SSHD & PAM - Passwortloser Login

Hinweis: In dem Thema SSHD & PAM - Passwortloser Login gibt es 3 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • Hallo,
    auf meinem openSUSE 42.2 Server möchte ich den Zugriff über SSH ein wenig verschärfen, indem ich den Login nur mit einem Passwort verbiete und voraussetze, dass man sich mit einem SSH Key identifiziert. Also habe ich in der sshd_config PasswordAuthentication auf no gesetzt und den Dienst neugestartet. Der Server erlaubt immernoch den Zugriff mit Passwort. Ich habe gelesen, dass PAM daran schuld sein kann, die Empfehlung war meistens, PAM zu deaktivieren. Allerdings habe ich auch gelesen, dass man a) PAM nicht abschalten sollte, da darüber wohl nicht nur die Authentifizierung läuft und b) auch PAM konfigurieren kann, nur den Key-Zugang zu erlauben. Nach längerer Recherche bin ich allerdings noch immer nicht klüger.
    Könnt ihr mich vielleicht erleuchten, wie ich PAM korrekt konfiguriere, damit über SSH nur noch der Key-Login möglich ist.


    Mit freundlichen Grüßen,
    Paktosan

    Für den Inhalt des Beitrages 104899 haftet ausdrücklich der jeweilige Autor: Paktosan

  • Es genügt eine (manchmal zwei) Zeile(n) in der /etc/ssh/sshd_config zu ändern.
    Lies einfach mal diese Datei. Die Einstellung steht im Klartext drin.


    PAM zu deaktivieren ist kompletter Unsinn.
    Lies nicht immer die genialen Tutorials im Netz.
    Die stammen zu gut 90% von Leuten, die total stolz sind, wenn sie einen Keylogin mit ssh überhaupt hinkriegen.
    PAM ist viel zu wichtig und wird von viel zu vielen Diensten und Services verwendet, als dass ein einfaches Abschalten genügen würde.
    Das System wird mit solchen -sorry für den Klartext- völlig hirnrissigen Aktionen nur unsicherer.
    Nur wenn du sogar dabei noch grobe Fehler machst, werden hinterher halt nur einige Dienste nicht mehr korrekt arbeiten. Meistens ist das Resultat ein Schweizer Käse. Stinkt und hat riesige Löcher.


    Bei vielen Systemen war es das schon.
    Bei openSUSE braucht es in der /etc/pam.d/sshd noch ein Nummernkreuzchen vor der Zeile [b]#auth include common-auth[/b]. Damit das wirksam wird, gib noch ein systemctl daemon-reload dazu.


    Im PAM - System (PlugableAuthenticationMethods) hat man der Bequemlichkeit halber viele Dinge, die man öfter braucht einfach in common*-. Dateien definiert. Und in der für den SSH-Dienst zuständigen Datei werden solche Settings, die für viele Dienste gebraucht werden definiert. Da du willst, dass SSH das alleine macht, ohne weitere Authentifizierungsmechanismen zu prüfen, schaltest du ALLE anderen Methoden damit ab. Ab hier kann man sich -korrekte sshd_config vorausgesetzt- nur noch mit vorhandenem gültigen Key in der $HOME/.ssh/authorized_users des jeweiligen Accounts einloggen.
    Und wirklich NUR noch so.


    Wenn es nicht klappt, post die /etc/ssh/sshd_config und die /ect/pam.d/ssh.conf mit.


    Ach, und welcome back! Unser Mumbleserver ist jetzt übrigens unter https://www.krauttranslate.de zu finden. (Rest bleibt Standard/frei wählbar)

  • Danke für die ausführliche Erklärung, das Auskommentieren in der /etc/pam.d/sshd war das einzige, was mir gefehlt hat, er nimmt jetzt nur noch den Key-Login.


    Ob ich mal wieder ein bisschen öfter zu Besuch komme, wird sich zeigen, in meiner Schulkarriere geht es so langsam auf die Zielgerade zum Abi, da bleibt nicht mehr viel Zeit für anderes.

    Für den Inhalt des Beitrages 104953 haftet ausdrücklich der jeweilige Autor: Paktosan