SSH+haslo+klucz

Marek Guevara Braun marek.guevara w atm.com.pl
Pią, 10 Lut 2006, 16:10:13 CET


Grzegorz Szymański wrote:

> Czy istnieje mozliwosc skonfigurowania tak ssh aby po wpisaniu loginu i
> hasla on domagal sie jeszcze klucza??  Chodzi mi o to, zeby nie mozna
> bylo sie zalogowac, jezeli jednaj z tych trzech rzeczy bedzie brakowalo.

Nie można - openssh w pierwszej kolejności sprawdza klucz, potem dopiero
hasła.

Co możesz zrobić to trzymać klucz w postaci zaszyfrowanej, chronionej
hasłem - wtedy przy każdej próbie jego użycia (o ile nie załadowałeś go
do ssh-agent) klient ssh zapyta się o lokalne hasło do odszyfrowania
klucza  - jeśli hasło klucza będzie się zgadzało, klient ssh spróbuje
zalogować się przy pomocy tego klucza.

Jeśli logowanie przy pomocy klucza się nie udało openssh próbuje
zalogować się przy pomocy hasła (wewnętrzna implementacja w openssh)
i znowu hasła (tym razem implementacja via PAM - tu można wykorzystać
np. hasła jednorazowe, sprawdzanie godziny logowania i inne tego rodzaju
bajerki, ale już w ramach PAM nie masz możliwości użycia klucza
RSA/DSA).

Tak jest w naszej domyślnej konfiguracji - oczywiście poszczególne
metody można deaktywować i aktywować inne -> man sshd_config.

Pozdrawiam,
Marek

PS. Trudniejszą odpowiedzią mogło by być - oczywiście że się da
- masz przecież wersję źródłową serwera.


Więcej informacji o liście dyskusyjnej pld-users-pl