SSHD & PAM - Passwortloser Login

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Hinweis: In dem Thema SSHD & PAM - Passwortloser Login gibt es 3 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • SSHD & PAM - Passwortloser Login

    Hallo,
    auf meinem openSUSE 42.2 Server möchte ich den Zugriff über SSH ein wenig verschärfen, indem ich den Login nur mit einem Passwort verbiete und voraussetze, dass man sich mit einem SSH Key identifiziert. Also habe ich in der sshd_config PasswordAuthentication auf no gesetzt und den Dienst neugestartet. Der Server erlaubt immernoch den Zugriff mit Passwort. Ich habe gelesen, dass PAM daran schuld sein kann, die Empfehlung war meistens, PAM zu deaktivieren. Allerdings habe ich auch gelesen, dass man a) PAM nicht abschalten sollte, da darüber wohl nicht nur die Authentifizierung läuft und b) auch PAM konfigurieren kann, nur den Key-Zugang zu erlauben. Nach längerer Recherche bin ich allerdings noch immer nicht klüger.
    Könnt ihr mich vielleicht erleuchten, wie ich PAM korrekt konfiguriere, damit über SSH nur noch der Key-Login möglich ist.

    Mit freundlichen Grüßen,
    Paktosan

    Für den Inhalt des Beitrages 104899 haftet ausdrücklich der jeweilige Autor: Paktosan

  • Es genügt eine (manchmal zwei) Zeile(n) in der /etc/ssh/sshd_config zu ändern.
    Lies einfach mal diese Datei. Die Einstellung steht im Klartext drin.

    PAM zu deaktivieren ist kompletter Unsinn.
    Lies nicht immer die genialen Tutorials im Netz.
    Die stammen zu gut 90% von Leuten, die total stolz sind, wenn sie einen Keylogin mit ssh überhaupt hinkriegen.
    PAM ist viel zu wichtig und wird von viel zu vielen Diensten und Services verwendet, als dass ein einfaches Abschalten genügen würde.
    Das System wird mit solchen -sorry für den Klartext- völlig hirnrissigen Aktionen nur unsicherer.
    Nur wenn du sogar dabei noch grobe Fehler machst, werden hinterher halt nur einige Dienste nicht mehr korrekt arbeiten. Meistens ist das Resultat ein Schweizer Käse. Stinkt und hat riesige Löcher.

    Bei vielen Systemen war es das schon.
    Bei openSUSE braucht es in der /etc/pam.d/sshd noch ein Nummernkreuzchen vor der Zeile [b]#auth include common-auth[/b]. Damit das wirksam wird, gib noch ein systemctl daemon-reload dazu.

    Im PAM - System (PlugableAuthenticationMethods) hat man der Bequemlichkeit halber viele Dinge, die man öfter braucht einfach in common*-. Dateien definiert. Und in der für den SSH-Dienst zuständigen Datei werden solche Settings, die für viele Dienste gebraucht werden definiert. Da du willst, dass SSH das alleine macht, ohne weitere Authentifizierungsmechanismen zu prüfen, schaltest du ALLE anderen Methoden damit ab. Ab hier kann man sich -korrekte sshd_config vorausgesetzt- nur noch mit vorhandenem gültigen Key in der $HOME/.ssh/authorized_users des jeweiligen Accounts einloggen.
    Und wirklich NUR noch so.

    Wenn es nicht klappt, post die /etc/ssh/sshd_config und die /ect/pam.d/ssh.conf mit.

    Ach, und welcome back! Unser Mumbleserver ist jetzt übrigens unter krauttranslate.de zu finden. (Rest bleibt Standard/frei wählbar)
    Sokrates sagte, dass er nichts wisse.
    Ich bin viel, viel klüger als Sokrates.
    Ich weiß ganz genau, dass ich gar nichts weiß.

    Für den Inhalt des Beitrages 104903 haftet ausdrücklich der jeweilige Autor: Berichtigung

  • Danke für die ausführliche Erklärung, das Auskommentieren in der /etc/pam.d/sshd war das einzige, was mir gefehlt hat, er nimmt jetzt nur noch den Key-Login.

    Ob ich mal wieder ein bisschen öfter zu Besuch komme, wird sich zeigen, in meiner Schulkarriere geht es so langsam auf die Zielgerade zum Abi, da bleibt nicht mehr viel Zeit für anderes.

    Für den Inhalt des Beitrages 104953 haftet ausdrücklich der jeweilige Autor: Paktosan

  • Da hatte ich am meisten Zeit.
    Da war ich nur noch in der Kneipe.

    Du lebst entweder im falschen Land, oder...
    Ach, was soll's.
    Sokrates sagte, dass er nichts wisse.
    Ich bin viel, viel klüger als Sokrates.
    Ich weiß ganz genau, dass ich gar nichts weiß.

    Für den Inhalt des Beitrages 104954 haftet ausdrücklich der jeweilige Autor: Berichtigung