> authorized_keys fájl vagy a hozzá vezető teljes útvonal bármelyik
> tagjának tulajdonosát vagy jogait, akkor a StrictModes ellenőrzés
> kikapcsolásával nem veszítesz semmit a biztonságból. Ez a feature
Én is erre gondolok és ez tűnik a legkönnyebbnek.
Üdv:
Ruzsi
"Ruzsinszky Attila" <[EMAIL PROTECTED]> writes:
>> Be még nem enged, de nem is állítottam össze teljesen a modellt, csak
>> megnéztem, hogy mit mond a fentire.
>
> Aug 30 08:32:27 compaq sshd[10397]: debug1: temporarily_use_uid:
> 1005/100 (e=0/0)
> Aug 30 08:32:27 compaq sshd[10397]: debug1: tryi
"Ruzsinszky Attila" <[EMAIL PROTECTED]> writes:
>>> Kicsit részletesebben?
>>> Nem Netre tett gépekről van szó.
>>
>> Te tudod... De SSH-t (secure shell) konfigolsz éppen.
>
> Én nem tudom éppen. Ezért kérdezem.
Ha nincs senki, aki elrontsa bármelyik (akár nem admin!)
authorized_keys fájl vagy a
Jó, a mellékelt listából melyiknek nem jó a joga?
Az admin 770-je nem tetszik az ssh-nak.
Ha viszont megcsinálom neki amit akar a 700-at,
akkor hogy lesz belépés? Látok pici ellentmondást.
Kezdek beerdőzni, de a lényeg, hogy nem megy.
Üdv:
Ruzsi
_
Ruzsinszky Attila írta:
> Tehát akkor:
>
> A log-ból a kivonat a nem megfelelő működésről:
> ...
> Aug 31 20:09:21 compaq sshd[13412]: debug1: temporarily_use_uid:
> 1005/100 (e=0/0)
> Aug 31 20:09:21 compaq sshd[13412]: debug1: trying public key file
> /home/admin/user1/.ssh/authorized_keys2
> Au
Tehát akkor:
A log-ból a kivonat a nem megfelelő működésről:
...
Aug 31 20:09:21 compaq sshd[13412]: debug1: temporarily_use_uid:
1005/100 (e=0/0)
Aug 31 20:09:21 compaq sshd[13412]: debug1: trying public key file
/home/admin/user1/.ssh/authorized_keys2
Aug 31 20:09:21 compaq sshd[13412]: debug3:
> Ok, tök nem azt küldted.
De azt, amit kértél, csak azóta már iktattam a teszt usereket és próbálkoztam
tovább.
Még egyszer nekifutok, de szerintem nem kéne mennie, mert a $HOME-ot IS
ellenőrizni fogja, amin nem tudok változtatni, ill. igen, de akkor nincs belépés
a home-ba.
Üdv:
Ruzsi
_
Ruzsinszky Attila írta:
>> ls -la /home/admin
>
> [EMAIL PROTECTED]:~> ls -la /home/admin
> összesen 61
> drwxrwx--- 9 admin users 584 2008-08-30 08:24 .
> drwxr-xr-x 7 root root 168 2008-08-29 19:05 ..
> ...
> drwx--x--- 2 admin users 80 2008-08-29 19:16 .ssh
> ...
>
Ok, tök nem azt kü
> ls -la /home/admin
[EMAIL PROTECTED]:~> ls -la /home/admin
összesen 61
drwxrwx--- 9 admin users 584 2008-08-30 08:24 .
drwxr-xr-x 7 root root 168 2008-08-29 19:05 ..
...
drwx--x--- 2 admin users 80 2008-08-29 19:16 .ssh
...
Üdv:
Ruzsi
_
l
Ruzsinszky Attila írta:
>> /home/admin - olvasható a csoportnak, amiben az userek vannak.
> Így van.
>
>> /home/admin/usernév - és onnan lefelé _csak_ az adott user által legyen
>> olvasható. Ezt az az user, aki épp be akar lépni, fogja tudni olvasni,
> Ez is így van.
>
>> az ssh meg root joggal
> /home/admin - olvasható a csoportnak, amiben az userek vannak.
Így van.
> /home/admin/usernév - és onnan lefelé _csak_ az adott user által legyen
> olvasható. Ezt az az user, aki épp be akar lépni, fogja tudni olvasni,
Ez is így van.
> az ssh meg root joggal végképp.
> Innentől nem értem, mit n
Ruzsinszky Attila írta:
>> Valamit elrontasz, a /home/user általában group readable, és azért nem
> Nem lehetetlen!
>
>> A home-on belül a userX jogai mik? Hát a .ssh jogai azon belül?
>> A group jogokat (meg a world-öt) szedd le azokról rekurzíve.
> Ha leszedem, hogy fogja olvasni az ssh?
> Ja és
> Valamit elrontasz, a /home/user általában group readable, és azért nem
Nem lehetetlen!
> A home-on belül a userX jogai mik? Hát a .ssh jogai azon belül?
