Ankündigung

Einklappen
Keine Ankündigung bisher.

OpenSSH

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • OpenSSH

    Hallo, ich möchte auf meinem Server nur mit Key anmelden in sshd_config

    habe ich folgende Einstellungen geändert folgende Zeilen auf no gesetzt

    PasswordAuthentication no
    ChallengeResponseAuthentication no
    UsePAM no

    Ist das richtig??? das UsePAM auch auf "no" ist???


  • #2
    Man kann sowas auch testen:
    https://www.thomas-krenn.com/de/wiki...-Konfiguration
    oder infos aus anderen Foren hohlen:
    https://forum.ubuntuusers.de/topic/s...cation:-rolle/
    aber das wirst Du ja wohl gemacht haben.

    Kommentar


    • #3
      In Foren wo ich gesucht habe steht ímmer "PasswordAuthentication no" und "ChallengeResponseAuthentication no" über UsePAM wird nichts gesagt. Ich weiß nicht ob ich UsePAM auf no oder yes speichern soll.
      Ich habe verstanden das UsePAM nur für Passwortanmeldung gültig ist und irgendwo stand das UsePAM auch ein Sicherheitsrisiko mit sich bringt. Ich weiß nicht was richtig ist.

      Kommentar


      • #4
        Schön "in den Foren in denen Du" ....
        dann such Ich dir ebenn mal die Zitate aus den Beiträgen:

        Achtung: Nach Änderung der folgenden Einstellung, ist es nicht mehr möglich, sich mit einem Passwort über ssh anzumelden:

        Code:
        PasswordAuthentication no.
        Im oben genannten Beispiel wurde der Dialog zum Eingeben des Schlüssel-Passworts abgebrochen. Da das Anmelden via Passwort deaktiviert wurde, war die Anmeldung am System nicht möglich.
        ChallengeResponseAuthentication ist dabei (so wie ich das verstanden habe) sozusagen die Oberklasse und kann verschiedene Authentifizierungsmethoden beinhalten, die in den sshd eingesetzt werden. (Z.B. auch ein One-Time-Pad oder sowas.) PAM ist eines dieser Subsysteme, das eben auf das PAM-System zurückgreift.

        Kommentar


        • #5
          Hallo,

          auch die Erklärung von tomBuilder bezüglich PAM finde ich etwas bedürftig. Also, mal kurz zur Aufklärung in eigenen Worten:
          PAM ist eine Authentifizierungs-API, damit man nicht 20 verschiedene Login Systeme für die ganzen Linux Anwendungen hat. PAM kann sich gegen verschiedene Authentifizierungensverfahren anmelden, darunter unter anderem LDAP, UNIX Benutzer, etc..
          Demnach ist PAM per se keine Sicherheitslücke. Es kann jedoch sein, dass die verschiedenen PAM Anbindungen, da gibt es ja weit über 100 Sicherheitslücken aufweisen können, weil die unter Umständen schlampig umgesetzt wurden.

          Wenn du also kein Firmennetzwerk mit zig Benutzern betreibst, dann brauchst du eig kein PAM, also kannst ruhig auf No setzen und das Standardverfahren der UNIX Benutzer nehmen.


          MFG

          ​​​​​​​derwunner

          Kommentar


          • #6
            pam kann wesentlich mehr und ich sehe keinen Grund es zu deaktivieren.
            wenig software ist per se eine sicherheitslücke, sogar wordpress hat dieses manko nicht mehr.

            Kommentar


            • #7
              Zitat von tomBuilder Beitrag anzeigen
              pam kann wesentlich mehr und ich sehe keinen Grund es zu deaktivieren.
              wenig software ist per se eine sicherheitslücke, sogar wordpress hat dieses manko nicht mehr.
              Ich denke du meintest, dass wenig Software per se keine Sicherheitslücke ist. Aber über Wordpress brauchen wir hier jetzt gar nicht zu reden. Das ist in allen Hinsichten der letzte Rotz. Klar, es hat einen großen Marktanteil, aber auch nur, weil es für den Benutzer bequem ist, nicht weil es so gut gemacht ist.

              Kommentar


              • #8
                nein, das war keine typo,
                wenig software ist per se eine einzige grosse und klaffende sicherheitslücke.
                produkte aus redmond sind allerdings kandidaten.

                Kommentar


                • #9
                  Zitat von tomBuilder Beitrag anzeigen
                  nein, das war keine typo,
                  wenig software ist per se eine einzige grosse und klaffende sicherheitslücke.
                  produkte aus redmond sind allerdings kandidaten.
                  Warum weniger sind doch weniger Einfallstore. Ok, klar, wer sicherheitsrelevante Software, wie Firewall oder Antivirus weg lässt, ist selber Schuld. Aber ich bin schon der Meinung, dass weniger Software für weniger Einfallstore sorgt, denn "je größer eine Software, desto mehr Angriffsvektoren" (aus dem Buch Cyberwar, ich denke ein Professor von einer freien Technischen Universität weiß das bisschen besser als du).

                  Software aus Redmond (manche nennen es auch Microsoft) muss nicht ein Kandidat für Unsicherheit sein. Ich habe schon viele unsichere openSource Projekte gesehen, Wordpress ist eines davon...
                  Unsicherheit in Software hängt meistens mit der Größe des Chaos im Code zusammen, je größer das Chaos, desto mehr Unsicherheit. Das muss man selbstkritisch fairerweise auch mal zugeben...

                  Kommentar


                  • #10
                    nicht weniger, wenig.
                    also nochmal:
                    es gibt wenig software welche so schlecht ist, dass der sinn des produktes eine einzige sicherlücke zu sein scheint.
                    oder anders:
                    wenige produkte sind so miserabel geplant oder durchgeführt, dass ein fixen von sicherheitslöcher wenig bis überhaupt keinen sinn macht.

                    Kommentar

                    Lädt...
                    X