Melden Sie sich in sshd_config an

12

Ich habe meine sshd_config-Datei durchgesehen und Folgendes gefunden:

#Uselogin no

Ich weiß, dass es kommentiert ist, aber es gibt keine Erklärung darüber und wenn ich es google, bekomme ich Folgendes:

Verwenden Sie nicht den herkömmlichen Anmeldedienst (1), um Benutzer anzumelden. Da wir die Privilegientrennung verwenden, wird der Login (1) -Dienst deaktiviert, sobald sich der Benutzer anmeldet.

ODER

Gibt an, ob login (1) für interaktive Anmeldesitzungen verwendet wird. Der Standardwert ist "nein". Beachten Sie, dass login (1) niemals für die Ausführung von Remote-Befehlen verwendet wird. Beachten Sie auch, dass X11Forwarding deaktiviert wird, wenn dies aktiviert ist, da login (1) nicht weiß, wie xauth (1) -Cookies behandelt werden. Wenn UsePrivilegeSeparation angegeben ist, wird es nach der Authentifizierung deaktiviert.

Soweit noich weiß, verhindern Sie , dass ssh "traditionelles Login" verwendet, aber ich kann nichts über "traditionelles" Login finden.

Könnte jemand erklären, was es tut?

Atrotoren
quelle

Antworten:

15

Ok, wir brauchen hier eine Geschichte, in den Tagen, als der primäre Weg, auf eine UNIX-Box zuzugreifen, ein Terminal und eine serielle Leitung war, waren vier Programme an der Anmeldung beteiligt. Sie waren init, getty, login und eine Shell. init startete getty und ließ es laufen. getty öffnete eine serielle Schnittstelle (und machte möglicherweise Modem-spezifische Sachen), zeigte dann die Anmeldeaufforderung an und wartete auf die Eingabe eines Benutzernamens. Wenn ein Benutzername eingegeben wurde, führte getty ran login mit dem Benutzernamen aus und login forderte dann zur Eingabe des Kennworts auf. Führen Sie Account-Aufgaben aus und führen Sie die Shell aus. Zu diesem Zeitpunkt konnten Sie das System verwenden. Dies wird immer noch in Rechenzentren, virtuellen Maschinen und vielen anderen Orten verwendet.

Als nächstes kam Telnet. Telnet benutzte keinen seriellen Port, daher änderten sich die Dinge etwas. init würde zusätzlich zu getty auch telnetd starten (oder inetd, was telnetd starten würde). telnetd würde den Benutzernamen erhalten und dann login ausführen, und von dort aus würde alles ziemlich gleich laufen.

Jetzt kommt Secure Shell. Jetzt können Sie sich mit Secure Shell ohne Kennwort anmelden (mithilfe eines Schlüssels oder je nach Version von GSS). Es gab also einige Möglichkeiten, Dinge genau wie Telnet zu erledigen und die netten Funktionen nicht zu verwenden, oder Sie können sshd damit umgehen lassen Sie müssen sich anmelden und die Shell starten, mit der Sie alle möglichen coolen Dinge erledigen können. Sofern Sie keine benutzerdefinierte Anmeldeversion haben, empfehle ich, dass Sie sshd für die Anmeldungen zulassen. (Und wenn Sie pam haben, gibt es nicht mehr viele Gründe, sich individuell anzumelden.)

hildred
quelle