> A group jogokat (meg a world-öt) szedd le azokról rekurzíve.
Ha leszedem, hogy fogja olvasni az ssh?
Ja és ha még olvassa, user hogy fog belé
Ruzsinszky Attila írta:
>> Be még nem enged, de nem is állítottam össze teljesen a modellt, csak
>> megnéztem, hogy mit mond a fentire.
> Ez így se megy!
>
> Aug 30 08:32:27 compaq sshd[10397]: debug1: temporarily_use_uid:
> 1005/100 (e=0/0)
> Aug 30 08:32:27 compaq sshd[10397]: debug1: trying pub
Ruzsinszky Attila írta:
>>> No akkor:
>>> Külön .ssh-kat mondasz minden usernek? Kb. így:
>>> .ssh.%u/authorized_keys2
>> Ez kb. sem úgy van.
> Hanem?
>
> /%h/%u/.ssh/authorized_keys2 eredménye:
> //home/admin/user1/.ssh/authorized_keys2-ben keresgél a debug szerint.
>
> Be még nem enged, de nem
> Be még nem enged, de nem is állítottam össze teljesen a modellt, csak
> megnéztem, hogy mit mond a fentire.
Ez így se megy!
Aug 30 08:32:27 compaq sshd[10397]: debug1: temporarily_use_uid:
1005/100 (e=0/0)
Aug 30 08:32:27 compaq sshd[10397]: debug1: trying public key file
//home/admin/user1/.ssh
>> No akkor:
>> Külön .ssh-kat mondasz minden usernek? Kb. így:
>> .ssh.%u/authorized_keys2
>
> Ez kb. sem úgy van.
Hanem?
/%h/%u/.ssh/authorized_keys2 eredménye:
//home/admin/user1/.ssh/authorized_keys2-ben keresgél a debug szerint.
Be még nem enged, de nem is állítottam össze teljesen a modellt
Ruzsinszky Attila írta:
>> AuthorizedKeysFile .ssh/%u.authorized_keys2
>>
>> Kb. ez volt az utolsó, variáció, amit írál
> OK, nem írtam le az összes selejt verzióm.
>
> Tehát: "%h/.ssh/%u.authorized_keys2" volt, aminél
> pluszban hozzátette a fenti elé a teljes home-ot.
>
>> Egyik sem az, amit ja
> AuthorizedKeysFile .ssh/%u.authorized_keys2
>
> Kb. ez volt az utolsó, variáció, amit írál
OK, nem írtam le az összes selejt verzióm.
Tehát: "%h/.ssh/%u.authorized_keys2" volt, aminél
pluszban hozzátette a fenti elé a teljes home-ot.
> Egyik sem az, amit javasoltam, és egyiknél sem valósítható
Ruzsinszky Attila írta:
>> AuthorizedKeysFile %h/%u/.ssh/authorized_keys
> Kb. ezzel nyitottam, amiből dupla /home/user lett ...
AuthorizedKeysFile .ssh/%u.authorized_keys2
Kb. ez volt az utolsó, variáció, amit írál
AuthorizedKeysFile ".ssh/authorized_keys2.%u"
ez meg az első.
Egyik sem az
> AuthorizedKeysFile %h/%u/.ssh/authorized_keys
Kb. ezzel nyitottam, amiből dupla /home/user lett ...
Üdv:
Ruzsi
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Ruzsinszky Attila írta:
>> alias ssh="ssh -i $USER.identity"
> Szerver oldalon van baj, nem kliensen.
Ok, előbb írtam, és utána olvastam végig a threadet.
Én inkább a
AuthorizedKeysFile %h/%u/.ssh/authorized_keys
verziót csinálnám meg, így a %u-tól be lehetne állítani már, hogy 700-as
jog l
> alias ssh="ssh -i $USER.identity"
Szerver oldalon van baj, nem kliensen.
Üdv:
Ruzsi
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Ruzsinszky Attila írta:
> Sziasztok!
>
> Van pár user, akinek van egy admin nevű home-ja.
> Csoportjuk users.
>
> Feltöltöttem a privát kulcsokat a /home/admin/.ssh/authorized_keys2
> fájlba soronként.
>
> A usernevek nem admin-ok, természetesen.
>
> Vannak kétségeim, hogy így lehet "kulcsolni"
>> Kicsit részletesebben?
>> Nem Netre tett gépekről van szó.
>
> Te tudod... De SSH-t (secure shell) konfigolsz éppen.
Én nem tudom éppen. Ezért kérdezem.
Üdv:
Ruzsi
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/ma
"Ruzsinszky Attila" <[EMAIL PROTECTED]> writes:
>> A StrictModes no szerintem elég gáz.
>
> Kicsit részletesebben?
> Nem Netre tett gépekről van szó.
Te tudod... De SSH-t (secure shell) konfigolsz éppen.
--
Feri.
>>> AuthorizedKeysFile .ssh/%u.authorized_keys2
>>
>> Ez akkor már fölösleges, mehet mindenki kulcsa egy fájlba.
