SSH: Leeres Passwort zwecks Aufteilung in Public-Key und Password-Auth gefhrlos?

Post Reply
Message
Author
Steffen

SSH: Leeres Passwort zwecks Aufteilung in Public-Key und Password-Auth gefhrlos?

#1 Post by Steffen »

Ich verwende OpenSSH und möchte aus Sicherheitsgründen nur ungern Password-Authentifizierung zulassen und habe daher diese Option in meiner sshd_config deaktiviert. Stattdessen verwende ich PublicKey-Authentifizierung, was soweit einwandfrei funktioniert. Nun möchte ich jedoch SSH (bzw. SFTP) auch als Ersatz für einen FTP-Server verwenden.

Das Problem ist nun, dass über 10 Personen Zugriff auf diese Art "FTP-Zugriff" haben sollen. Da alle auf dieselben Verzeichnisse Zugriff haben sollen, wäre es unnötig, für jeden einen separaten Account zu erstellen. Wenn ich aber einen Account für alle verwende, ist es so ziemlich unmöglich, bei PublicKey-Authentifizierung den privaten Schlüssel an alle auf eine sichere Weise zu verteilen. Daher wäre für diesen "FTP-Account" ein Passwort-Login wohl die bessere Lösung.

Nun erlaubt OpenSSH ja leider nicht benutzerspezifische Einstellungen, was die erlaubten Authentifizierungs-Methoden angeht. Daher bin ich auf die Idee gekommen, das System-Passwort meines Admin-Accounts auf "" (leer) zu setzen (Einloggen könnte ich mich ja trotzdem per SSH) sowie in der sshd_config die Option PermitEmtpyPassword zu deaktivieren und im gleichen Zuge Passwort-Authentifizierung wieder zu aktivieren. Somit würde ich erreichen, dass zwar eigentlich der Passwort-Login aktiviert ist, jedoch aufgrund des leeren Passworts für meinen Admin-Account nicht funktioniert. Für den FTP-Account hingegen würde Passwort-Authentifizierung funktionieren.

Ich weiß jedoch nicht, ob ich durch das leere Passwort irgendwelche Probleme erwarten sollte. Ich habe lediglich über SSH Zugang zu dem Computer und würde mich ungern irgendwie selbst aussperren. Kann mich in dieser Hinsicht jemand beruhigen oder warnen? <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Michael

Re: SSH: Leeres Passwort zwecks Aufteilung in Public-Key und Password-Auth

#2 Post by Michael »

Du kannst in der Datei authorized_keys angeben, welche Rechte die dort
abgelegten Schlüssel haben sollten. Außerdem verteiltst Du nicht den
privaten Schlüssel an die FTP-Nutzer sondern Du sammelst die Schlüssel
der Nutzer und legst Sie auf dem Server ab.

Cheers

Michael

Post Reply