nach dem Muster: $ passwd old password ? xxxxx new password ? yyyyy reenter new password ? yyyyy password changed $ su - # vi /etc/shadow /userx Yp s/userx/userx1 :wq #$ passwd ..... In /etc/shadow werden einfach die Passwortzeilen kopiert und die Benutzernamen weitergezählt. Beim login stört sich das System nicht an zusätzlichen Benutzern in shadow, solange die Einträge für den sich anmeldenden Benutzer in passwd und shadow übereinstimmen. Bin ich im System, editiere ich /etc/passwd, schmeiße den gegenwärtigen Benutzer raus und ändere den nächsten Vorratseintrag auf meinen Benutzernamen. Das ganze besser als Script, denn ein Fehler, und ich kann nach Hause fahren... Beim nächsten Login muss ich nur wissen, welches Passwort ich damit jetzt aktiviert habe. Es ist an keiner Stelle notwendig, das Passwort zu benutzen oder einzugeben, bevor es tatsächlich zum login gebraucht wird. Die Einträge in shadow sind verschlüsselt und bei einigermaßen sinnvoller Passwortwahl nützt auch ein Ausspähen nichts. Nur so als Idee... Wolfgang