---

Hej NG.

Jeg kunne godt tænke mig at sætte sshd op, således at man SKAL have en
gyldig RSA/DSA nøgle, for at logge ind.
(Således at man ikke bare bagefter kan taste sit user-password ind og vupti)

Hvorledes gøres dette, jeg kører FreeBSD 4.3 ?

MVH
Christian Gufler

---

On Tue, 23 Oct 2001 16:09:39 +0200, Christian Bruhn Gufler wrote:

> Jeg kunne godt tænke mig at sætte sshd op, således at man SKAL have
> en gyldig RSA/DSA nøgle, for at logge ind. (Således at man ikke
> bare bagefter kan taste sit user-password ind og vupti)

Vildt gæt: Sæt "PasswordAuthentication no" i din sshd_config?

> Hvorledes gøres dette, jeg kører FreeBSD 4.3 ?

Ved at kigge i manualen til sshd


Mvh.

--
"It's... It's a miracle! My personal gravity is back Adam Sjøgren
to normal!" "Glad to hear that. Now do your math." asjo@koldfront.dk

---

Nej, dette forhindrer bare at der acceptereres clear text passwords.

MVH
Christian Bruhn Gufler


"Adam Sjøgren" <asjo@koldfront.dk> wrote in message
news:87n12ie8wz.fsf@virgil.koldfront.dk...
> On Tue, 23 Oct 2001 16:09:39 +0200, Christian Bruhn Gufler wrote:
>
> > Jeg kunne godt tænke mig at sætte sshd op, således at man SKAL have
> > en gyldig RSA/DSA nøgle, for at logge ind. (Således at man ikke
> > bare bagefter kan taste sit user-password ind og vupti)
>
> Vildt gæt: Sæt "PasswordAuthentication no" i din sshd_config?
>
> > Hvorledes gøres dette, jeg kører FreeBSD 4.3 ?
>
> Ved at kigge i manualen til sshd
>
>
> Mvh.
>
> --
> "It's... It's a miracle! My personal gravity is back Adam
Sjøgren
> to normal!" "Glad to hear that. Now do your math."
asjo@koldfront.dk

---

On Tue, 23 Oct 2001 16:19:08 +0200, "Adam Sjøgren" <asjo@koldfront.dk>
wrote:

> Vildt gæt: Sæt "PasswordAuthentication no" i din sshd_config?
Ja, det skulle man tro.

Jeg har dog erfaret, at det ikke var nok, og at man må benytte begge
følgende:
PasswordAuthentication no
ChallengeResponseAuthentication no

Dette var med OpenSSH 2.5 på Linux; har ikke testet, om 2.9 er blevet
mere logisk på dette punkt.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Christian Bruhn Gufler wrote:

> Hej NG.
>
> Jeg kunne godt tænke mig at sætte sshd op, således at man SKAL have en
> gyldig RSA/DSA nøgle, for at logge ind.
> (Således at man ikke bare bagefter kan taste sit user-password ind og
> vupti)
>
> Hvorledes gøres dette, jeg kører FreeBSD 4.3 ?

ssh kan være en plage at sætte op...

Jeg er ikke helt klar over, om det du ønsker, er helt at slippe for
passwords eller at brugeren /både/ skal have password og nøgler. Den
opsætning, jeg kører med, giver mulighed for at brugerne kan logge
ind uden password.

Jeg tror ikke, at det kan lade sig gøre at kræve begge ting: Brugerne
kan, så vidt jeg kan se, selv sætte sig op til at logge ind uden
password uafhængigt af, hvad der står i system konfigurationsfilerne,
men det kan være, at der er nogen, der ved bedre.

/Hvis/ du vil have en opsætning som min, skal du gøre flg.:

I sshd_config filen, skal du sætte RSAAuthentication til yes og
PasswordAuthentication til no i sshd_config filen. I ssh_config filen
sørger du for at der står:

Host *
ForwardX11 yes
Protocol 2,1

Resten skal være udkommenteret.

