Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2009-04-05 13:35:55
mc666 - 
Użytkownik
- mc666
- Użytkownik
- Zarejestrowany: 2007-09-08
zarzadzanie kluczami PUBlicznymi w openssh
Witam...
sytuacja typowa. w pliku ~/.ssh/authorized_keys leza klucze publiczne klientow pozwalajac im na zalogowanie sie...
a w jaki prosty sposob mozna od czasu do czasy 'wylaczyc' taki klucz publiczny? nie chcialbym usuwac. bo potem znow trzeba wpisywac, moze da sie jakos wybrane klucze 'wykomentowac' ?
ps. zaznaczam ze chodzi o logowanie na to samo konto ale z roznych maszyn (ze zmiennymi ip, wiec po hostach tyz nie da rady)... wiec pomysl z tokenami %h i %u chyba nie zadziala...
Ostatnio edytowany przez mc666 (2009-04-05 14:10:19)
Offline
#2 2009-04-05 15:34:16
urug - Członek DUG
#3 2009-04-05 17:11:03
raixer - Moderator
- raixer
- Moderator
- Zarejestrowany: 2004-08-21
Re: zarzadzanie kluczami PUBlicznymi w openssh
Na koncu klucza jest komentarz, oznacz tam ktory klucz jest kogo przez co latwiej zapanujesz nad tym jezeli masz tam duzo kluczy.
Open Source - Świat otwartych umysłów
Linux Registered User: #276548
Offline
#4 2009-04-05 20:06:16
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: zarzadzanie kluczami PUBlicznymi w openssh
1. Uwierzytelnianie na hasło musi być wyłączone aby to działało, w przeciwnym razie użytkownik może sobie wygenerować nowy klucz, albo logować się na hasło.
2. Ten plik nie służy do ograniczania dostępu do hosta, tylko do przechowywania kluczy.
3. Użytkownik może zabrać sobie prywatny klucz z kompa z którego może się logować na inny komp, więc i tak trzeba użytkownika zablokować w ogóle (miemam, że hodzi o zablokowanie logowania z konkretnej maszyny)
4. Nie napisałeś co chcesz uzyskać.
Podpowiedzi. hosts.allow, hosts.deny, w przypadku zmiennego ip można zablokować logowanie użytkownika dokonywane z danej podsieci lub domeny.
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
#5 2009-04-05 22:07:52
mc666 - Użytkownik
- mc666
- Użytkownik
- Zarejestrowany: 2007-09-08
Re: zarzadzanie kluczami PUBlicznymi w openssh
ad1. jak najbardziej jest w koncu po to loguje sie przez klucze
ad2. a no wlasnie... stad moj problem :)
ad3. pewnie ze moze dlatego pisalem ze "wiec po hostach tyz nie da rady", ale z uwaga, ze userzy sie nie znaja i nie wymienia sie kluczami
ad4. chce miec mozliwosc wposzczania userow na dane konto zaleznie od ich kluczy. Np ustawiam sobie ze Pan X moze dzisiaj sie logowac... natomiast jutro juz nie (ale za to Pan Y bedzie mogl).
Zdaje sobie sprawe ze nie jest to hmm 'logiczne' rozwiazanie gdy wiele osob korzysta z jednego konta w systemie, ale coz, mam takie 'widzimisie'
I chyba faktycznie zostaje tylko wykomentowywanie w pliku danego klucza publicznego
Offline
#6 2009-04-05 22:13:37
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: zarzadzanie kluczami PUBlicznymi w openssh
tip nr 2
/etc/security/time.conf, pam_time jeśli chodzi o ograniczenia logowania w danym czasie
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00033 | SET CHARSET latin2 |
| 0.00009 | SET NAMES latin2 |
| 0.00239 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.191.211.66' WHERE u.id=1 |
| 0.00262 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.191.211.66', 1714935443) |
| 0.00066 | SELECT * FROM punbb_online WHERE logged<1714935143 |
| 0.00130 | DELETE FROM punbb_online WHERE ident='185.191.171.7' |
| 0.00238 | DELETE FROM punbb_online WHERE ident='196.196.169.115' |
| 0.00613 | DELETE FROM punbb_online WHERE ident='3.144.243.184' |
| 0.00139 | SELECT topic_id FROM punbb_posts WHERE id=115642 |
| 0.00173 | SELECT id FROM punbb_posts WHERE topic_id=13875 ORDER BY posted |
| 0.00224 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=13875 AND t.moved_to IS NULL |
| 0.00019 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00252 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=13875 ORDER BY p.id LIMIT 0,25 |
| 0.00185 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=13875 |
| Total query time: 0.02582 s | |