SSH Login für einen User nur mit einem Key

24/01/2011 - 14:30 von Peter Mairhofer | Report spam
Hi,

Ich verwende AllowUsers bzw. AllowGroup damit sich nur ein kleiner Kreis
an Usern per SSH anmelden kann.

Nun möchte ich aber einem User zusàtzlich ermöglichen, seine Dateien per
unison über ssh zu synchronisieren. Das würde ich einrichten (und nicht
der User).

Dabei möchte ich aber weder Login per Passwort erlauben, noch sonstigen
Shell Login.

Zweiteres würde ich mit einem Eintrag in .ssh/authorized_keys ermöglichen:

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command="~/unison-2.40.16
-server -dumbtty" <key> unison

und dann die authorized_keys so setzen dass sie der User nicht àndern kann.

Bleibt allerdings die Frage: Wie verhindere ich dass sich der eine User
nicht mit PasswordAuthentication anmelden kann (UsePAM ist gesetzt),
jedoch mittels Public Key?

LG
Peter
 

Lesen sie die antworten

#1 Heiko Schlenker
24/01/2011 - 15:09 | Warnen spam
* Peter Mairhofer schrieb:
Bleibt allerdings die Frage: Wie verhindere ich dass sich der eine User
nicht mit PasswordAuthentication anmelden kann (UsePAM ist gesetzt),
jedoch mittels Public Key?



# Match User foo
UsePAM no # vielleicht geht auch "yes"
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes

Oder falls PAM benutzt wird:
In /etc/pam.d/sshd o.à. dies unterbringen:
#v+
auth required pam_listfile.so onerr=succeed item=user sense=deny file=/etc/ssh/ssh-login-deny
#v-

In der Datei /etc/ssh/ssh-login-deny stehen die Namen der Benutzer,
die sich nicht per PAM anmelden dürfen.

Oder:
#v+
auth required pam_deny.so
#v-

Oder:
#v+
# no system authentication
@include common-auth-deny
#v-

In /etc/pam.d/common-auth-deny kann dann stehen:
#v+
#
# /etc/pam.d/common-deny - always deny authentication
#
auth required pam_deny.so
#v-

Gruß, Heiko
Neu im Usenet? -> http://www.kirchwitz.de/~amk/dni/
Linux-Anfànger(in)? -> http://www.dcoul.de/infos/
Fragen zu KDE/GNOME? -> de.comp.os.unix.apps.{kde,gnome}
Passende Newsgroup gesucht? -> http://groups.google.com/search?as_umsgid=

Ähnliche fragen