PAM ssh login => Radius

Dieses Thema im Forum "Security Talk" wurde erstellt von Reen_sc, 06.02.2012.

  1. #1 Reen_sc, 06.02.2012
    Reen_sc

    Reen_sc Jungspund

    Dabei seit:
    11.12.2009
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo Leute,

    hat jemand ne Ahnung wie ich den ssh-Login so ändern kann, dass man den lokalen Login (über einen Notfall-User) solange verhindern kann, wie Radius erreichbar ist?

    Aktuell kann sich der Notfall-User immer anmelden auch wenn Radius verfügbar ist :-(


    Danke
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 tgruene, 06.02.2012
    tgruene

    tgruene Routinier

    Dabei seit:
    02.02.2012
    Beiträge:
    418
    Zustimmungen:
    0
    Schuss ins Blaue: Du koenntest ein Skript schreiben, dass ueberprueft ob radius verfuegbar ist (ich weiss nicht, was Radius ist und kann deswegen ueber diesen Pruef-Mechanismus nichts aussagen). Wenn das nicht der Fall ist, schiesst es sshd ab und startet sshd neu mit einer Konfigurationsdatei (sshd -f ...), die es nun dem Notfall-User erlaubt, sich anzumelden.
    Der Notfall-User kann dann vor dem Abmelden wieder den Standard-sshd starten, der es ihm verbietet, sich anzumelden, sobald Radius wieder laeuft (meiner Erfahrung nach werden bestehende Verbindungen nicht gekappt, wenn sshd neu gestartet wird).
    Weswegen moechtest Du das erreichen?
     
  4. #3 marcellus, 06.02.2012
    marcellus

    marcellus Kaiser

    Dabei seit:
    09.05.2007
    Beiträge:
    1.392
    Zustimmungen:
    0
    Ich frag mich natürlich auch wie du wissen willst, ob der raidus server läuft, ein ping wird vermutlich nicht reichen, es kann der Pc trotzdem laufen und dein radiusd ist abgestürzt.

    Sobald du weißt, dass der radiusd verreckt ist kannst du mit iptables, oder der sshd_config was machen, aber die Erkennung wird schwer.
     
  5. nighT

    nighT Guest

    Vorab: Ich kenne mich mit Radius nicht aus!

    Aber kannst du auf dem Radius Server nicht abfragen, ob der Prozess läuft?
    Evtl. Cronjob o.Ä. und das Ergebnis per FTP/HTTP zur Verfügung stellen?

    Oder eine Testverbindung (?) aufbauen und überprüfen, was dabei rauskommt?


    Und wenn eines der Testfälle zutrifft, eben die sshd_config oder iptables (wie marcellus gesagt hat) anpassen...
     
  6. #5 Reen_sc, 09.02.2012
    Reen_sc

    Reen_sc Jungspund

    Dabei seit:
    11.12.2009
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo,

    danke für die Antworten. Das mit einem Skript abzufackeln daran habe ich auch schon gedacht....muss ich mal sehen was man da machen lässt.

    Die Verfügbarkeit von Radius wird mM nach nicht kontinuierlich überprüft, sondern nur bei Anmeldung eines Users.


    "Weswegen moechtest Du das erreichen?"
    Ich möchte damit erreichen, dass jeder User eindeutig identifizierbar ist und keine Commandos über den anonymen Notfall-User ausführt ;-)
     
  7. #6 tgruene, 09.02.2012
    tgruene

    tgruene Routinier

    Dabei seit:
    02.02.2012
    Beiträge:
    418
    Zustimmungen:
    0
    Warum gibst Du Dich fuer letzteres nicht damit zufrieden, dem Notfall-Nutzer ein sicheres Passwort zu geben? Das Programm 'pwgen' ist da sehr nuetzlich.
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

PAM ssh login => Radius

Die Seite wird geladen...

PAM ssh login => Radius - Ähnliche Themen

  1. Solaris Login mit Active Directory User

    Solaris Login mit Active Directory User: Hallo zusammen, Ich arbeite daran unsere Solaris Systeme ans AD anzubinden. Teilweise ist mir das schon gelungen, teilweise stehe ich aber auch...
  2. Frage zu QNX - habe login nie gefunden

    Frage zu QNX - habe login nie gefunden: ′
  3. SSH Login nur mit einer bestimmten IP die in einer Textdatei gespeichert wird

    SSH Login nur mit einer bestimmten IP die in einer Textdatei gespeichert wird: Hallo Ich bin andauernd Opfer einer Brute Force Attacke. Die IPs die fehlerhafte Logins produzieren werden nach dem 3ten Versuch gesperrt. Aber...
  4. Root Login nach installation ohne Desktop Environment

    Root Login nach installation ohne Desktop Environment: Hey, Ich habe mir gerade Linux Debian 8 auf meinen alten PC gezogen und bei Desktop Environment das Sternchen rausgenommen, da das ja bei nem...
  5. Auto-Login auf Slackware

    Auto-Login auf Slackware: Hi, Ist gegen ein Auto-login auf einem nur privat zugänglichem Rechner (SL-13.37) grundsätzlich etwas einzuwenden? Und (falls nicht), wie am...