> OK. Teszek egy próbát, mert nekem nem ment, de lehet, hogy
> a jogokkal is kavartam ugyanakkor.
Újra nekifutottam és tényleg megy. Tehát a mostani felállásban
elég a StrictModes-t no-r
> StrictModes no
Elírtam, mert a konfigban csak #-et kellett kivenni.
>> AuthorizedKeysFile .ssh/%u.authorized_keys2
>
> Ez akkor már fölösleges, mehet mindenki kulcsa egy fájlba.
OK. Teszek egy próbát, mert nekem nem ment, de lehet, hogy
a jogokkal is kavartam ugyanakkor.
> A StrictModes no szer
"Ruzsinszky Attila" <[EMAIL PROTECTED]> writes:
>>> Akkor ezek szerint semmi értelme a userek pub kulcsainak egy fájlba
>>> rakásának?
>>
>> StrictModes=yes esetén semmi.
> :-(
>
>>> Vagy így kell:
>>> AuthorizedKeysFile ".ssh/authorized_keys2.%u" ?
>>> És ebben csak 1 pub kulcs.
>>
>> Mindeg
>> Akkor ezek szerint semmi értelme a userek pub kulcsainak egy fájlba
>> rakásának?
>
> StrictModes=yes esetén semmi.
:-(
>> Vagy így kell:
>> AuthorizedKeysFile ".ssh/authorized_keys2.%u" ?
>> És ebben csak 1 pub kulcs.
>
> Mindegyikben annyi, amennyit a T. user óhajt.
Hmmm...
Felállította
"Ruzsinszky Attila" <[EMAIL PROTECTED]> writes:
>> Defaultból mind a $HOME, mind a $HOME/.ssh csak a tulaj számára lehet írható.
>
> Akkor ezek szerint semmi értelme a userek pub kulcsainak egy fájlba rakásának?
StrictModes=yes esetén semmi.
>>authenticated and %u is replaced by the username
> Defaultból mind a $HOME, mind a $HOME/.ssh csak a tulaj számára lehet írható.
Akkor ezek szerint semmi értelme a userek pub kulcsainak egy fájlba rakásának?
>authenticated and %u is replaced by the username of that user.
Akkor nekem ez kell?
A közös home-ban legyen n db. authorized_keys2? É
> Az UID-jük is különbözik? Így néz ki a /etc/passwd:
> jozsi:x:34595:1001:Jozsi:/home/admin:/bin/bash
> geza:x:34596:1002:Geza:/home/admin:/bin/bash
Ilyen formában.
Üdv:
Ruzsi
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.l
"Ruzsinszky Attila" <[EMAIL PROTECTED]> writes:
> Van pár user, akinek van egy admin nevű home-ja.
> Csoportjuk users.
>
> Feltöltöttem a privát kulcsokat a /home/admin/.ssh/authorized_keys2
> fájlba soronként.
>
> A usernevek nem admin-ok, természetesen.
>
> Vannak kétségeim, hogy így lehet "kulc
On Fri, 29 Aug 2008, Ruzsinszky Attila wrote:
>> Ha "jozsi" néven jelentkezik be valaki (ssh [EMAIL PROTECTED]),
>> akkor az sshd a jozsi user home directory-ja alatt keresi
> A user a jozsi nevvel lep be és az /home/admin-ban landol.
> Akkor az ottani .ssh-dben kéne matatnia, nem? A cucc ott van.
> Ha "jozsi" néven jelentkezik be valaki (ssh [EMAIL PROTECTED]),
> akkor az sshd a jozsi user home directory-ja alatt keresi
A user a jozsi nevvel lep be és az /home/admin-ban landol.
Akkor az ottani .ssh-dben kéne matatnia, nem? A cucc ott van...
> De annak ajánlatos csak az adott user számára o
In article <[EMAIL PROTECTED]>,
"Ruzsinszky Attila" <[EMAIL PROTECTED]>
writes:
> Van p=E1r user, akinek van egy admin nev=FB home-ja.
> Csoportjuk users.
>
> Felt=F6lt=F6ttem a priv=E1t kulcsokat a /home/admin/.ssh/authorized_keys2
> f=E1jlba soronk=E9nt.
>
> A usernevek nem admin-ok,
> Feltöltöttem a privát kulcsokat a /home/admin/.ssh/authorized_keys2
Természetesen most is elrontottam a kulcsok nevét:
publikusat tettem fel és azok a problémásak, nem a privátok.
A privátokat mindenki önállóan tárolja a gépektől függetlenül.
Elnézést:
Ruzsi
_
Sziasztok!
Van pár user, akinek van egy admin nevű home-ja.
Csoportjuk users.
Feltöltöttem a privát kulcsokat a /home/admin/.ssh/authorized_keys2
fájlba soronként.
A usernevek nem admin-ok, természetesen.
Vannak kétségeim, hogy így lehet "kulcsolni"?
Van erre valami megoldás a mindenkinek külön
39 matches
Mail list logo
