nicht angemeldet
SSH und Authentication mittels Key
Hello,
per SSH gibt es die Möglichkeit, sich mit Password anzumelden, oder aber mittels Authorized Key.
Nun würde ich gerne das Password-an-einer-Stelle-Konzept nicht durchbrechen, und suche daher schon das ganze letzte Wochenende und heute nach einer Idee, wie man die Anmeldung per Authorized Key verhindern kann, wenn das Konto deaktiviert wurde.
Die Deaktivierung kann gewöhnlich entweder per
- usermod -L
- passwd -l
oder das Setzen eines Sterns anstelle des x in der etc/passwd erfolgen.
Als Ide hatte ich, in der sshd_config die Option ForceCommand zu nutzen, um einen Usercheck einzuschleifen. Aber leider komme ich da nicht weiter.
Kennt jemand eine andere Möglichkeit, ein Script in das Anmeldeprocedere von ssh einzuschleifen?
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-
Hi, Tom!
Ich habe mir immer den Spaß gemacht, bei abgelaufenen ssh-Accounts als Login-Shell ein kleines Programm einzutragen, welches lustige Nachrichten ausgegeben hat ("Junge, Junge. Du mußt den Admin ganz schön verärgert haben, dass er Dich rausgeworfen hat...").
Hinsichtlich eines Widerrufs der Autorisierung eines SSH-Keys: trage ihn aus und/oder revoke ihn.
Gruß, LX
--
X-Self-Code: sh:( fo:) ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: Unusual
X-Please-Search-Archive-First: Absolutely Yes-
Hello,
Ich habe mir immer den Spaß gemacht, bei abgelaufenen ssh-Accounts als Login-Shell ein kleines Programm einzutragen, welches lustige Nachrichten ausgegeben hat ("Junge, Junge. Du mußt den Admin ganz schön verärgert haben, dass er Dich rausgeworfen hat...").
Hinsichtlich eines Widerrufs der Autorisierung eines SSH-Keys: trage ihn aus und/oder revoke ihn.
Klar, das kann ich nach wie vor "zu Fuß" machen und beide Sperren getrennt durchführen. Vermutlich würde es genügen, die Shell wegzunehmen. Habe ich jetzt noch nicht probiert. Kommt ganz oben auf den Zettel für morgen früh.
Ich dachte da allerdings mehr an eine Ergänzung des Anmelde-Prozederes für den Zugang per Authorization Key. SSH beitet ja eigentlich eine ganze Menge Abzweigungen, wie z.B. die ~/ssh/rc, die Kommandos für den User ausführt... Wenn sie nicht vorhanden ist, wird die /etc/ssh/sshrc ausgeführt.
Um dies zu erzwingen, kann man no-user-rc auf irgendwas setzen (vermutlich 'yes'), dann wird die ~/ssh/rc nicht mehr ausgeführt.Ist aber bisher nr Theorie, hatte noch keine Gelegenheit, das wirklich durchzutesten.
Lieber wäre es mir, eine Script-Datei zu haben, die as designed bei jedem Start der Session mittels Auth-Key abgearbeitet wird. Dann könnte man dort den Konto/Passwort-Check einbauen und den Vorgang bei Bedarf mit exit <fehler> abbrechen.
Könnte ja sein, dass jemand OpenSSH so gut kennt, dass er sofort "hier" schreit bei meinem Anliegen :-)
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-