Am Dienstag, 8. März 2005 11:01 schrieb Hans-Martin Flesch:

Am Dienstag, 8. März 2005 10:57 schrieb Dr. Jürgen Vollmer:

...

Nur: wie mache ich das, daß man beim Einloggen via ssh der Benutzer in einer chroot-Umgebung landet? Wie erstelle ich die chroot-Umgebung (Lib's Kommandos usw), gibt's Tools?

Macht das ganze überhaupt Sinn? (Security by obscurity?) Was wären Alternativen?

ich mache es so, dass ich mit entsprechend großen ssh-Keys arbeite und den Zugang über Passwort nicht erlaube. Das ist ein relativ einfach umzusetzender Weg, der die Sicherheit schon einmal zeimlich erhöht...

irgendwie bin ich blind, aber wie kann ich das bei einem einzigen Benutzer denn in /etc/ssh/sshd_config einstellen? Ich möchte also für einen Benutzer nur die Authorisierung via key-file, für alle anderen via Passwort oder key-file. (Hintergrund: ich möchte mich schon noch als root auf der lokalen Kiste per ssh einloggen können, aber eben das Passwort eingeben müssen, zum eigenen Schutz :-) Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer

Am Mittwoch, 9. März 2005 12:24 schrieb Erhard Schwenk:

Zitat von "Dr. Jürgen Vollmer" :

...

irgendwie bin ich blind, aber wie kann ich das bei einem einzigen Benutzer denn in /etc/ssh/sshd_config einstellen?

Warum nicht für alle? Ansonsten vielleicht in $HOME/.ssh/sshd_config des Users oder so?

nun ja $HOME/.ssh/sshd_config gibt's nicht (meines Wissens)

...

Ich möchte also für einen Benutzer nur die Authorisierung via key-file, für alle anderen via Passwort oder key-file. (Hintergrund: ich möchte mich schon noch als root auf der lokalen Kiste per ssh einloggen können, aber eben das Passwort eingeben müssen, zum eigenen Schutz :-)

Warum da nicht auch übern Public Key authentifizieren, das ist eigentlich deutlich sicherer weil der viel länger ist als das Passwort. das will ich ja, aber eben keine Authentifierung mittels Passwort, allerdings nur für _einen_ bestimmten User. Bei anderen Usern (insb. root) soll ich das Passerot angeben müssen. Ich möchte keine authorized_keys für root haben, aus reinem selbstschutz!

Mir sind bis jetzt nur folgende Lösungen eingefallen: 1. einen zweiten sshd mit anderer Konfiguration laufen lassen. 2. in /etc/shadow das Passwort des Users löschen Letzters habe ich gemacht. Damit kann man sich ohne den Schlüssel nicht mehr einloggen und eine Passwort-Attacke funktioniert nicht. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer

Am Dienstag, 8. März 2005 13:05 schrieb Mario Goppold:

Am Dienstag, 8. März 2005 10:57 schrieb Dr. Jürgen Vollmer:

...

Hallo allerseits,

... Er soll daher einzig ein ein ssh user@localhost ausführen dürfen. Kein Spaziergang im Dateisystem usw. Also muß eine chroot-Umgebung her.

Nur: wie mache ich das, daß man beim Einloggen via ssh der Benutzer in einer chroot-Umgebung landet? Wie erstelle ich die chroot-Umgebung (Lib's Kommandos usw), gibt's Tools?

Hallo,

wenn nur ein ssh user@localhost möglich sein soll, kannst du den ssh-Schlüssel auch gleich daran binden.

Und was ist wenn der Schlüssel abgefangen wird? Wie wäre es mit Radius-Server + 1x Passwort? Ich denke auch schon einige Zeit darüber nach, hatte aber noch keine Zeit mich damit näher zu beschäftigen. Das System soll ähnlich wie eine TAN-Liste funktionieren. Man druckt sich ein paar PW aus und hat dann von unterwegs einige Male Zugang. Jeder kann das PW beim Einwählen sehen und ausspionieren, da es nur 1x gilt. Al

Am Dienstag, 8. März 2005 15:31 schrieb Mario Goppold: ssel auch gleich daran binden.

...

Und was ist wenn der Schlüssel abgefangen wird?

Ok, aber die Verbindung selber könnte ja mit einer VPN abgesichert sein.

Keylogger? Ich sehe als Anwendungsfall, dass man kein _eigenes_ Notebook zur Verfügung hat und sich zu Hause einwählen will.

...

Wie wäre es mit Radius-Server + 1x Passwort? Ich denke auch schon einige Zeit darüber nach, hatte aber noch keine Zeit mich damit näher zu beschäftigen. Das System soll ähnlich wie eine TAN-Liste funktionieren. Man druckt sich ein paar PW aus und hat dann von unterwegs einige Male Zugang. Jeder kann das PW beim Einwählen sehen und ausspionieren, da es nur 1x gilt.

Ist das dann aber noch einfach Aufsetz-, administrierbar?

Das genau ist die Frage, ich habe mich da ja auch noch nicht durchgekämpft. Al

Ups, Am Dienstag, 8. März 2005 15:56 schrieb Wolfgang Hinsch:

Hallo,

[...]

In /etc/shadow werden einfach die Passwortzeilen kopiert und die Benutzernamen weitergezählt. Beim login stört sich das System nicht an zusätzlichen Benutzern in shadow, solange die Einträge für den sich anmeldenden Benutzer in passwd und shadow übereinstimmen. Bin ich im System, editiere ich /etc/passwd, schmeiße den ^^^^^ shadow!

gegenwärtigen Benutzer raus und ändere den nächsten ^ -eintrag, d.h. sein Passwort!

Vorratseintrag auf meinen Benutzernamen. Das ganze besser als Script, denn ein Fehler, und ich kann nach Hause fahren... Beim nächsten Login muss ich nur wissen, welches Passwort ich damit jetzt aktiviert habe. Es ist an keiner Stelle notwendig, das Passwort zu benutzen oder einzugeben, bevor es tatsächlich zum login gebraucht wird. Die Einträge in shadow sind verschlüsselt und bei einigermaßen sinnvoller Passwortwahl nützt auch ein Ausspähen nichts.

zu schnell geschrieben... Gruß, Wolfgang

Hallo, Am Dienstag, 8. März 2005 16:22 schrieb Peter Wiersig:

...

Was wären Alternativen? Portknocking

Das würde mich interessieren. Wie funktioniert das prinzipiell? Michael