SSH 2 -- User raus nehmen

[geist_der_foren]

Ich hab auf meiner Linux Kiste SSH2 so eingerichtet, dass jeder user der sich am System anmeldet möchte sich nur dann anmelden kann, wenn er ein User und einen dazugehörigen Key besitzt.

Gibt es die möglichkeit, z.B. 3 User auszuschliesen, so dass sie sich auch ohne KEY anmelden können ? Wenn ja, wass muss ich wo ändern ?

Danke schon mal im voraus.

[Terran Marine]

Nabend,

afaik ist das nicht möglich.

Du könntest zwei Instanzen von sshd mit den jeweiligen Konfigurationen laufen lassen.

Gruß

Terran

[geist_der_foren]

Hm...

Wie meinst du zwei Instanzen ?

[Terran Marine]

  Zitat

Original geschrieben von geist_der_foren

Hm...

Wie meinst du zwei Instanzen ?

Zwei SSH-Daemons,

einer mit Key - Authentifizierung,

einer mit normaler Authentifizierung und einer speziellen Allowed-Users Config (die drei).

Dies (leider) auf verschiedenen Ports.

[geist_der_foren]

HI,

danke für deine Hilfe ... Das ist eine idee ..., aber ist mir zu unsicher. Da muss ich mir was einfallen lassen

[Terran Marine]

  Zitat

Original geschrieben von geist_der_foren

HI,

danke für deine Hilfe ... Das ist eine idee ..., aber ist mir zu unsicher. Da muss ich mir was einfallen lassen

Was ist denn daran unsicher ?

[geist_der_foren]

Ja vieleicht war unsicher eher falsch ausgedrückt.

Wir haben sehr viele Server da stehen und versuchen sie so einheitlich wie möglich zu halten, da käm das nicht so toll ...

Also mein Problem ist folgender, ich hab 3 User, die rexec auführen müssen, da wir aber jetzt ssh2 eingeschaltet haben, geht das nicht mehr. Gibt es da eine Möglichkeit in der sshd_config was einzustellen ?

[geist_der_foren]

Oh mann ich bin echt ein fisch ...

Ich kann es doch einfach mit SSH machen Das ist ja eigentlich das gleiche (ein mal die Man Page gelesen)

Ich hab aber dann nur noch ein Prob, ich verwende folgende Syntax:

ssh -i [private-key-name] -l [user-name] [ip-adresse] [befehl]

aber er promtet mich immer wieder auf das Phassphrase und auf das Passwort des Users ... Das Problem ist, dass es in ein skript laufen soll.

Hat jemand eine idee ?

[Terran Marine]

  Zitat

Original geschrieben von geist_der_foren

aber er promtet mich immer wieder auf das Phassphrase und auf das Passwort des Users ... Das Problem ist, dass es in ein skript laufen soll.

Hat jemand eine idee ?

Und der normale Login klappt mit den gleichen Einstellungen ?

Also ohne Rückfrage der Passphrase.

Gruß

Terran

[geist_der_foren]

Nein, er frägt immer nach einem Passphrase für den Private - Key und einmal das Passwort für den user ...

Kann ich das Passwort im script hinterlegen ?

[Terran Marine]

  Zitat

Original geschrieben von geist_der_foren

Nein, er frägt immer nach einem Passphrase für den Private - Key und einmal das Passwort für den user ...

Kann ich das Passwort im script hinterlegen ?

Ich kenne das nur so, das der Public Key auf dem Server im .ssh Verzeichnis des entsprechenden Users hinterlegt wird, bei mir z.b. in :

/root/.ssh/known_hosts bzw. in

/root/.ssh/known_hosts2

Dabei hat der private Key aber kein eigenes Passwort.

[geist_der_foren]

Ja, ich hab das phassphrase für den Private key auch mal weggelsaen, dann promt er nur auf das Userpasswort. Kann ich es mit "ssh" nicht mit geben ?

Also unter rexec geht das:

rexec -l [username] -p [passwort] [iP-ADRESSE]

Wenn ich mich nicht irre, kann man das auch über den skript mitgeben, oder ?

[Terran Marine]

  Zitat

Original geschrieben von geist_der_foren

Wenn ich mich nicht irre, kann man das auch über den skript mitgeben, oder ?

Habe ich jetzt in man ssh nicht finden können,

dort wird auf die Parameter -f -n hingewiesen.

Mit -n kannst du das stdin von /dev/null wegsetzen und so eventuell das Passwort pipen, kann ich hier aber mangels ssh Session nicht testen.

[geist_der_foren]

  Zitat

Original geschrieben von Terran Marine

Mit -n kannst du das stdin von /dev/null wegsetzen und so eventuell das Passwort pipen, kann ich hier aber mangels ssh Session nicht testen.

Also ich hab in der man auch nicht gefunden ...

Das mit der -n Option hab ich auch noch nicht so wirklich verstanden ?!

Kannst du mir vielleich ein Beispiel Posten ?

[Terran Marine]

Hallo nochmal,

sorry hatte mich geirrt, habs selbst noch rumprobiert, aber keine Lösung gefunden.

Was ist denn gegen eine Key-Authentifizerung zu sagen ?

[SystemError]

Hallo oh GeistDerForen,

verstehe ich Dich richtig dass Du aus einem Script per SSH auf entfernten Rechnern Kommandos (änhlich rexec) ausführen willst ? Und zwar nach Möglichkeit ohne dabei nach einem Passwort/PassPhrase gefragt zu werden ?

(Ist ja in einem Script auch nicht sooo doll...)

Da fallen mir 2 Möglichkeiten ein:

a.) Die sichere + saubere Methode

Du generierst ein Public/Private Schlüsselpärchen mit Passphrase. Wenn Du Dich an Deiner WorkStation anmeldest musst Du den Window/Desktop Manager Deiner Wahl dazu überreden den SSHKeyAgent zu laden, da wirst Du dann EINMAL nach Deinem PassPhrase gefragt.

Ab diesem Zeitpunkt kannst Du dann OHNE Eingabe eines Passwortes/PassPhrases auf all die Rechner auf denen Dein PublicKey korrekt hinterlegt ist:

Wenn Du dann z.B. ein XTerm aufmachst und aus diesem Dein Script das Dinge auf den entfernten Rechnern tun soll startest sollte folgende Syntax genügen:

ssh user@host "DeinKommanDo"

Diese Methode funktioniert aber nur wenn Du Dein Script aus einer Konsolen/DesktopSitzung aufrufst.

Ist also ungeeignet wenn Dein Script z.B. per Cron ausgeführt werden soll.

b.) Bequeme Methode

Einfach einen Schlüssel OHNE PassPhrase generieren, sprich beim "ssh-keygen" Return drücken...

Vorteil: Dein Script braucht jetzt keine laufende KeyAgentUmgebung mehr. (->läuft auch per Cron)

NachTeil: Sobald es jemand schafft an Deinen SSHPrivateKey zu kommen war es das dann:

Er kommt damit auf alle Rechner auf denen Dein PublicKey hinterlegt ist.

*autsch*

Bye

SystemError