Hvis du får problemer, er det en god ting, at køre ssh/sshd i debug mode.
Så har du en chance for at følge med i, hvad der sker. sshd starter du i
debug mode med -d optionen. ssh med -v optionen. Husk at sshd i debug
mode terminerer efter hvert connection forsøg.

-Claus

---

Jeg skrev:

> I sshd_config filen, skal du sætte RSAAuthentication til yes og
> PasswordAuthentication til no i sshd_config filen. ..................

Sludder !

PasswordAuthentication skal naturligvis sættes til yes, hvis du vil
have begge dele (som jeg har), selvom jeg ikke tror, at det virker.

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> wrote:
>> Jeg kunne godt tænke mig at sætte sshd op, således at man SKAL have en
>> gyldig RSA/DSA nøgle, for at logge ind.
>> (Således at man ikke bare bagefter kan taste sit user-password ind og
>> vupti)
>>
>> Hvorledes gøres dette, jeg kører FreeBSD 4.3 ?
>
> ssh kan være en plage at sætte op...

Virkelig? Det har jeg aldrig oplevet. Hvordan har du oplevet at det er en
plage? (Jeg har mest brugt OpenSSH).

Hvis du keder dig kan du laese en artikel om ssh som jeg (aldrig) har
skrevet (faerdig):

http://a.area51.dk/ssh

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Claus Rasmussen <clr@cc-consult.dk> wrote:
>
>> ssh kan være en plage at sætte op...
>
> Virkelig? Det har jeg aldrig oplevet. Hvordan har du oplevet at det er en
> plage? (Jeg har mest brugt OpenSSH).

Jeg bruger også OpenSSH (som er fremragende).

Mine ærgelser med ssh stammer nok især fra dengang, den ikke var inkluderet
i RedHat, og man derfor selv skulle installere den (sammen med openssl). Der
var bla. en bug, der gjorde, at man havnede med systemets default PATH i
stedet for sin egen, når man loggede ind på en anden maskine.

Senere har jeg bøvlet med at få ssh til ikke at bruge password mod nogle
bestemte maskiner samtidigt med, at den skulle bruge password mod nogle
andre.

Sidst var problemet, at jeg som en bestemt bruger kunne logge ind uden
password fra den ene af mine maskiner til den anden - men ikke den anden
vej rundt. Det var specielt underligt, da hjemmekataloget på var nfs
mountet og systemet konfigurationsfiler var ens på de to maskiner...

Dokumentationen er ganske vist omfattende, men ærlig talt lidt svær at
finde rundt i, når man første gang skal rode med tingene.

-Claus


> Hvis du keder dig kan du laese en artikel om ssh som jeg (aldrig) har
> skrevet (faerdig):
>
> http://a.area51.dk/ssh

Har ikke lige tid nu (roder med RedHat 7.2 og X opfører sig underligt),
men den er bookmark'et til senere fornøjelse

-Claus

---

Det jeg ønsker er :

En opsætning hvor man SKAL have en gyldig RSA nøgle , og hvor man altså ikke
bare får valgmuligheden at taste et password ind såfremt man ikke besidder
en gyldig nøgle.

Subsidiært må der godt være 'dobbelt check' således at man også skal kunne
brugerkontoens password selvom man har en gyldig nøgle - men dette er ikke
så vigtigt idet jeg vurderer at det er nok med en gyldig nøgle.

Med venlig hilsen
Christian Bruhn Gufler

---

Christian Bruhn Gufler wrote:
> Det jeg ønsker er :
>
> En opsætning hvor man SKAL have en gyldig RSA nøgle , og hvor man altså ikke
> bare får valgmuligheden at taste et password ind såfremt man ikke besidder
> en gyldig nøgle.

Uhm...

sshd_config:

PermitRootLogin no
IgnoreRhosts yes
RhostsAuthentication no
RhostsRSAAuthentication no
HostbasedAuthentication no
RSAAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no

Tillader kun RSA-nøgler.

