nicht angemeldet
SSH/PasswordAuthentication
Hi,
vielleicht kann mir ein Linux-Experte weiterhelfen. Ich möchte den SSh-Zugang meines neuen Rootservers (Debian 3.0) für den "root"-User sperren und stolpere über einen Wert in der sshd_config:
PasswordAuthentication
Initiale Einstellung ist "yes". Ich habe dann in der sshd_config eines meiner anderen Rootserver (Debian 3.1) nachgesehen und festgestellt, dass dieser Wert dort auf "no" steht, also habe ich das für den neuen Server auch umgestellt, also:
PasswordAuthentication no
Und SSH anschliessend mit
/etc/init.d/ssh restart
neu gestartet. Leider kann man sich anschliessend überhaupt nicht mehr per SSH einloggen, putty schliesst sich, sobald man den Loginnamen eingegeben hat!
Also habe ich den Wert wieder zurückgestellt, SSH neu gestartet und der Login funktioniert wieder. Jetzt bin ich verwirrt: wieso klappt das dann bei meinem anderen, alten Rootserver?
Konfiguration:
"neuer Server": Debian 3.0 (der, bei dem "PasswordAuthentication no" den Login komplett verhindert)
"alter Server": Debian 3.1
Kann es daran liegen, dass die Debian 3.0 einen Fehler in der SSH-Implementation hat, der in Debian 3.1 bereits gefixt wurde?
Danke vielmals und Grüsse, Manni
-
Moin,
Also habe ich den Wert wieder zurückgestellt, SSH neu gestartet und der Login funktioniert wieder. Jetzt bin ich verwirrt: wieso klappt das dann bei meinem anderen, alten Rootserver?
Schau mal ein paar Zeilen tiefer, da steht (sinngemäß)
Set this to 'yes' to enable PAM authentication (via challenge-response)
and session processing. Depending on your PAM configuration, this may
bypass the setting of 'PasswordAuthentication' and 'PermitEmptyPasswords'
UsePAM yes
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
Hallo Henryk
UsePAM yes
vielen Dank, das erklärt schonmal, warum es bei dem anderen Server funktioniert! Kannst Du mir aber vielleicht noch sagen, welche Methode besser/sicherer ist?
Danke Dir! Manni
-
Moin!
vielen Dank, das erklärt schonmal, warum es bei dem anderen Server funktioniert! Kannst Du mir aber vielleicht noch sagen, welche Methode besser/sicherer ist?
Passwort ist Passwort, egal wie das eingebbar gemacht ist.
Sicherer ist RSA-Authentifizierung. Dazu legst du dir einen öffentlichen und geheimen Schlüssel an und authentifizierst dich dann ohne Passworteingabe beim Server. Für Windows benutzt du z.B. PuttyGen als Schlüsselgenerator und Pageant als Authentifizierungsdienst (der laufen muß, wenn du dich anmelden willst).
- Sven Rautenberg
-
Hallo Sven,
Passwort ist Passwort, egal wie das eingebbar gemacht ist.
Aber irgendeinen Unterschied wird es doch zwischen diesen beiden Möglichkeiten geben, oder? Oder existiert das eine nur aus historischen Gründen weiter?
Sicherer ist RSA-Authentifizierung.
Ok, werde ich mir mal genauer ansehen, vielen Dank!
Beste Grüsse! Manni
-
Moin!
Aber irgendeinen Unterschied wird es doch zwischen diesen beiden Möglichkeiten geben, oder? Oder existiert das eine nur aus historischen Gründen weiter?
Sicherlich wird das eine PAM sein, das andere "Passwort-Eingabe classic" - was ergebnismäßig auf dasselbe hinausläuft, nur dass beim classic wahrscheinlich nur /etc/passwd bzw. /etc/shadow befragt würde, und man mit PAM wesentlich mehr Möglichkeiten, z.B. LDAP etc. hätte.
Wie ein Passwort aber auf Korrektheit geprüft wird, beeinflusst eben nicht die Sicherheit dieses Passwortes. Entscheidend ist: Jedermann könnte das korrekte Passwort einfach eingeben, wenn er es entweder kennt oder erraten kann. Ein Passwort muß man sich schließlich im Kopf merken können - das beschränkt die Länge und Willkürlichkeit des Passwortes leider. Bei RSA dürfte sowas schon ganz erheblich schwieriger werden.
- Sven Rautenberg
-
-
-
-