[linux-l] sshd-Problemchen

[Steffen Dettmer]

* Uwe Sawallisch wrote on Wed, Mar 02, 2005 at 17:51 +0100:
> > ListenAddress
(was hilft das hier eigentlich? Oder meinst Du im Zusammenhang
mit einer Firewall mit Packetfilter?)
> > HostbasedAuthentication
> > IgnoreRhosts
> > IgnoreUserKnownHosts
> >
> > Damit sollte man eigentlich das erreichen, was du wünschst.
> (...)
> 
> hmmmm... letztere beiden Parameter legen fest, dass kein User sich selbst
> ein "Hintertuerchen" bastelt, ok.
> 
> "HostbasedAuthentication" verlangt eine "ssh_known_hosts". Muss ich die
> aus den $HOME/.ssh/known_hosts zusammensuchen? Die werden beim Zugang via
> ssh zu anderen Maschinen angelegt, enthalten also nicht notwendigerweise
> die Daten der Rechner, die ich gerne zulassen moechte.

Moment: dann muss der Benutzer des Clients sich aber nicht mehr via Passwort
authentifizieren, es wird dem Client-Host getraut - weiss nicht,
ob Du das willst.

> Was hat es mit den Eintrag
> 
> AuthorizedKeysFile      .ssh/authorized_keys
> 
> auf sich? Entsprechende Files finde ich nicht.

Der Schlüssel, der zur Authentifizierung verwendet werden soll,
kann auch in dem File stehen. So kann sich z.B. steffen seinen
Schlüssel in ~steffen/.ssh/authorized_keys packen und sich dann
anmelden.

> Nach meiner Vorstellung muesste doch jeder Client, der einmal bei mir
> angemeldet war, irgendeinen "key", oder ein "cookie" oder sonstwas
> hinterlassen, an Hand dessen ich beim naechsten Mal feststellen kann, ob
> es derselbe Client ist - und das unabhaengig von der IP-Adresse oder dem
> uebermittelten Hostnamen (bei einem Zugang ueber einen Dial-Up Account
> muesste ich ja sonst komplette B- oder C-Netzwerke freigeben...)

Ja, ist das so? Ich glaub nicht!

Vielleicht hilft es Dir, wenn Du einfach 
PasswordAuthentication no 
machst und die Pub-Keys (der User, nicht der Clientmaschinen -
die haben ja keinen :)) in ~user/.ssh/authorized_keys einträgst.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.