Accounts einrichten - workflow gesucht

[reox]

Hi!

Ich musste auf einem Server jetzt einige Accounts einrichten. Da mir das demnächst mal wieder blüht, wollte ich mir gerne einen Workflow zurechtlegen, der mir das ein wenig vereinfacht.

Die Anforderung an den Account sind:
* Zugriff über ssh-key
* sudo mit Passwort

Code: Alles auswählen

# Hier setze ich ein random pw, welches ich dann per mail zusende
adduser username
chage -d0 username
mkdir /home/username/.ssh
cp pubkey /home/username/.ssh/authorized_keys
chmod 700 /home/username/.ssh
chmod 600 /home/username/.ssh/authorized_keys
chown -R username.username /home/username/.ssh

soweit so gut. Was mich aber stört ist, dass ich immer noch ein passwort setzen muss. Idealerweise setzt der User das PW nach dem ersten einloggen selber - ohne ein PW vorher zu kennen. (Login mit PW ist über ssh eh abgedreht, er muss den key verwenden)
Ich hab schon ein wenig gesucht, aber finde leider keine Möglichkeit, dass der User kein PW hat und es ändern kann, ohne root dabei zu sein.
Ich hatte auch schon überlegt die ssh-keys für sudo zu verwenden und die passwörter ganz abzudrehen...

Ich glaube es gibt eine PAM regel, welche erlaubt, dass der User das PW ändern darf ohne es vorher einzugeben. Nur das sollte man ja eher nicht abdrehen, da dann jeder sein pw ändern könnte. (wobei es hat eh jeder sudo, dH das kann so oder so passieren...) Problematisch wäre das nur für den Fall dass jemand sein SSH Key verloren geht.

[heisenberg]

Zur Zugangswiederherstellung ist ein Passwort ja durchaus geeignet. Deswegen wäre die Frage, ob man den SSH-Login via Passwort nicht vielleicht doch zulaesst. Zusaetzlich sind Key + Passwort ja normalerweise wahrscheinlich ohnehin getrennt gespeichert. Der Key liegt idR in irgendeiner Datei auf der Platte. Das Passwort liegt im E-Mailspeicher irgendwo anderst auf der Platte. Wenn Windows-Nutzer nicht gezwungen werden, dann wuerden die wahrscheinlich das Passwort direkt zum Login verwenden, da das mit den Schluesseln in der Einrichtung leicht aufwaendiger ist.

Zusätzliche Massnahmen erhöhen die Sicherheit so, dass ein Passwortlogin per ssh auch kein Sicherheitsrisiko ist.

• Passwortänderung beim 1. Login erzwingen
• SSH auf hohen Port setzen
• Hohe geforderte Passwortkomplexität konfigurieren
• Fail2Ban mit restriktiven Einstellungen einrichten.

[MSfree]

• Passwortänderung beim 1. Login erzwingen
• SSH auf hohen Port setzen
• Hohe geforderte Passwortkomplexität konfigurieren
• Fail2Ban mit restriktiven Einstellungen einrichten.

Man kann die Passwortauthetifizierung auch auf einen Netzwerkbereich beschränken, z.B. auf das eigene LAN

Mit einem Eintrag in der /etc/ssh/sshd_config auf dem Server in der Form:

Code: Alles auswählen

Match Address 192.168.1.0/24
    PasswordAuthentication yes

Ist nur von IP-Adressen aus dem Bereich 192.168.1.1 bis 192.168.1.254 ein Login mit Passwort möglich, sonst geht es nur mit Schlüsseln.

[reox]

Hi!
Also das ist mir schon alles klar mit chage -d0 <user> wird die änderung erzwungen, der server ist nur aus einem internen netzwerk erreichbar und fail2ban ist auch installiert.
Das einzige Problem was bleibt ist, wie ich das PW für den User sinnvoll übertragen kann. Oder würdet ihr einfach das initale PW in der Mail schreiben? Es ist leider nicht bei jeder Person möglich das PW mit gpg zu verschlüsseln (das wäre natürlich ideal)

[DeletedUserReAsG]

Mach’s doch andersrum: jeder User erstellt ein Schlüsselpaar und schickt dir den Pubkey per Mail. Der muss nicht sonderlich gesichert werden. Das Passwort für den sudo-Kram kann man dann ja mit etwa pwgen erzeugen und eine Kopie in einer Textdatei im ~ des Users hinterlegen (so, dass andere User sie nicht öffnen können und sshd so konfiguriert, dass Login via PW nicht möglich ist). Dann kann der User sich via ssh mit Schlüssel einloggen und mit dem hinterlegten Passwort ein Neues erstellen, das dann nur er kennt.

[heisenberg]

Na, auch wenn es hier zunächst nicht schlimm erscheint, finde ich das rumliegen lassen von Passworten im Klartext auf der Platte nicht gut. Das würde sich auch mit der Massnahme "beim 1. Login PW ändern beissen. Wenn der User sein PW ändern muss, kann er nicht mehr auf der Platte nach seinem PW schauen. Grundsätzlich kann man die Idee bestimmt irgendwie sinnvoll anwenden.-

Eine Idee, die tatsächlich nutzbar ist, ist, dass man den öffentlichen SSH-Schlüssel zur Verschlüsselung verwendet - Der Empfänger kann die Nachricht dann mit seinem privaten SSH-Schlüssel entschlüsseln.

http://krisjordan.com/essays/encrypting ... -key-pairs

[reox]

Eine Idee, die tatsächlich nutzbar ist, ist, dass man den öffentlichen SSH-Schlüssel zur Verschlüsselung verwendet - Der Empfänger kann die Nachricht dann mit seinem privaten SSH-Schlüssel entschlüsseln.

http://krisjordan.com/essays/encrypting ... -key-pairs

Das klingt allerdings sehr gut. Den Pubkey bekomme ich sowieso immer vorher. Danke, daran hatte ich jetzt gar nicht gedacht