Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Ich hab auf meiner Linux Kiste SSH2 so eingerichtet, dass jeder user der sich am System anmeldet möchte sich nur dann anmelden kann, wenn er ein User und einen dazugehörigen Key besitzt.

Gibt es die möglichkeit, z.B. 3 User auszuschliesen, so dass sie sich auch ohne KEY anmelden können ? Wenn ja, wass muss ich wo ändern ?

Danke schon mal im voraus.

Geschrieben
Original geschrieben von geist_der_foren

Hm...

Wie meinst du zwei Instanzen ?

Zwei SSH-Daemons,

einer mit Key - Authentifizierung,

einer mit normaler Authentifizierung und einer speziellen Allowed-Users Config (die drei).

Dies (leider) auf verschiedenen Ports.

Geschrieben

Ja vieleicht war unsicher eher falsch ausgedrückt.

Wir haben sehr viele Server da stehen und versuchen sie so einheitlich wie möglich zu halten, da käm das nicht so toll ...

Also mein Problem ist folgender, ich hab 3 User, die rexec auführen müssen, da wir aber jetzt ssh2 eingeschaltet haben, geht das nicht mehr. Gibt es da eine Möglichkeit in der sshd_config was einzustellen ?

Geschrieben

Oh mann ich bin echt ein fisch ...

Ich kann es doch einfach mit SSH machen :D Das ist ja eigentlich das gleiche (ein mal die Man Page gelesen)

Ich hab aber dann nur noch ein Prob, ich verwende folgende Syntax:

ssh -i [private-key-name] -l [user-name] [ip-adresse] [befehl]

aber er promtet mich immer wieder auf das Phassphrase und auf das Passwort des Users ... Das Problem ist, dass es in ein skript laufen soll.

Hat jemand eine idee ?

Geschrieben
Original geschrieben von geist_der_foren

aber er promtet mich immer wieder auf das Phassphrase und auf das Passwort des Users ... Das Problem ist, dass es in ein skript laufen soll.

Hat jemand eine idee ?

Und der normale Login klappt mit den gleichen Einstellungen ?

Also ohne Rückfrage der Passphrase.

Gruß

Terran

Geschrieben
Original geschrieben von geist_der_foren

Nein, er frägt immer nach einem Passphrase für den Private - Key und einmal das Passwort für den user ...

Kann ich das Passwort im script hinterlegen ?

Ich kenne das nur so, das der Public Key auf dem Server im .ssh Verzeichnis des entsprechenden Users hinterlegt wird, bei mir z.b. in :

/root/.ssh/known_hosts bzw. in

/root/.ssh/known_hosts2

Dabei hat der private Key aber kein eigenes Passwort.

Geschrieben

Ja, ich hab das phassphrase für den Private key auch mal weggelsaen, dann promt er nur auf das Userpasswort. Kann ich es mit "ssh" nicht mit geben ?

Also unter rexec geht das:

rexec -l [username] -p [passwort] [iP-ADRESSE]

Wenn ich mich nicht irre, kann man das auch über den skript mitgeben, oder ?

Geschrieben
Original geschrieben von geist_der_foren

Wenn ich mich nicht irre, kann man das auch über den skript mitgeben, oder ?

Habe ich jetzt in man ssh nicht finden können,

dort wird auf die Parameter -f -n hingewiesen.

Mit -n kannst du das stdin von /dev/null wegsetzen und so eventuell das Passwort pipen, kann ich hier aber mangels ssh Session nicht testen.

Geschrieben
Original geschrieben von Terran Marine

Mit -n kannst du das stdin von /dev/null wegsetzen und so eventuell das Passwort pipen, kann ich hier aber mangels ssh Session nicht testen.

Also ich hab in der man auch nicht gefunden ...

Das mit der -n Option hab ich auch noch nicht so wirklich verstanden ?!

Kannst du mir vielleich ein Beispiel Posten ?

Geschrieben

Hallo oh GeistDerForen,

verstehe ich Dich richtig dass Du aus einem Script per SSH auf entfernten Rechnern Kommandos (änhlich rexec) ausführen willst ? Und zwar nach Möglichkeit ohne dabei nach einem Passwort/PassPhrase gefragt zu werden ?

(Ist ja in einem Script auch nicht sooo doll...)

Da fallen mir 2 Möglichkeiten ein:

a.) Die sichere + saubere Methode

Du generierst ein Public/Private Schlüsselpärchen mit Passphrase. Wenn Du Dich an Deiner WorkStation anmeldest musst Du den Window/Desktop Manager Deiner Wahl dazu überreden den SSHKeyAgent zu laden, da wirst Du dann EINMAL nach Deinem PassPhrase gefragt.

Ab diesem Zeitpunkt kannst Du dann OHNE Eingabe eines Passwortes/PassPhrases auf all die Rechner auf denen Dein PublicKey korrekt hinterlegt ist:

Wenn Du dann z.B. ein XTerm aufmachst und aus diesem Dein Script das Dinge auf den entfernten Rechnern tun soll startest sollte folgende Syntax genügen:

ssh user@host "DeinKommanDo"

Diese Methode funktioniert aber nur wenn Du Dein Script aus einer Konsolen/DesktopSitzung aufrufst.

Ist also ungeeignet wenn Dein Script z.B. per Cron ausgeführt werden soll.

b.) Bequeme Methode

Einfach einen Schlüssel OHNE PassPhrase generieren, sprich beim "ssh-keygen" Return drücken...

Vorteil: Dein Script braucht jetzt keine laufende KeyAgentUmgebung mehr. (->läuft auch per Cron)

NachTeil: Sobald es jemand schafft an Deinen SSHPrivateKey zu kommen war es das dann:

Er kommt damit auf alle Rechner auf denen Dein PublicKey hinterlegt ist.

*autsch*

Bye

SystemError

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...