Ich möchte die Remote-Anmeldung mit Kennwort nicht vollständig deaktivieren, aber ich möchte es so gestalten, dass auf mein Konto nur mit Schlüsselpaarauthentifizierung zugegriffen werden kann (es gibt andere Benutzer, die Kennwörter zum Anmelden verwenden möchten). Ist es möglich, dies auf Benutzerbasis zu ändern, idealerweise ohne die Systemeinstellungen zu ändern?
Und um es klar zu machen, mein Konto hat Sudo-Zugriff, daher möchte ich das Passwort nicht sperren.
ssh
authentication
key-authentication
Phunehehe
quelle
quelle
Die Antwort von Jasonwryan wird der richtige Weg sein, um diese Änderung vorzunehmen. Die einzige Ergänzung, die ich machen würde, ist, dass Sie die Übereinstimmung so einstellen könnten, dass sie gruppenbasiert ist, sodass alle Benutzer in der Radgruppe die Schlüsselauthentifizierung verwenden müssen, während andere Kennwörter verwenden können.
Ich weiß, dass Sie dies tun möchten, ohne die Systemkonfigurationsdateien zu ändern, aber es gibt einen guten Grund, warum dies nicht möglich sein wird. In Ihrem Kopf ist es sinnvoll, dass Ihr Benutzer in der Lage sein sollte, eine sicherere Anmelderichtlinie einzuführen, aber nur weil es Ihrer Meinung nach eine sicherere Option ist, ändert dies nichts an der Tatsache, dass es sich immer noch um eine Änderung der Systemanmeldeanforderungen für handelt ein entfernter Benutzer.
Um zu verstehen, warum dies ein Problem ist, stellen Sie sich das Szenario umgekehrt vor. Der Systemadministrator (der die Systemkonfigurationsdateien ändern kann) setzt das System nur auf die schlüsselbasierte Anmeldung. Dann kommt ein Benutzer mit nur Zugriff auf seine eigene Benutzerdatei und legt sein Konto so fest, dass die Kennwortauthentifizierung möglich ist, wobei die Systemrichtlinie überschrieben wird. BEEEEEEP . Sicherheitsproblem!
Erklärt das, warum die Art der Änderung, die Sie vornehmen möchten, nur über die Systemkonfigurationsdatei möglich ist?
quelle
authorized_keys
, mehr Einschränkungen zuzulassen , wie es Phunehehe will. Beispielsweiseauthorized_keys
können bestimmte Schlüssel auf bestimmte Befehle beschränkt werden.Warum nicht auf der Clientseite, wenn es sicher ist, dass ssh der Client ist, der für Anmeldeversuche verwendet wird? Wenn ja, nehmen Sie Änderungen an ssh_config anstelle von sshd_config vor. Suchen Sie nach den Parametern 'PasswordAuthentication No' und PreferredAuthentications
quelle