Hello,

Ich habe mir immer den Spaß gemacht, bei abgelaufenen ssh-Accounts als Login-Shell ein kleines Programm einzutragen, welches lustige Nachrichten ausgegeben hat ("Junge, Junge. Du mußt den Admin ganz schön verärgert haben, dass er Dich rausgeworfen hat...").

Hinsichtlich eines Widerrufs der Autorisierung eines SSH-Keys: trage ihn aus und/oder revoke ihn.

Klar, das kann ich nach wie vor "zu Fuß" machen und beide Sperren getrennt durchführen. Vermutlich würde es genügen, die Shell wegzunehmen. Habe ich jetzt noch nicht probiert. Kommt ganz oben auf den Zettel für morgen früh.

Ich dachte da allerdings mehr an eine Ergänzung des Anmelde-Prozederes für den Zugang per Authorization Key. SSH beitet ja eigentlich eine ganze Menge Abzweigungen, wie z.B. die ~/ssh/rc, die Kommandos für den User ausführt... Wenn sie nicht vorhanden ist, wird die /etc/ssh/sshrc ausgeführt.
Um dies zu erzwingen, kann man no-user-rc auf irgendwas setzen (vermutlich 'yes'), dann wird die ~/ssh/rc nicht mehr ausgeführt.

Ist aber bisher nr Theorie, hatte noch keine Gelegenheit, das wirklich durchzutesten.

Lieber wäre es mir, eine Script-Datei zu haben, die as designed bei jedem Start der Session mittels Auth-Key abgearbeitet wird. Dann könnte man dort den Konto/Passwort-Check einbauen und den Vorgang bei Bedarf mit exit <fehler> abbrechen.

Könnte ja sein, dass jemand OpenSSH so gut kennt, dass er sofort "hier" schreit bei meinem Anliegen :-)

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg