Ruzsinszky Attila [EMAIL PROTECTED] writes:
Kicsit részletesebben?
Nem Netre tett gépekről van szó.
Te tudod... De SSH-t (secure shell) konfigolsz éppen.
Én nem tudom éppen. Ezért kérdezem.
Ha nincs senki, aki elrontsa bármelyik (akár nem admin!)
authorized_keys fájl vagy a hozzá vezető
Ruzsinszky Attila [EMAIL PROTECTED] writes:
Be még nem enged, de nem is állítottam össze teljesen a modellt, csak
megnéztem, hogy mit mond a fentire.
Aug 30 08:32:27 compaq sshd[10397]: debug1: temporarily_use_uid:
1005/100 (e=0/0)
Aug 30 08:32:27 compaq sshd[10397]: debug1: trying public
authorized_keys fájl vagy a hozzá vezető teljes útvonal bármelyik
tagjának tulajdonosát vagy jogait, akkor a StrictModes ellenőrzés
kikapcsolásával nem veszítesz semmit a biztonságból. Ez a feature
Én is erre gondolok és ez tűnik a legkönnyebbnek.
Üdv:
Ruzsi
Ruzsinszky Attila írta:
No akkor:
Külön .ssh-kat mondasz minden usernek? Kb. így:
.ssh.%u/authorized_keys2
Ez kb. sem úgy van.
Hanem?
/%h/%u/.ssh/authorized_keys2 eredménye:
//home/admin/user1/.ssh/authorized_keys2-ben keresgél a debug szerint.
Be még nem enged, de nem is állítottam
Ruzsinszky Attila írta:
Be még nem enged, de nem is állítottam össze teljesen a modellt, csak
megnéztem, hogy mit mond a fentire.
Ez így se megy!
Aug 30 08:32:27 compaq sshd[10397]: debug1: temporarily_use_uid:
1005/100 (e=0/0)
Aug 30 08:32:27 compaq sshd[10397]: debug1: trying public key
Valamit elrontasz, a /home/user általában group readable, és azért nem
Nem lehetetlen!
A home-on belül a userX jogai mik? Hát a .ssh jogai azon belül?
A group jogokat (meg a world-öt) szedd le azokról rekurzíve.
Ha leszedem, hogy fogja olvasni az ssh?
Ja és ha még olvassa, user hogy fog
Ruzsinszky Attila írta:
Valamit elrontasz, a /home/user általában group readable, és azért nem
Nem lehetetlen!
A home-on belül a userX jogai mik? Hát a .ssh jogai azon belül?
A group jogokat (meg a world-öt) szedd le azokról rekurzíve.
Ha leszedem, hogy fogja olvasni az ssh?
Ja és ha még
/home/admin - olvasható a csoportnak, amiben az userek vannak.
Így van.
/home/admin/usernév - és onnan lefelé _csak_ az adott user által legyen
olvasható. Ezt az az user, aki épp be akar lépni, fogja tudni olvasni,
Ez is így van.
az ssh meg root joggal végképp.
Innentől nem értem, mit nem
Ruzsinszky Attila írta:
/home/admin - olvasható a csoportnak, amiben az userek vannak.
Így van.
/home/admin/usernév - és onnan lefelé _csak_ az adott user által legyen
olvasható. Ezt az az user, aki épp be akar lépni, fogja tudni olvasni,
Ez is így van.
az ssh meg root joggal végképp.
ls -la /home/admin
[EMAIL PROTECTED]:~ ls -la /home/admin
összesen 61
drwxrwx--- 9 admin users 584 2008-08-30 08:24 .
drwxr-xr-x 7 root root 168 2008-08-29 19:05 ..
...
drwx--x--- 2 admin users 80 2008-08-29 19:16 .ssh
...
Üdv:
Ruzsi
_
Ruzsinszky Attila írta:
ls -la /home/admin
[EMAIL PROTECTED]:~ ls -la /home/admin
összesen 61
drwxrwx--- 9 admin users 584 2008-08-30 08:24 .
drwxr-xr-x 7 root root 168 2008-08-29 19:05 ..
...
drwx--x--- 2 admin users 80 2008-08-29 19:16 .ssh
...
Ok, tök nem azt küldted.
A
Ok, tök nem azt küldted.
De azt, amit kértél, csak azóta már iktattam a teszt usereket és próbálkoztam
tovább.
Még egyszer nekifutok, de szerintem nem kéne mennie, mert a $HOME-ot IS
ellenőrizni fogja, amin nem tudok változtatni, ill. igen, de akkor nincs belépés
a home-ba.
Üdv:
Ruzsi
Ruzsinszky Attila írta:
Tehát akkor:
A log-ból a kivonat a nem megfelelő működésről:
...
Aug 31 20:09:21 compaq sshd[13412]: debug1: temporarily_use_uid:
1005/100 (e=0/0)
Aug 31 20:09:21 compaq sshd[13412]: debug1: trying public key file
/home/admin/user1/.ssh/authorized_keys2
Aug 31
Jó, a mellékelt listából melyiknek nem jó a joga?
Az admin 770-je nem tetszik az ssh-nak.
Ha viszont megcsinálom neki amit akar a 700-at,
akkor hogy lesz belépés? Látok pici ellentmondást.
Kezdek beerdőzni, de a lényeg, hogy nem megy.
Üdv:
Ruzsi
_
No akkor:
Külön .ssh-kat mondasz minden usernek? Kb. így:
.ssh.%u/authorized_keys2
Ez kb. sem úgy van.
Hanem?
/%h/%u/.ssh/authorized_keys2 eredménye:
//home/admin/user1/.ssh/authorized_keys2-ben keresgél a debug szerint.
Be még nem enged, de nem is állítottam össze teljesen a modellt, csak
Be még nem enged, de nem is állítottam össze teljesen a modellt, csak
megnéztem, hogy mit mond a fentire.
Ez így se megy!
Aug 30 08:32:27 compaq sshd[10397]: debug1: temporarily_use_uid:
1005/100 (e=0/0)
Aug 30 08:32:27 compaq sshd[10397]: debug1: trying public key file
Feltöltöttem a privát kulcsokat a /home/admin/.ssh/authorized_keys2
Természetesen most is elrontottam a kulcsok nevét:
publikusat tettem fel és azok a problémásak, nem a privátok.
A privátokat mindenki önállóan tárolja a gépektől függetlenül.
Elnézést:
Ruzsi
In article [EMAIL PROTECTED],
Ruzsinszky Attila [EMAIL PROTECTED] linux@mlf.linux.rulez.org
writes:
Van p=E1r user, akinek van egy admin nev=FB home-ja.
Csoportjuk users.
Felt=F6lt=F6ttem a priv=E1t kulcsokat a /home/admin/.ssh/authorized_keys2
f=E1jlba soronk=E9nt.
A usernevek
On Fri, 29 Aug 2008, Ruzsinszky Attila wrote:
Ha jozsi néven jelentkezik be valaki (ssh [EMAIL PROTECTED]),
akkor az sshd a jozsi user home directory-ja alatt keresi
A user a jozsi nevvel lep be és az /home/admin-ban landol.
Akkor az ottani .ssh-dben kéne matatnia, nem? A cucc ott van...
Az
Ruzsinszky Attila [EMAIL PROTECTED] writes:
Van pár user, akinek van egy admin nevű home-ja.
Csoportjuk users.
Feltöltöttem a privát kulcsokat a /home/admin/.ssh/authorized_keys2
fájlba soronként.
A usernevek nem admin-ok, természetesen.
Vannak kétségeim, hogy így lehet kulcsolni?
Az UID-jük is különbözik? Így néz ki a /etc/passwd:
jozsi:x:34595:1001:Jozsi:/home/admin:/bin/bash
geza:x:34596:1002:Geza:/home/admin:/bin/bash
Ilyen formában.
Üdv:
Ruzsi
_
linux lista - linux@mlf.linux.rulez.org
Defaultból mind a $HOME, mind a $HOME/.ssh csak a tulaj számára lehet írható.
Akkor ezek szerint semmi értelme a userek pub kulcsainak egy fájlba rakásának?
authenticated and %u is replaced by the username of that user.
Akkor nekem ez kell?
A közös home-ban legyen n db. authorized_keys2? És
Ruzsinszky Attila [EMAIL PROTECTED] writes:
Defaultból mind a $HOME, mind a $HOME/.ssh csak a tulaj számára lehet írható.
Akkor ezek szerint semmi értelme a userek pub kulcsainak egy fájlba rakásának?
