OpenSSH 7.0 (diskuse)

"prohibit-password" je jen přejmenované "without-password" nebo se to něčím liší?

12.8.2015 16:55 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: OpenSSH 7.0

V TFA je odkaz na changelog, kde je tohle:

PermitRootLogin=without-password/prohibit-password now bans all interactive authentication methods, allowing only public-key, hostbased and GSSAPI authentication (previously it permitted keyboard-interactive and password-less authentication if those were enabled).

IMO z toho vyplývá, že je to totéž.

Quando omni flunkus moritati

12.8.2015 17:13 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Už to vidím v "New Features":

sshd_config(5): PermitRootLogin now accepts an argument of 'prohibit-password' as a less-ambiguous synonym of 'without-password'.

No, je pravda, že mi ten řádek "PermitRootLogin without-password" vždycky připadal trochu matoucí. :-)

To bude zas prdel, až automatický update OpenSSH na verzi 7.0 znemožní připojení. Tomuhle říkám "moudré" rozhodnutí..

multicult.fm | monokultura je zlo | welcome refugees!

12.8.2015 20:44 janko makovica
Rozbalit Rozbalit vše Re: OpenSSH 7.0

v Debiane o 6 rokov :-D

13.8.2015 20:29 R
Rozbalit Rozbalit vše Re: OpenSSH 7.0

V Debiane 8 tato zmena uz je - pri novej instalacii automaticky, pri upgrade sa to spyta.

14.8.2015 01:26 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Není, ssh-dss klíč mi to normálně vezme (jestli jsem dobře pochopil ten changelog).

Předpokládám že při upgrade na nové openssh to projde authorized_keys a zeptá se to.

12.8.2015 21:32 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Když někdo nerozlišuje update a upgrade…

13.8.2015 08:20 CLX-Kuba
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Sranda zacne az tam konecne bude:
PermitRootLogin=no :-D

a osobne to jen schvaluju, jelikoz kazdou chvili se resi ze nejakej trotl ma na serveru root heslo ,,Heslo123" :-/

13.8.2015 08:29 x
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Tohle je na OpenBSD automaticky už roky pokud člověk při instalaci vytvoří běžného uživatele.

13.8.2015 08:31 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0

A v čem konkrétně v takovém případě pomůže "no" oproti "prohibit-password"?

14.8.2015 14:37 pavelk
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Ze pokud mi bude odcizen klic k rootovi, tak 'no' me uchrani pred jeho zneuzitim. Zustane mi ale moznost prihlasit se pres normalniho uzivatele a su-cknout se.

14.8.2015 14:49 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Ve vašem případě bude muset útočník, který získá klíč (a heslo k němu, pochopitelně), jen počkat, až se přihlásíte a to su spustíte. Takové "zvýšení bezpečnosti" mi za zbytečné komplikace opravdu nestojí.

14.8.2015 14:50 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Oprava: ani nebude muset čekat. Zapomněl jsem, že se bavíme o speciálním případu, kdy je heslo roota tak slabé, že ho útočník uhodne. :-)

15.8.2015 01:35 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Docela by me zajimala ta situace kdy se utocnik dostane ke klici na roota a ke klici usera ne (zvlast kdyz to ma pod palcem jeden clovek a ~root/.ssh/authorized_keys == ~user/.ssh/authorized_keys)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

13.8.2015 14:38 Bill Gates
Rozbalit Rozbalit vše Re: OpenSSH 7.0

A v cem je to uzitecne pro ty kteri pouzivaji silna hesla a zakazat prihlaseni roota nepotrebuji? Jeden krok navic, ktery je nutno po instalaci provest? Ja tohle treba uz pravidelne musim nastavovat a takovych kroku je cim dal vic. Obcas nap*srani. To mi prijde jak kdyz jedno dite z milionu spadne a odre si koleno, tak v tu chvili vsechny deti musi odted nosit na kolenou chranice, i ty, ktere umi chodit normalne a bezne nepadaji jen kvuli tomu jednomu nemehlu.

13.8.2015 20:31 R
Rozbalit Rozbalit vše Re: OpenSSH 7.0

To je dobre heslo, pretoze splna aj poziadavky na zlozitost hesla vo Windows server :D