-- Ole

---

Tak for hjælpen.

MVH
Christian Gufler

"Ole Michaelsen" <omic+usenet3@fys.ku.dk> wrote in message
news:slrn9td54d.gt.omic+usenet3@goddard.intra.orange.dk...
> Christian Bruhn Gufler wrote:
> > Det jeg ønsker er :
> >
> > En opsætning hvor man SKAL have en gyldig RSA nøgle , og hvor man altså
ikke
> > bare får valgmuligheden at taste et password ind såfremt man ikke
besidder
> > en gyldig nøgle.
>
> Uhm...
>
> sshd_config:
>
> PermitRootLogin no
> IgnoreRhosts yes
> RhostsAuthentication no
> RhostsRSAAuthentication no
> HostbasedAuthentication no
> RSAAuthentication yes
> PasswordAuthentication no
> PermitEmptyPasswords no
>
> Tillader kun RSA-nøgler.
>
> -- Ole

---

On Wed, 24 Oct 2001 12:01:48 +0200, Christian Bruhn Gufler wrote:

> Nej, dette forhindrer bare at der acceptereres clear text passwords.

Er du sikker? (Er det ikke en selvmodsigelse for noget der hedder
"secure" at godtage kodeord i klar tekst?)

Fra man sshd:

PasswordAuthentication

Specifies whether password authentication is allowed.
The de­ fault is ``yes''. Note that this option applies
to both protocol versions 1 and 2.

Forsøg:

virgil$ grep PasswordAuthentication /etc/ssh/sshd_config
PasswordAuthentication no
virgil$ ssh ask.diku.dk
asjo@ask.diku.dk's password:
Last login: Mon Oct 15 21:00:22 2001 from ip248.boanxx2.adsl.tele.dk
ask 1 > ssh virgil.dyndns.dk
Warning: Permanently added the RSA host key for IP address '193.89.190.190' to the list of known hosts.
Permission denied (publickey).

Lad os prøve at sætte det til yes, og se hvad der så sker:

virgil$ grep PasswordAuthentication /etc/ssh/sshd_config
PasswordAuthentication yes
virgil$ ssh ask.diku.dk
asjo@ask.diku.dk's password:
Last login: Wed Oct 24 20:16:25 2001 from ip316.boanxx2.adsl.tele.dk
ask 1 > ssh virgil.dyndns.dk
asjo@virgil.dyndns.dk's password:
Last login: Wed Oct 24 18:18:19 2001 from napoli on pts/0
Linux virgil 2.4.12 #1 Sun Oct 21 17:10:43 CEST 2001 i686 unknown

Most of the programs included with the Debian GNU/Linux system are
freely redistributable; the exact distribution terms for each program
are described in the individual files in /usr/share/doc/*/copyright

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
No mail.
virgil$ logout
Connection to virgil.dyndns.dk closed.
ask 2 > exit
logout
Connection to ask.diku.dk closed.
virgil$

Konklusion: det _er_ PasswordAuthentication der afgører om man kan
logge ind med kodeord.

Du har muligvis misforstået en kommentar i sshd_config der lyder:

# To disable tunneled clear text passwords, change to no here!

"tunneled" er det vigtige ord at bemærke der.


Mvh.

--
"It's gonna be one of those underground pictures, right?" Adam Sjøgren
"No. It's gonna be all straight. On the up and up." asjo@koldfront.dk

---

On Wed, 24 Oct 2001 23:19:02 +0200, Troels Arvin wrote:

>> Vildt gæt: Sæt "PasswordAuthentication no" i din sshd_config?

> Ja, det skulle man tro.

> Jeg har dog erfaret, at det ikke var nok, og at man må benytte begge
> følgende: PasswordAuthentication no ChallengeResponseAuthentication
> no

Ahh, den har jeg også stående til "no".


Mvh.

--
"Well, I'm a moon around you" Adam Sjøgren
asjo@koldfront.dk