StrictModes=yes esetén semmi.
authenticated and %u is replaced by the username of that
Akkor ezek szerint semmi értelme a userek pub kulcsainak egy fájlba
rakásának?
StrictModes=yes esetén semmi.
:-(
Vagy így kell:
AuthorizedKeysFile .ssh/authorized_keys2.%u ?
És ebben csak 1 pub kulcs.
Mindegyikben annyi, amennyit a T. user óhajt.
Hmmm...
Felállítottam az egyik
Ruzsinszky Attila [EMAIL PROTECTED] writes:
Akkor ezek szerint semmi értelme a userek pub kulcsainak egy fájlba
rakásának?
StrictModes=yes esetén semmi.
:-(
Vagy így kell:
AuthorizedKeysFile .ssh/authorized_keys2.%u ?
És ebben csak 1 pub kulcs.
Mindegyikben annyi, amennyit a T.
StrictModes no
Elírtam, mert a konfigban csak #-et kellett kivenni.
AuthorizedKeysFile .ssh/%u.authorized_keys2
Ez akkor már fölösleges, mehet mindenki kulcsa egy fájlba.
OK. Teszek egy próbát, mert nekem nem ment, de lehet, hogy
a jogokkal is kavartam ugyanakkor.
A StrictModes no szerintem
AuthorizedKeysFile .ssh/%u.authorized_keys2
Ez akkor már fölösleges, mehet mindenki kulcsa egy fájlba.
OK. Teszek egy próbát, mert nekem nem ment, de lehet, hogy
a jogokkal is kavartam ugyanakkor.
Újra nekifutottam és tényleg megy. Tehát a mostani felállásban
elég a StrictModes-t no-ra
Kicsit részletesebben?
Nem Netre tett gépekről van szó.
Te tudod... De SSH-t (secure shell) konfigolsz éppen.
Én nem tudom éppen. Ezért kérdezem.
Üdv:
Ruzsi
_
linux lista - linux@mlf.linux.rulez.org
Ruzsinszky Attila írta:
Sziasztok!
Van pár user, akinek van egy admin nevű home-ja.
Csoportjuk users.
Feltöltöttem a privát kulcsokat a /home/admin/.ssh/authorized_keys2
fájlba soronként.
A usernevek nem admin-ok, természetesen.
Vannak kétségeim, hogy így lehet kulcsolni?
Van erre
alias ssh=ssh -i $USER.identity
Szerver oldalon van baj, nem kliensen.
Üdv:
Ruzsi
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Ruzsinszky Attila írta:
alias ssh=ssh -i $USER.identity
Szerver oldalon van baj, nem kliensen.
Ok, előbb írtam, és utána olvastam végig a threadet.
Én inkább a
AuthorizedKeysFile %h/%u/.ssh/authorized_keys
verziót csinálnám meg, így a %u-tól be lehetne állítani már, hogy 700-as
jog
AuthorizedKeysFile %h/%u/.ssh/authorized_keys
Kb. ezzel nyitottam, amiből dupla /home/user lett ...
Üdv:
Ruzsi
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Ruzsinszky Attila írta:
AuthorizedKeysFile %h/%u/.ssh/authorized_keys
Kb. ezzel nyitottam, amiből dupla /home/user lett ...
AuthorizedKeysFile .ssh/%u.authorized_keys2
Kb. ez volt az utolsó, variáció, amit írál
AuthorizedKeysFile .ssh/authorized_keys2.%u
ez meg az első.
Egyik sem az,
AuthorizedKeysFile .ssh/%u.authorized_keys2
Kb. ez volt az utolsó, variáció, amit írál
OK, nem írtam le az összes selejt verzióm.
Tehát: %h/.ssh/%u.authorized_keys2 volt, aminél
pluszban hozzátette a fenti elé a teljes home-ot.
Egyik sem az, amit javasoltam, és egyiknél sem valósítható meg,
Ruzsinszky Attila írta:
AuthorizedKeysFile .ssh/%u.authorized_keys2
Kb. ez volt az utolsó, variáció, amit írál
OK, nem írtam le az összes selejt verzióm.
Tehát: %h/.ssh/%u.authorized_keys2 volt, aminél
pluszban hozzátette a fenti elé a teljes home-ot.
Egyik sem az, amit javasoltam, és
35 matches
Mail list logo
