Hallo Al, Al Bogner schrieb:
Ich habe mit puttygen keys (testweise) erzeugt und schaffe es nicht mich damit anzumelden.
Mir fällt dabei auf, dass die Keys von puttygen anders aussehen, als die vom Linux-PC
Unter Linux habe ich immer:
.ssh/id_rsa.pub ssh-rsa .... user@host
Putty-Key: ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "rsa-key-20091015" A...B ---- END SSH2 PUBLIC KEY ----
Wenn du schon Putty Key Generator bedienst, dann lese bitte auch richtig. Dort steht nicht zu überlesen: "Public Key for pasting into OpenSSH autherized_keys file" und darin befindlicher Textfeld sollte in die Datei ~/.ssh/autherized_keys eingefügt werden.
Ziel soll es nun mit putty sein, dass sich ein "DAU" dort mit einem abgespeicherten Profil als root anmelden kann, ohne ein PW oder einen User anzugeben und dann auf der Konsole ein Sicherungsscript aufrufen kann. Mir ist schon klar, dass dies ohne PW nicht optimal ist, aber so einfach denke ich sind die Keys nicht zu hacken.
Generell würde ich einem "DAU" gar keine Root-Rechte geben und ist auch sonstiger Sichtweise nicht empfehlenswert. Denn ein "DAU" kann eine ganze Menge kaputt machen. Nicht umsonst hat man dem Root-User die höchstmöglichen Rechte vergeben. Denn die normalen User sollen am System nichts rumfuschen. Vorschlag, um ein Sicherheitsskript bei Bedarf aufzurufen: - Richte dem User einen eigenen Account ein - Generiere für den User ein SSH-Key - Der User braucht nur eine Dummy-Datei per "touch runsript" in seinem Home-Verzeichnis zu erstellen. - Richte ein Cronjob als Root-User ein, der ständige nach dieser Dummy-Datei im Home-Verzeichnis sucht und falls die Datei existiert wird entsprechend das Sicherheitsskript ausführt. - Nach Abschluss des Sicherheitsskript kann die Datei "~/runscript" vom Skript selbst gelöscht werden. Oder du richtest für das Sicherheitsskript ein Cronjob ein und läßt es zu einer bestimmten Zeit laufen. (Was als Administrator und User wesentlich vereinfacht und man sich nicht darum kümmern muss.) Das ist echt nicht schwer und wesentlich sicherer! -- Gruß Sebastian Wichtiger Hinweis zur openSUSE Mailing Liste: - Achtung: >>> Bitte keine Anhänge! <<< Stattdessen Paste-Service verwenden: <http://paste.phati.de/> <http://de.pastebin.ca/> - Bitte weitere Netiquette auf folgender wiki-Seite beachten: <http://de.opensuse.org/Mailinglisten> openSUSE Member (Freespacer) openSUSE Build Service Maintainer: - PokerTH (seit Version 0.6.3) - p7zip (seit Version 9.04) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org