sshd_config verhindern der passwordauthentifizierung

Starfriseur · Beitrag von **Starfriseur** » 08.12.2004 22:18:30

Hallo, ich habe das ssh Howto durchgelesen und eine Authentifizierung über öffentliche Schlüssel eingerichtet.
Nach erfolgreichem Test wollte ich in der sshd_config die Passwordauthentifikation auf no setzen.
Zu meiner Überraschung stand dort aber schon folgendes:
# disable password authentication
PasswordAuthentication no
Habe mich bisher aber immer mit einer Passwordabfrage einloggen können.

Ist dies nicht der richtige Schalter??
[[/code]

Beitrag von **KBDCALLS** » 08.12.2004 22:42:56

Den sshd auch neu gestartet ?

Starfriseur · Beitrag von **Starfriseur** » 08.12.2004 22:48:48

Ja n paar mal

McClane · Beitrag von **McClane** » 08.12.2004 22:56:49

Solang du nicht

Code: Alles auswählen

ChallengeResponseAuthentication no

machst, kannst du den sshd noch 1000 mal neu starten.

Starfriseur · Beitrag von **Starfriseur** » 08.12.2004 23:09:24

IIn der Tat. Das wars.
Dickes Danke

Starfriseur · Beitrag von **Starfriseur** » 09.12.2004 08:03:09

Ich hätte da noch eine Verständnisfrage:
Ich hab mit PuttyGen auf meinem Windowsrechner einen öffentlichen und privaten Schlüssel in DSA generieren lassen.Den öffentlichen Schlüssel habe ich in mein Homedirectory
auf meinem sargerechner kopiert.
Mir ist nicht ganz klar ob diese beiden Schlüssel nur der Authentifikation dienen oder auch
für die gesamten weitere Kanalverschlüsselung zuständig sind.
Auszug aus meiner sshd_config

Code: Alles auswählen

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys2

Denn der Pfad für die Hostkeys ist in dr Konfiguration angegeben und
RSAAuthentication auf yes gesetzt obwohl ja dsa schlüssel generiert wurden.
Also ist diese Stelle für das erzeugte dsa schlüsselpaar woh zuständig
PubkeyAuthentication yes
Demnach findet die Kanalverschlüsselung mit rsa Schlüsselpaaren statt, oder?

McClane · Beitrag von **McClane** » 09.12.2004 23:05:55

och, so genau weiß ich das gar nicht.
aber ssh ist eigentlich immer verschlüsselte kommunikation.
ein zweifelsfall kannst du es mit ngrep prüfen ob da was in klartext übers netz geht.

Beitrag von **KBDCALLS** » 10.12.2004 12:45:14

McClane hat geschrieben:Solang du nicht
Code: Alles auswählen
ChallengeResponseAuthentication no
machst, kannst du den sshd noch 1000 mal neu starten.

Diese Option ist aber neu ? Bzw. hat sich da was geändert ?

McClane · Beitrag von **McClane** » 11.12.2004 01:05:37

Nicht das ich wüßte. Irgendwo steht aber auch erklärt was die Option
PasswordAuthentication no
wirklich bedeutet.

Beitrag von **KBDCALLS** » 11.12.2004 09:55:13

Hab gerade mal ein bisschen gesucht , aber ne genauere Erklärung habe ich bislang auch nicht gefunden. das das unter Sicherheitsaspekten von Belang ist. Alledings btraf das Openssh bis 3.4. Also relativ alt.

Aber einen Vortrag vom Januar 2004 über die ssh habe ich gefunden.

http://www.lugbe.ch/action/reports/ssh-vortrag.pdf